Overheid en bedrijfsleven moeten veel meer samenwerken om de digitale veiligheid te verbeteren. Dat stelt Onderzoeksraad voor Veiligheid in een advies. Door samen te werken kunnen ze hun positie richting softwarefabrikanten versterken en hun schaarse expertise beter inzetten.
Een van de aanleidingen voor het advies is de grote hack van december 2019 bij Citrix. Waarschuwingen daarvoor werden wel gedeeld binnen de overheid maar niet met andere potentiële slachtoffers, met alle gevolgen van dien.
Zowel fabrikanten als overheden en andere organisaties zullen volgens de Raad samen tot een effectieve aanpak moeten komen om Nederland weerbaarder te maken tegen cybercriminaliteit. Dit vraagt van fabrikanten dat zij de veiligheid van hun software voortdurend en fundamenteel verbeteren.
Europa en overheid
De Onderzoeksraad vindt ook dat op Europees niveau kwaliteitseisen aan software moeten komen om softwarefabrikanten te dwingen verantwoordelijkheid te nemen voor de veiligheid van hun product.
De overheid zelf kan de bewaking van de digitale veiligheid regelen zoals in de Comptabiliteitswet. Dat betekent dat één bewindspersoon en een centrale dienst komt die hierop toeziet, zo nodig kan ingrijpen en verantwoording aflegt. Ook beveelt de Raad aan dat grotere bedrijven en organisaties wettelijk worden verplicht om verantwoording af te leggen over de wijze waarop zij hun digitale veiligheid beheersen.
Verantwoordelijkheid fabrikanten
Veilige software is allereerst de verantwoordelijkheid van de fabrikant. De Onderzoeksraad stelt dat fabrikanten meer zouden moeten investeren om de veiligheid van software voortdurend te verbeteren. Fabrikanten overstelpen softwaregebruikers nu met patches en updates om gebreken in hun software te verhelpen zonder met structurele oplossingen te komen.
Er zijn geen instrumenten die afnemers van software onafhankelijk inzicht bieden in de veiligheid van de software. Ook schiet de eigen kennis en positie van afnemers vaak tekort om zelf eisen te stellen aan fabrikanten en veiligere software af te dwingen, of zien zij daar het belang niet van in.
Overheidsaanpak
Veel organisaties die software gebruiken en potentieel slachtoffer zijn van cyberaanvallen worden nu niet gewaarschuwd. Het NCSC ziet voor zichzelf wettelijk geen mandaat om organisaties buiten de overheidsdiensten en vitale organisaties te waarschuwen. Het is volgens de Onderzoeksraad van groot belang dat er vanuit de overheid een centrale aanpak komt om dreigingen te signaleren en alle potentiële slachtoffers van cyberaanvallen zo snel en direct mogelijk te waarschuwen, met voldoende mandaat en wettelijke waarborgen.
Lees ook:
- IT-security: voor ziekenhuizen een zaak van leven of dood
- CSR: aanscherping maatregelen nodig voor cyberweerbare samenleving
