Digitale weerbaarheid aangetast door achterhouden informatie door NCSC
Digitale weerbaarheid aangetast door achterhouden informatie door NCSC
dinsdag 18 augustus 2020 Naar aanleiding van het artikel in het Financieele Dagblad van 17 augustus jl. ‘Overheid wist wie kwetsbaar was, maar liet bedrijven toch gehackt worden. Overheid gooit informatie over hacks bij bedrijven weg’ roept CIO Platform Nederland de overheid vandaag op om dit nooit meer te laten gebeuren. En haar rol voor de digitale weerbaarheid van de Nederlandse samenleving op te pakken.
Volgens het FD heeft een cybercrimineel onlangs verschillende Nederlandse bedrijven gehackt en wachtwoorden online gezet. Het ministerie van Justitie en Veiligheid was van tevoren expliciet gewaarschuwd dat veel van deze organisaties gevaar liepen, maar deed niets met de ontvangen informatie. De bedrijven zouden namelijk 'niet vitaal' zijn.*
Het artikel vervolgt dat binnen de 'juridische mogelijkheden' het NCSC (Nationaal Cyber Security Centrum, red.) er alles aan gedaan heeft om organisaties te informeren. Maar 'organisaties buiten het wettelijk mandaat kunnen helaas niet door het NCSC geïnformeerd worden.'
Ronald Verbeek, algemeen directeur van CIO Platform Nederland, stelt dat de overheid veel schade bij partijen had kunnen voorkomen als zij de informatie had gedeeld en niet had achtergehouden. Het mag niet zo zijn dat, omdat de overheid zichzelf teveel beperkingen heeft opgelegd bij het wettelijk vastleggen van en te strak vasthoudt aan de scope van het NCSC, andere bedrijven en organisaties hiervan de dupe worden.
Het ministerie van Justitie en Veiligheid zou dit probleem kunnen oplossen door óf de scope van het NCSC** te verbreden voor dit soort gevallen, ze schreven deze wet immers zelf, óf via het DTC*** (Digital Trust Center) dergelijke informatie naar partijen buiten haar scope te laten sturen. Dat is juist daarvoor in het leven geroepen.
CIO Platform Nederland roept het ministerie van Justitie en Veiligheid op om verdere schade aan het bedrijfsleven te voorkomen door dit nooit meer te laten gebeuren. En haar verantwoordelijkheid te pakken door meteen (eerder in weken dan in maanden) met een gerichte oplossing te komen. De minister van Justitie en Veiligheid wijst het bedrijfsleven graag op cyber security verantwoordelijkheden, terecht, maar dit is een situatie waar hij zelf snel stappen kan zetten om Nederlandse bedrijven cyber veiliger te maken.
CIO Platform Nederland
Ronald Verbeek, Algemeen Directeur
Voetnoot:
* Het FD artikel: https://fd.nl/ondernemen/1353350/overheid-wist-wie-kwetsbaar-was-maar-liet-bedrijven-toch-gehackt-worden
** De wetttelijke taak van het NCSC: https://www.ncsc.nl/over-ncsc/wettelijke-taak
*** De scope van DTC: https://www.digitaltrustcenter.nl/over-het-digital-trust-center