Het regent cybersecurity waarschuwingen van gezaghebbende instanties en deskundigen, onder meer door de AIVD, WRR en de Algemene Rekenkamer, ik schreef er al eerder over [1].

Er is het nodige bij gekomen, onder meer met betrekking tot financiële instellingen:

• DNB heeft meegedeeld dat ruim een op de twintig verzekeraars en pensioenfondsen in Nederland in 2021 te maken heeft gehad met een geslaagde cyberaanval, wat voor flinke schade heeft gezorgd [2].
• De Europese privacytoezichthouder EDPS waarschuwde [3] voor de risico’s van digitale betaalmethodes, zoals contactloze betaalmethodes, betalen met een pinpas, het gebruik van smartphones, qr-codes en nfc.

Onderzoeksraad voor Veiligheid: de lessen van Citrix
Een van de belangrijkste recente adviezen komt van de Onderzoeksraad voor Veiligheid, die in december het rapport ‘Kwetsbaar door software – Lessen naar aanleiding van beveiligingslekken door software van Citrix‘ [4] uitbracht. De Onderzoeksraad vat het advies als volgt samen:

De Nederlandse aanpak van digitale veiligheid moet snel en fundamenteel veranderen om te voorkomen dat de maatschappij ontwricht raakt door cyberaanvallen. Dat concludeert de Onderzoeksraad voor Veiligheid in het vandaag gepubliceerde rapport ‘Kwetsbaar door software’.

De Onderzoekraad onderzocht beveiligingslekken die ontstonden bij duizenden organisaties door kwetsbaarheden in software van Citrix. Jeroen Dijsselbloem, voorzitter van de Onderzoeksraad voor Veiligheid: “Uit dit voorval blijkt dat Nederlandse overheidsorganisaties en bedrijven zeer kwetsbaar zijn voor cyberaanvallen en dat er geen nationale structuur is waarbinnen alle potentiële slachtoffers van cyberaanvallen tijdig worden gewaarschuwd.”

(…)

Verantwoordelijkheid fabrikanten
Veilige software is allereerst de verantwoordelijkheid van de fabrikant. De Onderzoeksraad stelt dat fabrikanten meer zouden moeten investeren om de veiligheid van software voortdurend te verbeteren. Fabrikanten overstelpen softwaregebruikers nu met patches en updates om gebreken in hun software te verhelpen zonder met structurele oplossingen te komen. Er zijn geen instrumenten die afnemers van software onafhankelijk inzicht bieden in de veiligheid van de software. Ook schiet de eigen kennis en positie van afnemers vaak tekort om zelf eisen te stellen aan fabrikanten en veiligere software af te dwingen, of zien zij daar het belang niet van in.

Beperkte overheidsaanpak
Veel organisaties die software gebruiken en potentieel slachtoffer zijn van cyberaanvallen worden nu niet gewaarschuwd. Het NCSC ziet voor zichzelf wettelijk geen mandaat om organisaties buiten de overheidsdiensten en vitale organisaties te waarschuwen. Het is volgens de Onderzoeksraad van groot belang dat er vanuit de overheid een centrale aanpak komt om dreigingen te signaleren en alle potentiële slachtoffers van cyberaanvallen zo snel en direct mogelijk te waarschuwen, met voldoende mandaat en wettelijke waarborgen.

Aanbevelingen van de Onderzoeksraad
De samenleving wordt namelijk steeds afhankelijker van digitale systemen. Fabrikanten, overheden en organisaties zullen samen tot een effectieve aanpak moeten komen om Nederland weerbaarder te maken tegen cybercriminaliteit. Dit vraagt van fabrikanten dat zij de veiligheid van hun software voortdurend en fundamenteel verbeteren. De Onderzoeksraad doet de aanbeveling om op Europees niveau kwaliteitseisen aan software te stellen om softwarefabrikanten te dwingen verantwoordelijkheid te nemen voor de veiligheid van hun product. De Onderzoeksraad adviseert overheden en het bedrijfsleven hun krachten te bundelen. Door samen te werken kunnen ze hun positie richting softwarefabrikanten versterken en hun schaarse expertise beter benutten.

Binnen de overheid kan de bewaking van de digitale veiligheid worden geregeld zoals de bewaking van het voeren van zorgvuldig begrotingsbeleid is vastgelegd in de Comptabiliteitswet. Dat vergt dat er één bewindspersoon en een centrale dienst komt die hierop toeziet, zo nodig kan ingrijpen en verantwoording aflegt. Ook beveelt de Raad aan dat grotere bedrijven en organisaties wettelijk worden verplicht om verantwoording af te leggen over de wijze waarop zij hun digitale veiligheid beheersen.

Zou er nu eindelijk iets gaan gebeuren?

Noten

[1] Onder meer AIVD: Bescherm je kroonjuwelen nu al tegen de dreiging van quantumcomputers, 4 oktober 2021; ROB: “Politiek moet in actie komen om burgers te beschermen tegen uitdijende datahonger”, 4 juni 2021; Het ene datalek na het andere – wie beschermt de burger? | AVG, 20 april 2021; Bart Jacobs over de digitale pandemie, 2 maart 2021; Onveilige digitale toekomst en een inactieve overheid, 10 december 2020; Kabinet is niet bereid adequate maatregelen te nemen tegen cybersecurity-risico’s van kwantumtechnologie, 26 november 2020; Cybersecurity is ondergeschoven kindje bij de rijksoverheid | Algemene Rekenkamer over BuZa, 30 mei 2020; ‘Haast is geboden voor digitaal veilige inlogmiddelen voor burgers en bedrijven’ | CSR, 9 november 2019; WRR presenteert rapport over digitale ontwrichting | digitale hel en verdoemenis, 9 september 2019 en Grootse IT-plannen van een rijksoverheid die de eigen informatiebeveiliging niet op orde heeft, 22 mei 2019.

[2] Vijf procent van verzekeraars en pensioenfondsen slachtoffer van cyberaanval, Radar 24 december 2021.

[3] Bericht Europese privacytoezichthouder EDPS. Het bericht is door security.nl samengevat.

[4] Onderzoeksraad voor Veiligheid: aankondiging, rapport, bijlage bij het rapport.