Advertentie
digitaal / Nieuws

Onderzoeksraad: Nederland te traag met cybersecurity

Een jaar na het kritische Citrix-rapport is nog veel te weinig vooruitgang geboekt. De Onderzoeksraad voor Veiligheid slaat alarm.

13 december 2022
digitaal alarm
Shutterstock

De Onderzoeksraad voor Veiligheid (OVV) luidt de noodklok over de staat van cybersecurity in Nederland. De kloof tussen cyberdreiging en -weerbaarheid wordt steeds groter, constateert het zelfstandige bestuursorgaan. Dit nadat een jaar geleden het OVV-onderzoeksrapport naar aanleiding van de Citrix-securityramp is uitgebracht, met daarin zeven aanbevelingen. De aanpak van cybersecurity heeft versnelling nodig, aldus de raad nu.

Ervaren Adviseurs Ruimtelijke Ordening

Publiek Netwerk in opdracht van Gemeente Gooise Meren
Ervaren Adviseurs Ruimtelijke Ordening

Teamleider Mediacentrum

Publiek Netwerk in opdracht van Hogeschool Leiden
Teamleider Mediacentrum

Kwetsbaar door software

Betrokken partijen moeten sneller handelen en ze moeten het tempo op alle relevante gebieden verhogen. Dit stelt de Onderzoeksraad in de vandaag gepubliceerde notitie opvolging aanbevelingen van het onderzoek. Daarbij richt het orgaan zich op overheidsorganisaties én bedrijven, die het eind 2021 ook aansprak met het onderzoeksrapport ‘Kwetsbaar door software: Lessen naar aanleiding van beveiligingslekken door software van Citrix'.

Citrix-ramp en -files

Dat rapport is tot stand gekomen na de grote securityramp door kwetsbare Citrix-systemen. Die impactvolle gebeurtenis is eind 2019 begonnen en heeft nog een flinke nasleep gehad, ook geruime tijd later. Veel uiteenlopende bedrijven, organisaties en overheden zijn geraakt, hetzij door cyberaanvallen hetzij door (preventief) zelf systemen uit te schakelen. Doordat mogelijkheden voor thuiswerken daarmee ontoegankelijk waren, moesten veel werknemers toch naar (een) kantoor gaan en is het nieuwe woord 'Citrix-file' ontstaan.

Digitale veiligheid

De OVV is in de zomer van 2020 begonnen met eigen onderzoek naar deze cybersecurityramp. Daarbij is met name de aanpak van het probleem onderzocht in de maanden nadat het lek in Citrix' software ontdekt was. De raad heeft in dat onderzoek 'bijzondere aandacht' gegeven aan de verantwoordelijkheden en bevoegdheden omtrent digitale veiligheid in Nederland. Het doel was om de digitale veiligheid in ons land te vergroten, verklaarde de raad toen.

Telkens weer

Het gaat om 'die ene telkens terugkerende vraag', vertelde OVV-voorzitter Jeroen Dijsselbloem aan AG Connect bij het verschijnen van het onderzoeksrapport een jaar geleden. 'Wie gaat hier over?' De OVV-voorzitter verduidelijkte die ene kernvraag nog, want in de praktijk gaat het er niet alleen om wie er verantwoordelijk ís. Belangrijker nog is wie zich daarnaar gedráágt. 'Wie neemt de leiding? Hoe is de crisis response geregeld?' In veel gevallen blijkt dat niet goed geregeld, niet goed vastgelegd en niet goed afgestemd. Telkens weer.

Het gaat meerdere jaren te duren (tot 2026) tot de acties zijn uitgevoerd

Nu, een jaar later, is de situatie niet veel verbeterd. Of in ieder geval niet genoeg. Wat daarbij ook meespeelt, is het feit dat dreiging en impact van digitale aanvallen steeds groter wordt. Niet alleen komt stilstand dus neer op achteruitgang, maar (te) kleine verbeteringen betekenen ook achteruitgang. De OVV stelt dan ook dat de kloof tussen cyberdreiging en weerbaarheid steeds groter wordt.

Eerste aanbeveling

In de notitie nu stipt de raad aan dat het in 2021 verschillende aanbevelingen heeft gedaan aan overheidspartijen en het bedrijfsleven. 'De eerste aanbeveling is erop gericht om op korte termijn de responscapaciteit te vergroten. De zes andere aanbevelingen hebben als doel om een systeem te laten ontstaan waarbinnen fabrikanten en afnemers voortdurend werken aan het veiliger maken van software', legt de OVV uit. Die zeven aanbevelingen zijn niet aan dovemansoren gericht, maar toch schort het nog aan concrete en snelle opvolging. 'Uit de reacties op het onderzoeksrapport blijkt dat het kabinet en het bedrijfsleven het belang van een verbeterde aanpak voor cybersecurity herkennen. De Raad vindt het hoopvol dat de partijen verschillende intenties uitspreken en acties benoemen die ze (gaan) ondernemen.'

Snellere actie

Tot zover het positieve nieuws, want deze woorden leiden nog niet snel genoeg dat daden. 'Het gaat echter meerdere jaren te duren (tot 2026) tot de acties zijn uitgevoerd', meldt de OVV. 'De Raad roept partijen op om te komen tot een voortdurende versnelling van het handelen om de digitale veiligheid te vergroten. Snellere actie is nodig. Naast de overheid wordt hierbij ook gewezen naar bedrijven, die ook te weinig en te traag vorderingen maken.'

Vrijwillige naleving

'Fabrikanten van software komen nog niet collectief in actie, zij wijzen vooral naar de verantwoordelijkheid van de afnemer en het ontbreken van een gelijk speelveld. Het is op dit moment nog niet duidelijk welk effect Europese wet- en regelgeving zal hebben op deze dynamiek.' Het kabinet werkt wel aan wettelijke basis, zoals aanbevolen door de OVV, om overheden te verplichten tot betere beveiliging. Maar 'voor bedrijven houdt het kabinet het bij vrijwillige naleving van aangescherpte gedragscodes'.

Bron: AG Connect

Plaats als eerste een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.

Advertentie