Nederlandse cybersecuritydienst schaalt waarschuwingen flink op

Het gaat om waarschuwingen aan bedrijven dat zij risico lopen van een ernstige bedrijfsspecifieke digitale dreiging of kwetsbaarheid. Het kan daarbij concreet gaan om een ontdekte kwetsbaarheid in gebruikte software, maar ook om een (intern bedoelde) service die van buitenaf benaderbaar is. Het DTC doet zelf geen actief onderzoek naar dit soort securityzaken. Het dient als doorgeefluik voor informatie over digitale dreigingen en kwetsbaarheden. Die informatie komt vanuit samenwerkingen met schakelorganisaties en cybersecurity-onderzoekers.

Keuring en automatisering

Het DTC doet wel zelf aan een 'keuring' van binnengekomen informatie. "Als de ontvangen gegevens na een aantal controles worden ingeschat als een ernstige cyberdreiging voor een (niet-vitaal) Nederlands bedrijf, dan gaat het DTC over tot het notificeren van dit specifieke bedrijf", legt de overheidsdienst uit. Hierbij gaat het dus om relevante en bedrijfsspecifieke notificaties. Die zijn sinds juni 2021 35.000 keer afgegeven, meldt het DTC nu in een persbericht. Een opmerkelijk grote toename ten opzichte van de 5200 van december vorig jaar (eveneens geteld vanaf juni 2021).

Deze opschaling wordt door het DTC verklaard door te wijzen op automatisering. Projectleider Kim van der Veen legt uit dat er meer bronnen zijn aangesloten op de dataverwerkingssystemen van de waarschuwingsdienst. Dat levert ook beter gerichte en dieper gaande notificaties op. "Voorheen konden we soms geen bedrijfsnaam vinden bij een gevonden kwetsbaarheid, maar wel gegevens van netwerkeigenaren, bijvoorbeeld een internet service provider (ISP) of managed service provider (MSP)."

Zo'n tussenpartij kan wel cruciaal zijn als route van het DTC naar de eigenlijke, getroffen partij. "We zien dat de netwerkeigenaren een belangrijke rol spelen als schakel tussen het DTC en de systeemverantwoordelijke. Om deze reden notificeren we nu ook rechtstreeks naar deze netwerkeigenaren en rekenen erop dat zij hun verantwoordelijkheid pakken en deze cyberdreiging óf oplossen óf doorzetten naar het betreffende bedrijf voor wie de kwetsbaarheid geldt", aldus Van der Veen. Daarbij houdt het DTC wel rekening met informatie-overload: om dat voor netwerkeigenaren te vermijden, worden meldingen over dezelfde kwetsbaarheid als gebundelde notificatie aangeleverd. Netwerkeigenaren kunnen dan hun klanten of bij hun aangesloten partijen weer waarschuwen.

Dit jaar al 58 cyberincidenten

Sinds begin dit jaar zijn er al 58 verschillende cyberincidenten geweest die hebben geleid tot waarschuwingen aan Nederlandse bedrijven. Het ging hierbij veel om kwetsbaarheden zoals beveiligingslekken, configuratiefouten en gestolen inloggegevens die ontdekt zijn bij internetscans. Kwetsbare apparaten en software zijn dan verbonden met het publieke internet en daarlangs mogelijk te misbruiken. Het DTC noemt als recent geval de kritieke kwetsbaarheid in Progress MOVEit Transfer, een applicatie voor het delen van bestanden. "Deze kwetsbaarheid werd op grote schaal actief misbruikt en het DTC heeft de getroffen bedrijven snel kunnen notificeren", meldt de waarschuwingsdienst nu aan de pers.