Onderzoeksraad: aanpak cybersecurity moet fundamenteel anders
Om te voorkomen dat de maatschappij wordt ontwricht door cyberaanvallen, zijn er fundamentele ingrepen nodig. Essentieel is dat overheden, fabrikanten en organisaties samen een effectieve aanpak bedenken om Nederland weerbaarder te maken. Alle potentiële slachtoffers van cyberaanvallen moeten voortaan op tijd worden gewaarschuwd en niet slechts een deel, staat in een rapport van de Onderzoeksraad voor Veiligheid.
Aanleiding voor het rapport waren beveiligingslekken bij duizenden organisaties in december 2019 door een 'kwetsbaarheid' in de software van Citrix. Omdat er niet meteen breed alarm werd geslagen, maar slechts een deel van de gebruikers werd gewaarschuwd, konden aanvallers op grote schaal digitale systemen binnendringen.
De Onderzoeksraad stelt vast dat de aanvallers nog steeds toegang hebben tot systemen en data in bedrijven en organisaties, die ze op elk moment kunnen activeren. Als dat gebeurt, heeft dat een ontregelend effect op bedrijfsprocessen, dienstverlening, privacy en veiligheid.
Op 17 december 2019 maakte het bedrijf Citrix melding van een probleem in zijn softwaresysteem. Het Nationaal Cyber Security Center (NCSC) kwam meteen in actie, maar het waarschuwde alleen de Nederlandse gebruikers waarvoor het zich wettelijk verantwoordelijk achtte. Dat waren overheidsdiensten en organisaties die van vitaal belang zijn voor het functioneren van de maatschappij. Veel andere gebruikers werden niet gewaarschuwd, zodat de aanvallers daar konden binnendringen.
Europese kwaliteitseisen
De Onderzoeksraad is kritisch en stelt dat de waarschuwende rol van het NCSC nu te beperkt is. Het is daarom van groot belang dat de overheid kiest voor een centrale aanpak om dreigingen te signaleren en alle potentiële slachtoffers van cyberaanvallen zo snel en direct mogelijk te waarschuwen.
In het rapport wordt benadrukt dat veilige software allereerst de verantwoordelijkheid is van de fabrikanten. Die moeten meer doen om de veiligheid van hun producten "voortdurend en fundamenteel" te verbeteren, in plaats van gebruikers te overstelpen met software-reparaties en updates.
Om fabrikanten te dwingen die veiligheid op orde te brengen, moeten op Europees niveau kwaliteitseisen aan software worden gesteld, vindt de Onderzoeksraad voor Veiligheid.