De Onderzoeksraad voor Veiligheid (OVV) concludeert dat Nederlandse overheidsorganisaties en bedrijven zijn zeer kwetsbaar voor cyberaanvallen. 'Er is geen nationale structuur waarbinnen alle potentiële slachtoffers van cyberaanvallen tijdig worden gewaarschuwd,' aldus Jeroen Dijsselbloem, voorzitter van de OVV, bij de presentatie van het rapport naar aanleiding van het grote Citrix-securitygat van eind 2019
Verschillende buitenlandse hackgroepen maakten misbruik van het lek. Het NCSC adviseerde vervolgens om Citrix-servers helemaal af te sluiten, waar de Rijksoverheid en de Tweede Kamer veel last van hadden. Uit een analyse van beveiligingsbedrijf Fox-IT bleek dat hackers een halfjaar na het lek nog bij zeker 25 Nederlandse organisaties toegang hadden.
Centrale aanpak
De Onderzoeksraad voor Veiligheid constateert dat er geen nationale structuur is waarbinnen alle potentiële slachtoffers van cyberaanvallen tijdig worden gewaarschuwd en adviseert een ‘centrale aanpak’ om digitale dreigingen sneller te signaleren en organisaties te kunnen waarschuwen. Door wettelijke beperkingen en een beperkt mandaat functioneert het Cyber Security Centrum niet goed. Daardoor bestaat het risico op serieuze ontwrichting van de maatschappij, waarschuwt de OVV.
De overheid moet binnen 6 maanden een inhoudelijk onderbouwde reactie geven.
Fabrikanten moeten zelf ook forser investeren in de veiligheid van software, vindt de OVV. Dat moet verder gaan dan het ontwikkelen en uitbrengen van patches, want die aanpak draagt door overstelping bij aan het beveiligingsprobleem. De raad adviseert op Europees niveau kwaliteitseisen te stellen. Ook adviseert de OVV dat er één bewindspersoon komt die toeziet op digitale veiligheid. Nu is dat een verantwoordelijkheid van verschillende ministeries. De raad beveelt verder aan dat grotere bedrijven en organisaties wordt verplicht verantwoording af te leggen over de wijze waarop zij hun digitale veiligheid beheersen.
Geen vrijblijvend advies
Het oordeel en advies van de OVV komt met formele aanbevelingen, waarop de overheid binnen 6 maanden een inhoudelijk onderbouwde reactie moet geven. Deze verse oproep tot betere beveiliging is dus meer dan slechts een constaterend rapport of een vrijblijvend advies. De invulling van de stevige aanbevelingen die de OVV nu doet, is echter aan de overheid. De raad heeft daar wel ideeën over, zoals bijvoorbeeld certificeringen, jaarlijkse controles zoals allang gewoon en vereist zijn door financiële accountants, de versplinterde ICT-kennis en -mandaat bij de overheid meer samenbrengen, en fabrikanten verantwoordelijk stellen.
Klik HIER om het rapport ‘Kwetsbaar door software’ van de OVV te lezen
