Het Nationaal Cyber Security Center (NCSC) doet niets met het grootste gedeelte van de dreigingsinformatie dat het ontvangt. Door juridische beperkingen en de trage handelswijze van de instantie wordt meer dan 95 procent van de informatie weggegooid, terwijl deze wel degelijk relevant is. Eén op de vijf Nederlandse bedrijven wordt hierdoor jaarlijks het slachtoffer van een hack. Dat bevestigen betrokkenen tegenover de Volkskrant.
Het NCSC ontvangt dagelijks dreigingsinformatie, variërend van kwetsbaarheden in software tot aanwijzingen dat bedrijven mogelijk het doelwit zijn van ransomware-aanvallen. De Wet beveiliging netwerk- en informatiesystemen (Wbni) zegt dat het NCSC dergelijke informatie alleen mag delen met bedrijven en organisaties die onderdeel uitmaken van de vitale infrastructuur. Verder bepaalt deze wet dat veel relevante gegevens niet gedeeld mogen worden. Denk aan IP-adressen, e-mailadressen en wachtwoorden. Dergelijke gegevens worden door de Algemene Verordening Gegevensbescherming (AVG) beschouwd als persoonsgegevens en mogen dus niet gedeeld worden.
Dat zorgt niet alleen voor frustratie bij het bedrijfsleven en cybersecuritybedrijven: ook intern roept het flinke weerstand op. Ingewijden vertellen aan de Volkskrant dat slechts 5 procent van de dreigingsinformatie die de instantie ontvangt van inlichtingendiensten, buitenlandse samenwerkingsverbanden en non-profitorganisaties gedeeld wordt met bedrijven en organisaties die actief zijn in de vitale sector. Met het resterende deel van de informatie wordt niets gedaan, terwijl deze informatie wel degelijk cruciaal is. “Door het geklooi van de laatste jaren is het sentiment over het NCSC slecht. De WBNI is niet goed doordacht”, zo vertelt een ingewijde aan het dagblad.
Een woordvoerder van het NCSC kan niet bevestigen dat slechts 5 procent van de dreigingsinformatie op de juiste plek terecht komt. Een deel van deze informatie wordt automatisch doorgestuurd naar de doelgroep, bijvoorbeeld informatie over computersystemen die mogelijk met malware besmet zijn. “Andere dreigingsinformatie wordt pas na analyse gedeeld of wordt alleen voor beeldvorming gebruikt”, aldus de woordvoerder.
Frank Breedijk van het Dutch Institute for Vulnerability Disclosure (DIVD) stelt dat het systeem om dreigingsinformatie te delen ‘veel te ingewikkeld’ is gemaakt. Zo scant het NCSC niet actief en breed het internet op bekende kwetsbaarheden. De supply chain attack op IT-dienstverlener Kaseya is een goed voorbeeld hoe het hierdoor enorm mis kan gaan. Drie maanden na de aanval bleken 28 Nederlandse bedrijven nog altijd kwetsbaar te zijn, waarvan enkele werden gehackt. Het NCSC weigerde in deze casus het internet te scannen om te kijken welke partijen gevaar liepen.
“Dat is als voelen aan een deur die openstaat”, vertelt Breedijk. “Je steelt niets, je verandert niets, er is een dreiging en het is proportioneel.” Technisch gezien is het hacken omdat je een systeem binnengaat, en dat mag het NCSC niet. Zodoende worden potentiële doelwitten niet op de hoogte gebracht van het dreigingsgevaar.
De overheid is zich bewust hiervan en doet er alles aan om het NCSC meer handvatten te geven om relevante en actuele dreigingsinformatie met niet-vitale organisaties te delen. Het ministerie van Economische Zaken en Klimaat werkt aan een wetsvoorstel dat het mogelijk maakt om informatie over hackaanvallen en andere cyberdreigingen te delen met niet-vitale bedrijven en organisaties. Demissionair minister van Justitie en Veiligheid Ferd Grapperhaus is druk bezig om een Landelijk Dekkend Stelsel (LDS) op te zetten om de informatie-uitwisseling tussen de overheid, het bedrijfsleven en vitale sector te vereenvoudigen. Het Digital Trust Center (DTC) lanceert binnenkort een pilot om actuele dreigingsinformatie te delen met niet-vitale bedrijven en organisaties om zo hun digitale weerbaarheid te vergroten.
Het bedrijfsleven wil deze ontwikkelingen niet afwachten en kondigde dinsdag aan een eigen alarmeringssysteem te ontwikkelen. “Het NCSC onderschat volledig de urgentie en het tempo. Informatie moet binnen enkele minuten worden gedeeld. Dat duurt nu weken”, zei Inge Bryan van Fox-IT. Volgens haar wordt de overheid gehinderd door juridische beperkingen die een particulier initiatief niet heeft. De hard- en software die nodig is om het systeem op zetten, staan al klaar.
Het NCSC en het DTC zijn positief over het alarmsysteem, maar benadrukken dat er een duidelijke taakverdeling moet zijn als er zich een crisis voordoet. “Het cyberweerbaarder maken van de 1,8 miljoen bedrijven in Nederland is een enorme klus. We kijken graag hoe nieuwe initiatieven elkaar zo goed mogelijk kunnen aanvullen”, vertelt een woordvoerder van het DTC.
