Veiligheid bedrijfsleven opnieuw in geding door informatie die bij NCSC blijft hangen, wanneer grijpen ministers in?
We zouden willen zeggen dat we geschrokken zijn van het bericht in het Financieel Dagblad, maar de kop “Overheid wist wie kwetsbaar was, maar liet bedrijven toch gehackt worden” verbaast ons helaas niet meer. NLdigital pleit al lang voor beter informatievoorziening over kwetsbaarheden via het Digital Trust Center (DTC). Hun werk is echter onmogelijk zolang de overheid haar informatiestromen niet regelt.
Op dit moment is het Nationaal Cyber Security Center (NCSC) de plek waar informatiestromen over kwetsbaarheden en digitale dreigingen binnenkomen. Om vervolgens in een zwart gat te verdwijnen. Het DTC, dat de taak heeft het brede bedrijfsleven te informeren, krijgt deze informatie niet. Het recente voorval benadrukt wederom dat minister Grapperhaus en staatssecretaris Keijzer nu echt moeten ingrijpen: bescherm het nationaal belang en zorg er nu snel voor dat de benodigde informatie bij bedrijven kan komen. Zorg dat het DTC haar rol kan pakken.
Wat er misgaat: informatie verdwijnt in een zwart gat bij het NCSC
Nederland maakt onderscheid tussen vitale en niet-vitale bedrijven. Het Nationaal Cyber Security Center (NCSC) is belast met de bescherming van overheden en alle bedrijven die als “vitaal” zijn aangemerkt. Alle andere bedrijven vallen buiten het werkterrein van het NCSC. Wanneer het NCSC informatie ontvangt over bedrijven buiten haar werkterrein, gebeurt hier dus niets mee. Het verdwijnt in een zwart gat. NLdigital deed daarom al in 2016 de oproep om een Digital Trust Center op te richten dat deze informatievoorziening voor het bredere bedrijfsleven kan verzorgen. Het DTC is er gekomen, maar het kan nog steeds niet over de juiste informatie beschikken en deze verder delen. Dit probleem is al zeer lange tijd bekend. In februari van dit jaar vroeg het onderzoeksbureau KWINK in haar evaluatie van het DTC nog nadrukkelijk aandacht voor dit probleem. Berichten als die van vandaag in het FD zijn wederom een wake-up call dat hier nu echt snel werk van gemaakt moet worden.
De oplossing: versteviging DTC en informatiedeling binnen de overheid
Voor NLdigital is de oplossing duidelijk, en wij roepen de minister en staatssecretaris dan ook op om hier direct mee aan de slag te gaan: veranker en verstevig de rol van het DTC en zorg dat het NCSC wettelijk verplicht wordt de informatie die ze ontvangt te delen met het DTC. Dit kan niet langer wachten. Bedrijven hebben de verantwoordelijkheid hun cybersecurity op orde te hebben. Informatie over nieuwe kwetsbaarheden en mogelijkheden om die te dichten zijn daar een belangrijk onderdeel van. De overheid heeft vaak toegang tot bronnen die voor het bedrijfsleven niet direct beschikbaar zijn en daarom is het van belang dat informatie die voorhanden is zo snel mogelijk wordt gedeeld met het bedrijfsleven. Wanneer het Kabinet bedrijven en burgers kwetsbaar laat terwijl de informatie voorhanden is om hen te beschermen, dan is er sprake van nalatigheid. Aangezien dit al lange tijd een bekend probleem is dat niet verholpen wordt, constateren wij dat er sprake is van verwijtbare nalatigheid.
Het Anti-Abuse Netwerk
NLdigital is niet de enige met deze boodschap. Het belang van betere informatiedeling om het bedrijven en burgers beter te beschermen wordt breed gedeeld. Daarom is NLdigital ook één van de ondertekenaars van het manifest van het Anti-Abuse Netwerk. Onder andere de Nationale Politie, het ministerie van Economische Zaken en Klimaat en het DTC hebben dit manifest ondertekend, maar het ministerie van Justitie & Veiligheid en het NCSC ontbreken.
Het laatste nieuws
Handige ‘wie doet wat’ kabinet-Schoof
Reminder! Doe mee: onderzoek opleidingskosten bedrijven
NLdigital reageert op Nederlandse NIS2-implementatiewet
Gezamenlijk persbericht: Omgevingsdiensten en datacenters tekenen gezamenlijke aanpak voor energiebesparing servers
