Nederlands Security Meldpunt: ‘Als zij het niet doen, doen wij het wel’

Frank Breedijk, CISO bij Schuberg Philis stoorde zich aan de communicatie over dit lek. “Minister Grapperhaus (van Justitie en Veiligheid, red.) noemde organisaties die niet gepatcht hadden toen in het FD ‘oliebollen’. Maar wat niet verteld werd, was dat het NCSC op dat moment een lijstje had liggen met wie die ‘oliebollen’ precies waren. De organisatie kon of mocht die bedrijven echter niet benaderen om ze te informeren over hun kwetsbaarheid. Dat frustreerde me.”

Die frustratie zette zich om in een idee: een nationaal meldpunt. “Mijn gedachte was: als zij het niet doen, dan doen wij het wel. Burgers mogen namelijk veel meer dan een organisatie als het NCSC, dat gebonden is aan het mandaat wat zij krijgt in bepaalde wetten. Burgers mogen moeten zich ook aan de wet houden, maar zijn niet gebonden aan een wettelijk mandaat. Wij besloten bedrijven wél te benaderen met deze beveiligingsinformatie.”

Dat idee werd in januari werkelijkheid. Citrix maakte op 17 december bekend dat er een ernstig lek zat in zijn Application Delivery Controller (ADC) en zijn Gateway. De kwetsbaarheden bleken gemakkelijk te misbruiken en midden januari waren er diverse berichten dat kwaadwillenden massaal op zoek waren naar kwetsbare systemen. Toen ook voor dit lek kant en klare exploit code verscheen, was voor Breedijk de maat vol en werd het tijd werd om het idee om te zetten in werkelijkheid. In korte tijd werden in Nederland 713 kwetsbare endpoints van netwerken gevonden.

Blinde vlek informeren

Bij de opstart van het Nederlands Security Meldpunt werkte Breedijk samen met Matthijs Koot. Koot, in het dagelijks leven ICT-beveiligingsspecialist bij Secura, is degene die de Volkskrant informeerde over het feit data vele systemen kwetsbaar waren door het Pulse Secure-lek. Hij scande het internet op kwetsbare systemen en kreeg zo een lijst met IP-adressen. “Ik heb het NCSC op 24 en 25 augustus lijsten van kwetsbare systemen gestuurd, maar achteraf me werd duidelijk dat ze alleen wat mochten doen met systemen van de Rijksoverheid en vitale sectoren. Met de rest mochten ze niets.”, vertelt Koot nu. Bij het Citrix-lek deed hij dat ook, maar de uitkomst was hetzelfde: de informatie over kwetsbare bedrijven bleef bij het NCSC liggen.

Koot ergerde zich bij het Pulse Secure-lek al aan de gang van zaken en dat was tijdens de ophef rondom Citrix niet anders. “Er ontstaat op deze manier gewoon een hele grote blinde vlek bij kwetsbare organisaties die niet van informatie voorzien worden. Het is eigenlijk toch ook gewoon bizar: je hebt als het ware een lijst van adressen waar de voordeur open staat, je probeert de eigenaar van dat huis niet eens te benaderen omdat je dat juridisch gezien niet mag. Dat is vanuit ethische overwegingen gewoon niet juist.”

Bovendien blijkt dat bedrijven lang niet altijd weten dat hun deur openstaat, omdat ze niet altijd weten welke systemen er aan hun netwerk hangen. “Iemand in een bedrijf kan bijvoorbeeld zien dat een bepaald programma niet goed werkt, en besluiten om dan een vergelijkbaar programma van een concurrerend bedrijf in te zetten, zonder dat de IT-afdeling dat weet. Zit daar dan een kwetsbaarheid in, dan weet het bedrijf niet dat het moet patchen. Wij kunnen op afstand vaststellen of jij iets kwetsbaars aan het internet hebt zitten en of je dus een patch moet installeren of andere maatregelen moet nemen”, vertelt Breedijk.

Breedijk en Koot besloten tijdens de Citrix-problemen om het heft in eigen handen te nemen. “Samen met een vrijwilliger zijn we per blok van IP-adressen contactgegevens op gaan zoeken en bedrijven gaan benaderen om ze te waarschuwen voor de kwetsbaarheid”, vertelt Breedijk. “Op onze website hebben we instructies geplaatst en via DIVD bieden we zelfs een soort helpdesk voor als je er echt niet uitkomt.”

Taken verdeeld

Inmiddels is ook het stof bij het Nederlands Security Meldpunt neergedaald. “Die eerste twee weken bestond het Meldpunt uit slechts drie vrijwilligers, die ieder hun eigen ding deden. Het voelde op dat moment echt alsof we twee banen hadden, die allebei ook nog eens meer dan 40 uur per week besloegen. Dat moest echt anders”, aldus Breedijk.

Daar is ook actie voor ondernomen. Zo zijn er nu vier vrijwilligers bijgekomen. “Dat zijn echt senior mensen die eerder met dit bijltje gehakt hebben.” Daarnaast zijn de verschillende taken nu verdeeld over het DIVD en het Meldpunt.

Het echte scannen naar kwetsbare systemen wordt door het DIVD gedaan, onder meer door Koot. “Het is prettig dat ik dit nu onder het DIVD kan doen”, vertelt hij. “Bij de lekken in Pulse Secure en Citrix moest je dingen doen die juridisch gezien op of over het randje zijn, wilde je met voldoende zekerheid kunnen zeggen dat een systeem kwetsbaar was. Daarmee neem ik een enorm risico, want je weet niet of er een aanklacht komt, of het OM dan tot vervolging zou overgaan, en of een rechter in zo'n casus dan besluit dat het maatschappelijk belang zwaarder weegt.”

“In de raad van toezicht van het DIVD zit ook Lodewijk van Zwieten, die bij het Openbaar Ministerie de officier van Justitie is die zich over cybercrime buigt. Ik kan hem nu dus voorleggen in hoeverre iets wel of niet verantwoord is. ”

Het Meldpunt richt zich nu alleen op het informeren over kwetsbaarheden en het attenderen van organisaties op kwetsbare systemen. “Wij proberen de informatie iets laagdrempeliger te communiceren dan het NCSC dat doet. Het NCSC is vaak erg juridisch ingedekt in hun bewoordingen. Wij kunnen iets vrijpostiger zijn”, aldus Breedijk.

Succes bij opheffing

Toch ligt het echte succes van het Nederlands Security Meldpunt niet bij het goed infomeren van Nederland of bij het attenderen op kwetsbaarheden. “Wij zijn volgens mij pas echt succesvol als wij ophouden te bestaan, omdat het vanuit de overheid goed geregeld is”, aldus Breedijk. Hij ziet graag een toekomst waarin een landelijke overheidsinstantie deze rol op zich neemt.