Veel mis in Nederlandse ict-beveiliging, zelfs geen verweer tegen simpele hacks
Veel Nederlandse organisaties kunnen niet eens de meest basale digitale aanvallen afweren, omdat ze hun beveiliging niet op orde hebben. Het grote aantal hackaanvallen dat daarvan het gevolg is, leidt er bovendien toe dat de politie overbelast raakt. Die waarschuwing geeft de Cyber Security Raad, een adviesorgaan van het kabinet.
Al jaren wijzen de veiligheidsdiensten, zoals de AIVD en de NCTV, op het gevaar van cyberaanvallen en de kwetsbaarheid van Nederland. De raad sluit zich daarbij aan en zegt dat de overheid daar veel meer aandacht en geld voor over zou moeten hebben.
Ook bij vitale bedrijven, zoals het betalingsverkeer, het elektriciteitsnet en de watervoorziening, is de beveiliging niet op orde. Vrijdag nog werd drinkwaterorganisatie Waternet om die reden onder verscherpt toezicht geplaatst.
Effectief toezicht of organisaties hun beveiliging op orde hebben, is er lang niet altijd. Volgens de raad is dat wel nodig en zou er ook een fonds moeten komen voor extra veiligheidsmaatregelen.
Willekeurig slachtoffer
Veel bedrijven en organisaties denken onterecht dat ze geen slachtoffer worden, constateert de Cyber Security Raad. Wat ze daarbij vergeten is dat het risico groot is om slachtoffer te worden van criminelen die het niet per se op hen gemunt hebben, maar gewoon een willekeurig slachtoffer zoeken.
Het gevolg van slechte beveiliging is dat de politie wordt overstelpt met cyberzaken en deze stroom niet aankan. Eén zaak telt bovendien al snel veel slachtoffers, soms zelfs tienduizenden. En ook al is het aantal rechercheurs dat zich bezighoudt met internetcriminaliteit de afgelopen jaren flink uitgebreid, de kennis en capaciteit op dit gebied is bij de politie en het Openbaar Ministerie nog steeds beperkt.
Onduidelijk is ook hoeveel slachtoffers er precies zijn; aangifte doen moet volgens de raad makkelijker worden. Bovendien hebben bedrijven en instellingen niet de goede informatie om zich te weren tegen dreigingen.
De vele instanties die zich bezighouden met digitale veiligheid werken in de praktijk langs elkaar heen. De raad roept op tot één orgaan dat zich bezig houdt met overleg over 'digitale zaken'. Verder moeten juridische obstakels worden opgelost, zodat het delen van informatie over dreigingen makkelijker wordt.
Vertrouwen
Bedrijven en burgers kunnen ook niet altijd vertrouwen op de veiligheid van de producten die ze kopen, zoals een thermostaat die met internet verbonden is of de software waarmee een bedrijf de boekhouding doet. "Door het invoeren van een wettelijke zorgplicht worden leveranciers aansprakelijk voor de gevolgen van onveilige digitale producten en diensten", staat in het advies.
Ook zou flink geïnvesteerd moeten worden in het onderwijs en in kennis. Nu vertrekt veelbelovend ict-talent naar het buitenland, waardoor hier een tekort aan specialisten ontstaat.
De Cyber Security Raad, met leden uit de overheid, het bedrijfsleven en de wetenschap, denkt dat de komende jaren ruim 800 miljoen euro nodig is voor de belangrijkste ingrepen, zoals het beschermen van de vitale infrastructuur en het aanpakken van internetcriminaliteit door de opsporingsdiensten.
Permanente digitale dreiging
Minister Grapperhaus erkent dat digitale incidenten de potentie hebben om maatschappelijke ontwrichting en grote economische schade te veroorzaken. Hij tekent daarbij aan dat door de vergaande digitalisering die incidenten vrijwel dagelijks voorkomen.
Het kabinet heeft de afgelopen jaren al flink geïnvesteerd in internetbeveiliging, zegt hij, en dan met name in het verkrijgen van beter zicht op de dreigingen en risico's. Grapperhaus deelt de mening van de CSR dat verdere investeringen in de weerbaarheid tegen de permanente digitale dreiging door andere landen en criminelen hard nodig zijn.
Er moet volgens hem geïnvesteerd worden in het Nationaal Cyber Security Centrum, toezichthouders, inlichtingen- en veiligheidsdiensten, het Openbaar Ministerie en de politie. "Zij hebben een belangrijke taak in het digitaal veilig houden van Nederland."