Bedrijfsleven zet alarmsysteem op vanwege 'te trage overheid'
Zij is als voorzitter van AAN (Anti-Abuse Netwerk) betrokken bij dit initiatief.
De initiatiefnemers van dit alarmsysteem voor cybercrime willen niet langer wachten op de overheid. Afgelopen zomer hebben drie Nederlandse topmannen van securitybedrijven al de noodklok geluid. Zij waarschuwden dat een nationale ramp dreigt door de snelle stijging van ransomware-aanvallen. De overheid zou adequater moeten optreden, stelden Job Kuijpers (directeur en oprichter van Eye), Ronald Prins (oprichter van Hunt & Hackett en voorheen van Fox-IT) en Pim Takkenberg (directeur cybersecurity bij Northwave). In reactie aan AG Connect hebben betrokken ministeries gewezen op wat er al gedaan wordt plus wat er al loopt aan initiatieven voor digitale beveiliging.
Overheid plus bedrijfsleven
Daarbij heeft de overheid echter ook teruggewezen naar het bedrijfsleven, waar een gebrek aan basisbeveiliging speelt. Zo noemt het ministerie van Justitie en Veiligheid dat veel organisaties “nog steeds niet alle benodigde basismaatregelen treffen of deze onvoldoende implementeren”. Dit omvat bijvoorbeeld "het gebruik van multifactorauthenticatie, tijdige patching, en logging van netwerkverkeer". Het verbeteren van cybersecurity is werk voor overheid én bedrijven, aldus de overheid in reactie aan AG Connect.
Het bedrijfsleven kan daar wel hulp bij gebruiken, die nu vanuit de hoek van securitybedrijven komt. Het nieuw opgezette samenwerkingsverband combineert een meldpunt voor gevonden kwetsbaarheden met een automatisch waarschuwingssysteem voor kwetsbare partijen. Een soortgelijke constructie bestaat al in de vorm van het vrijwilligersinitiatief DIVD (Dutch Institute for Vulnerability Disclosure), dat de afgelopen tijd veel werk heeft verzet met de grote Exchange-kwetsbaarheid ProxyLogon en de verreikende hacks via beheersoftwareleverancier Kaseya.
Staat klaar
Bij het nieuwe Nederlandse waarschuwingssysteem zijn diverse branche- en nonprofitorganisaties aangesloten, waarmee ook internetproviders worden omvat. Waarschuwingen voor kwetsbaarheden en openstaande systemen kunnen dan naar een kwetsbare organisatie, maar ook naar de internetaanbieder daarvan worden gestuurd. Het alarmsysteem hiervoor is in wezen al opgetuigd, weet het FD te melden. "De hardware en software die nodig zijn, hebben we al klaarstaan", zegt NBIP-directeur Octavia de Weerdt tegen het financiële vakblad.
Ondertussen werkt de overheid gestaag verder aan het breder aanbieden van security-informatie, inclusief waarschuwingen. Het NCSC (Nationaal Cyber Security Centre), wat valt onder het ministerie van Justitie en Veiligheid, mag namelijk niet zomaar Nederlandse bedrijven waarschuwen. Een recente wetswijziging verruimt dit weliswaar, waardoor via het Digital Trust Center (wat valt onder het ministerie van Economische Zaken) meer organisaties bereikt kunnen worden. Het DTC heeft nu een pilotproject lopen.
'Overheid onderschat urgentie'
De initiatiefnemers van het nieuwe, private alarmsysteem stellen dat dit alles te langzaam gaat. Volgens Bryan van Fox-IT - en het hierbij direct betrokken AAN (Anti-Abuse Netwerk) - onderschat het NCSC de urgentie en het tempo volledig. "Informatie moet binnen enkele minuten worden gedeeld. Dat duurt nu weken", stelt zij. Het nieuwe initiatief gaat zijn informatie delen met het NCSC en hoopt dat dat ook andersom gaat gebeuren.
Tegenover het FD heeft het NCSC laten weten welwillend tegenover het plan te staan. De overheidsinstantie wil graag in gesprek gaan over de verdere invulling. Ook het DTC is positief. Het orgaan voor bredere waarschuwing aan organisaties en bedrijven wijst erop dat het cyberweerbaarder maken van het Nederlandse bedrijven een enorme klus is. Ons land telt 1,8 miljoen bedrijven. Hulp die aanvullend is, is dan ook welkom.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee