Naar aanleiding van het bericht dat het NCSC wist van de kwetsbaarheid van de overheid maar niets deed, stuurt belangenbehartiger NLDigital een brandbrief aan de regering.
“We zouden willen zeggen dat we geschrokken zijn van het bericht in het Financieel Dagblad, maar de kop “Overheid wist wie kwetsbaar was, maar liet bedrijven toch gehackt worden” verbaast ons helaas niet meer. NLdigital pleit al lang voor beter informatievoorziening over kwetsbaarheden via het Digital Trust Center (DTC). “Hun werk is echter onmogelijk zolang de overheid haar informatiestromen niet regelt.”
Op dit moment is het Nationaal Cyber Security Center (NCSC) de plek waar informatiestromen over kwetsbaarheden en digitale dreigingen binnenkomen. “Om vervolgens in een zwart gat te verdwijnen,” zegt de belangenbehartiger in de brief. “Het DTC, dat de taak heeft het brede bedrijfsleven te informeren, krijgt deze informatie niet. Het recente voorval benadrukt wederom dat minister Grapperhaus en staatssecretaris Keijzer nu echt moeten ingrijpen: bescherm het nationaal belang en zorg er nu snel voor dat de benodigde informatie bij bedrijven kan komen. Zorg dat het DTC haar rol kan pakken.”
Wat er misgaat
Volgens NLDigital zit het probleem in het onderscheid tussen vitale en niet-vitale bedrijven. “Het Nationaal Cyber Security Center (NCSC) is belast met de bescherming van overheden en alle bedrijven die als “vitaal” zijn aangemerkt. Alle andere bedrijven vallen daar buiten. Wanneer het NCSC informatie ontvangt over bedrijven buiten haar werkterrein, gebeurt hier dus niets mee. Het verdwijnt in een zwart gat.”
NLdigital deed in 2016 al een oproep om een Digital Trust Center op te richten. Zij kunnen deze informatievoorziening voor het bredere bedrijfsleven verzorgen. Dit DTC is er inmiddels. Volgens de belangenbehartiger beschikt het echter nog steeds niet over de juiste informatie. “Dit probleem is al lange tijd bekend. In februari van dit jaar vroeg het onderzoeksbureau KWINK in haar evaluatie van het DTC nog nadrukkelijk aandacht voor dit probleem.”
Oplossing
De oplossing is volgens de organisatie versteviging van het DTC en informatiedeling binnen de overheid. “Voor NLdigital is de oplossing duidelijk. Wij roepen de minister en staatssecretaris dan ook op om hier direct mee aan de slag te gaan. Veranker en verstevig de rol van het DTC en zorg dat het NCSC wettelijk verplicht wordt de informatie die ze ontvangt te delen met het DTC. Dit kan niet langer wachten.”
De belangenbehartiger stelt in de brief dat er sprake is van ‘verwijtbare nalatigheid’. Dit komt vooral dat de overheid wist van de gevaren maar er niets aan deed. “Bedrijven hebben de verantwoordelijkheid hun cybersecurity op orde te hebben. Informatie over nieuwe kwetsbaarheden en mogelijkheden om die te dichten zijn daar een belangrijk onderdeel van. De overheid heeft vaak toegang tot bronnen die voor het bedrijfsleven niet direct beschikbaar zijn. Daarom is het van belang dat informatie die voorhanden is zo snel mogelijk wordt gedeeld met het bedrijfsleven. Wanneer het Kabinet bedrijven en burgers kwetsbaar laat terwijl de informatie voorhanden is om hen te beschermen, is er sprake van nalatigheid.
Niet de enige
De organisatie is niet de enige met deze boodschap. Daarom is de organisatie ook een van de ondertekenaars van het manifest van het Anti-Abuse Netwerk. Onder andere de Nationale Politie, het ministerie van Economische Zaken en Klimaat en het DTC hebben dit manifest ondertekend. Het ministerie van Justitie & Veiligheid en het NCSC ontbreken.
