'Afhankelijk zijn van buitenlandse marktpartijen is een risico'

Door afhankelijkheid van buitenlandse aanbieders van cyberveiligheid ontstaan er risico’s voor de informatieveiligheid van Nederlandse gebruikers. Er zou informatie naar buitenlandse autoriteiten kunnen weglekken. Dat schrijft het Centraal Planbureau in de Risicorapportage Cyberveiligheid Economie 2018.

Amerikaanse wetgeving
Volgens het CPB verhoogt de Amerikaanse ‘CLOUD Act’ het risico op ongewild weglekken van gevoelige data. De CLOUD Act is een wet die Amerikaanse bedrijven verplicht om data die zijn opgeslagen in het buitenland op verzoek met de Amerikaanse autoriteiten te delen. Er zijn volgens het CPB daarom argumenten voor een nationale of Europese coöperatie voor cyberveiligheid. Met zo’n initiatief ontstaat er een ‘nationale wasstraat’ die ervoor zorgt dat belangrijke kennis over cyberveiligheid binnen de eigen invloedssfeer blijft. Een nationaal systeem kan voorkomen dat vitale datastromen via een derde partij in handen kan komen van een buitenlandse staat.

Kaspersky Lab

De Nederlandse Rijksoverheid stopte eerder dit jaar met het Russische securitysoftware-bedrijf Kaspersky Lab, wegens een te groot risico op spionage. Éen op tien overheidsorganisaties gebruikt Kaspersky. Daaronder zijn veel gemeenten. Gemeenten moeten zelf bepalen of ze verder willen met de software. De minister heeft op dit gebied geen verantwoordelijkheid over de gemeenten, zo meldde de Informatiebeveiligingsdienst voor gemeenten in mei aan Binnenlands Bestuur. ‘De beslissing om wel of niet met Kaspersky te werken ligt bij gemeenten zelf.’ Ook gaf de IBD aan dat virusscanners niet ineens zomaar kunnen worden vervangen, zo’n proces duurt over het algemeen langer. ‘Zoiets kun je als gemeente niet binnen een dag regelen.’

 
DDoS-aanvallen

Er moet ook worden nagedacht over het tegengaan van grote DDoS-aanvallen, die ook lokale overheden regelmatig bereiken. Het CPB schrijft dat de overheid moet kunnen anticiperen op scenario’s waarin Nederlandse vitale processen verstoord worden door grootschalige DDoS-aanvallen. Bij zo’n geval moet er kunnen worden teruggevallen op werkende verbindingen. ‘Een mogelijkheid om dit te realiseren is door het instellen van een lokaal netwerk dat tijdens een disruptieve aanval tijdelijk is afgesloten van andere, niet vertrouwde, netwerken.’

Dutch Continuity Board

In Nederland zijn partijen die een dergelijk lokaal netwerk nastreven, verenigd in de Dutch Continuity Board. Zij willen het afsluiten van ‘externe netwerken’ stapsgewijs doen. Buitenlandse netwerken worden afgestoten, net zolang tot er alleen netwerken overblijven die geen overlast veroorzaken. ‘Gezien het nationale belang is het verstandig dat de overheid actief betrokken is bij de ontwikkeling van de protocollen die tijdens zulke digitale calamiteiten een rol spelen.’