Bescherming tegen cyberbedreigingen in ontwikkeling

De Wet beveiliging netwerk- en informatiesystemen (Wbni) bepaalt dat het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) dreigingsinformatie alleen mogen doorgeven aan ondernemingen die onderdeel uitmaken van de vitale infrastructuur. Onder 'vitaal' worden dan bijvoorbeeld internetproviders, nutsbedrijven en financiële instellingen gerekend. En dat is best zuur voor alle andere bedrijven en (zorg)instellingen die dus 'niet-vitaal' zijn. Het is logisch dat het Nederlandse bedrijfsleven vindt dat de overheid informatie over digitale dreigingen sneller moet delen. Daar wordt aan gewerkt, en tegelijkertijd werkt het bedrijfsleven aan een eigen alarmsysteem om te waarschuwen tegen acute digitale bedreigingen.

Publicatiedatum

21 december 2021

Onbegrip en ongemak

De Wbni heeft voor onbegrip en zeker ongemak gezorgd. Kwetsbaarheden in onder meer Microsoft Exchange Server en in Citrix mochten niet breed met het bedrijfsleven worden gedeeld, omdat bedrijven geen deel uitmaakten van de vitale sector. Dat leverde de niet-vitale bedrijven zoals zorginstellingen grote problemen op, terwijl ze bij een waarschuwing hadden kunnen voorkomen dat vertrouwelijke informatie door hackers werd gekopieerd en gedeeld op het dark web.

Wat doet de politiek?

Gelukkig is de beperkende werking van de Wbni ook tot in Den Haag doorgedrongen. Daar wordt nu gewerkt aan het wetsvoorstel om informatie over digitale bedreigingen breder te delen, ook met bedrijven en zorgorganisaties die niet binnen de vitale sector vallen. Dit moet het Landelijk Dekkend Stelsel (LDS) gaan worden. Het ministerie van Justitie en Veiligheid is hier momenteel hard mee aan het werk. Het Digital Trust Center werkt daarnaast aan een pilot om acute informatie over digitale bedreigingen breed te delen met het bedrijfsleven. Zo kan de digitale weerbaarheid vergroot worden, simpelweg omdat maatregelen dan eerder en effectiever genomen kunnen worden.

Wat doet het bedrijfsleven zelf?

Het is mooi dat de politiek een beweging maakt, maar het georganiseerde bedrijfsleven vreest dat het delen van essentiële informatie nog altijd de nodige vertraging op kan lopen. Daarom is het initiatief genomen om een eigen waarschuwingssysteem in te richten. Inge Bryan van Fox-IT in Delft vertelde in september in het Financieele Dagblad dat “we hebben besloten niet meer op de overheid te wachten en zo’n systeem zelf maar op te zetten.” En: “Het NCSC onderschat volledig de urgentie en het tempo. Informatie moet binnen enkele minuten worden gedeeld. Dat duurt nu weken.”

Gerechtvaardigd belang

Het voordeel van het nieuwe waarschuwingssysteem is dat obstakels waar de overheid tegen aanloopt, door het particuliere initiatief kunnen worden vermeden. Het gaat dan bijvoorbeeld om de AVG. Voor het delen van informatie over digitale bedreigingen een private organisatie zich beroepen op 'een gerechtvaardigd belang'. Deze informatie kan zo veel sneller en ook ongevraagd worden gedeeld.

En nu?

“Wat betreft de Incident Response Retainer wordt er ook gekeken hoe we dit in een collectief kunnen organiseren, eventueel samen met Z-CERT. Ook is bij ons het team intern bezig om te kijken hoe we Incident Response Retainers beschikbaar kunnen maken voor organisaties die verenigd zijn in een collectief”, aldus het statement van Fox-IT. Uiteraard zitten we bij Sovib op de voorste rij om bij een dergelijk collectief aan te sluiten. Blijf onze kanalen volgen om op de hoogte te blijven!