NieuwsNationaal Cyber Security Center

Informatie over lekken in computernetwerken wordt niet goed gedeeld

Zelfs als de nationale internetbeveiliger NCSC weet dat er een zwakke plek in een netwerk zit, zal hij die informatie niet zomaar aan alle betrokkenen doorgeven. De organisatie is gebonden aan afspraken die dat onmogelijk maken. Dat moet anders, vinden de critici.

De discussie over het NCSC is actueel na de digitale gijzeling van de gemeente Hof van Twente.Beeld Sabine van Wechem

De ergernis over de gebrekkige manier van informatiedeling door het Nationaal Cyber Security Center (NCSC) groeit. Verscheidene experts vinden dat het NCSC, dat is ondergebracht bij het ministerie van Justitie en Veiligheid, niet goed functioneert. Informatie over digitale kwetsbaarheden wordt door het NCSC alleen gedeeld met een select gezelschap dat tot de ‘vitale infrastructuur’ hoort. De rest, zoals  gemeenten, maar ook bijvoorbeeld het hightech miljardenbedrijf  ASML, valt daarbuiten. 

De discussie over het NCSC is actueel na de digitale gijzeling van de gemeente Hof van Twente. Sinds begin december liggen de computersystemen daar plat; een criminele groepering heeft het netwerk overgenomen, data vernietigd en back-upsystemen versleuteld. De criminelen vragen 50 bitcoin, oftewel zo’n 750.000 euro, om de systemen weer vrij te geven.

Naar verluidt kwamen de hackers binnen via het Remote Desktop Protocol, een functie waarmee het mogelijk is om op afstand de controle over een andere pc over te nemen. En daar zit de kern van het probleem: in het voorjaar waren er ruim 100.000 Nederlandse ip-adressen te vinden die dat Remote Desktop Protocol hadden blootgesteld aan het internet. Met een simpele scan waren ze zichtbaar. Informatie over dat mogelijke lek kwam bij het NCSC, maar die organisatie deelt dat soort gegevens niet met bijvoorbeeld Hof van Twente. ‘Als er ergens informatie is die erop wijst dat bepaalde organisaties kwetsbaar zijn, moet die informatie naar die organisaties. Anders blijft het dweilen met de kraan open’, zegt Matthijs Koot, beveiligingsexpert bij Secura.

Privacywetgeving

Inge Bryan, vanaf januari managing director van netwerkbeveiligingsbedrijf Fox-IT en initiatiefnemer van het private Anti Abuse Netwerk (AAN), signaleert dat ‘informatie simpelweg niet op de juiste plek komt’. Bryan: ‘Het NCSC zou een centrale rol in de informatiedeling moeten spelen, maar kan dat door allerlei restricties niet.’ Eén obstakel is de strikte verdeling in ‘vitaal’ en ‘niet-vitaal’. Grote bedrijven vallen daar vaak buiten, evenals gemeenten en MKB-bedrijven. Een ander probleem is dat personen die een kwetsbaarheid vinden, niet weten bij wie ze terecht kunnen. Nog een belangrijk obstakel is dat het NCSC vindt dat een ip-adres een persoonsgegeven is en daarom onder privacywetgeving valt. Als het NCSC informatie krijgt over een ip-adres waaruit spam wordt verstuurd of malware, wil het die informatie om die reden niet met anderen delen. 

‘Zo interpreteert het NCSC de privacywet. En dat geeft een probleem’, zegt Petra Oldengarm, directeur van brancheorganisaties Cyberveilig Nederland. Zij meent dat Nederland kan leren van Groot-Brittannië: ‘Nederland heeft geen centraal cybersecurity adviesorgaan, zoals de Britten dat wel hebben met het NCSC daar.’ Dat Britse NCSC adviseert en ondersteunt de Britse publieke én de private sector. Een taak die veel breder is dan die van het Nederlandse NCSC. 

Gefragmenteerd

Oldengarm: ‘De Nederlandse informatiedeling is traag, gebrekkig en gefragmenteerd.’ Als een partij als Microsoft interessante kwetsbaarheden ontdekt, deelt die partij dat met het NCSC, maar daar blijft het vervolgens liggen. Ook het WODC, het wetenschappelijke onderzoeksbureau, erkent de problemen in een rapport uit oktober. ‘We kunnen (...) niet negeren dat de groep niet-vitale cybermature bedrijven op het moment niet goed wordt bediend wat betreft de gewenste informatievoorziening.’ Het Digital Trust Center (DTC), dat over informatie beschikt voor niet-vitale bedrijven, mag dreigingsinformatie niet actief verspreiden.

Cyberveilig Nederland is afgelopen week aangemerkt als ‘schakelorganisatie’ om dreigingsinformatie te delen. Oldengarm: ‘Dat is een goed begin. Aangesloten leden zijn beveiligingsbedrijven die zelf veel klanten hebben. Die kunnen we sneller van dreigingsinformatie voorzien.’ Het NCSC zegt in een reactie dat het onderscheid vitaal/niet -vitaal nog steeds zeer relevant is . ‘Omdat het mede bepaalt waar we als Nederland de zwaarste weerbaarheidsmaatregelen voor treffen.’ Minister Grapperhaus (Veiligheid) is wel van plan het stelsel van informatiedeling te versterken. ‘Het streven is om de Kamer in januari te informeren over hoe de versterking het beste vorm kan krijgen naar aanleiding van de verkenning naar wettelijke bevoegdheden, en twee WODC-rapporten die ingaan op het stelsel.’ 

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden