Nederland is niet goed voorbereid op cyberaanvallen – Parool.nl

\Nederland is niet goed voorbereid op cyberaanvallen\ - Parool.nl
Nederland niet klaar voor digitale ramp | Tech
Den Haag – Nederland is niet klaar voor een cyberaanval. De Wetenschappelijke Raad voor het Regeringsbeleid (WRR) concludeert dat een betere voorbereiding van de overheid, bedrijven en de samenleving op digitale ontwrichting nodig is.

Steeds meer systemen worden digitaal en we zijn op veel gebieden afhankelijk van computers. Maar dat maakt ons ook kwetsbaar voor cyberaanvallen. De WRR schrijft: Met de toenemende interactie tussen fysiek en digitaal komen onze economie, nationale veiligheid en het normale maatschappelijk leven op onvoorziene manieren in gevaar. Er kan enorme schade ontstaan en er kunnen daadwerkelijk slachtoffers vallen.

Door digitalisering nemen risicos toe

De WRR ziet daar verschillende voorbeelden van, in zijn nieuwste rapport. Door de cyberaanval WannaCry viel een deel van de Britse gezondheidszorg uit. NotPetya legde in Nederland de productie van belangrijke medicijnen plat en bracht één van de grootste containerrederijen ter wereld in de problemen. Maar naast cyberaanvallen kunnen ook gewone digitale storingen, zoals recent bij alarmnummer 112, grote gevolgen hebben waardoor er fysieke slachtoffers vallen.

Nu is vaak niet bekend welke bedrijven of instanties digitaal met elkaar verbonden zijn en daarmee van invloed zijn op belangrijke diensten. Dat bleek wel bij de hack van Diginotar in 2011. Een klein bedrijf dat niet tot de vitale infrastructuur [door de overheid aangewezen essentiële processen red.] werd gerekend. Toen de beveiligingscertificaten die Diginotar uitgaf niet meer betrouwbaar waren, konden veel digitale diensten in Nederland niet meer veilig worden gebruikt. Denk aan een overheidswebsite als DigiD. Door overheidsingrijpen en coulance van grote Amerikaanse internetondernemingen is Nederland destijds ontsnapt aan een digitale ramp. Al die afhankelijkheidsrelaties moeten goed in kaart worden gebracht, zodat snel duidelijk is wat de gevolgen van een storing ergens in de keten kunnen zijn.

WRR: Nederland is niet goed voorbereid op grootschalige cyberaanvallen

Digitale rampen worden volgens de WRR desondanks nog steeds niet serieus genoeg genomen. Voor ontwrichtende situaties in de fysieke wereld bestaan professionele crisisorganisaties en uitgebreide wet- en regelgeving. De voorbereiding op een digitale ontwrichting krijgt echter nauwelijks tot geen aandacht.

Het is nu vaak niet duidelijk wat de politie, het Nationaal Cyber Security Center, of een andere dienst precies mogen doen bij een digitale calamiteit. Hierbij zijn de verschillen met het blussen van een gewone brand groot. Als de overheid toegang krijgt tot de digitale huishouding van een bedrijf stuit die op een schat aan privacygevoelige informatie. Dat nu niet precies is vastgelegd aan welke voorwaarden de digitale hulptroepen zich moeten houden wat betreft die gegevens, kan ertoe leiden dat bedrijven zoals Maersk de overheid bij een crisis liever buiten de deur houden.

Overheden en bedrijven hebben bijvoorbeeld niet goed in kaart gebracht van welke leveranciers ze afhankelijk zijn voor het draaiend houden van vitale, digitale processen. Dit maakt het lastig om de ernst van incidenten te kunnen vaststellen en het hoofd te bieden aan een digitale ontwrichting. Bij de bestrijding hiervan ontbeert de overheid bovendien een duidelijk omschreven bevoegdheid om in te grijpen, aldus de WRR.

Volgens de WRR moet dat anders. Er moet snel in kaart worden gebracht wie er verantwoordelijk is voor vitale processen. En om snel in te grijpen bij een digitale ramp zijn digitale hulptroepen nodig met wettelijke bevoegdheden. De WRR wil ook dat onderzocht wordt hoe schade van een digitale ramp verzekerd kan worden.

Volgens het WRR moeten netwerken en toeleveranciers goed in kaart worden gebracht en moet daaropvolgend duidelijk worden of er meer terugvalopties bij moeten komen. Daarnaast moet er een schadepot komen voor slachtoffers van cyberaanvallen, omdat verzekeraars dergelijke aanvallen vaak niet vergoeden.

De serviceafdeling is te bereiken op telefoonnummer 088 – 0505 050. De servicepagina kun je hier vinden. Klik hier om direct de Krant.ad.nl te lezen.

In het gesprek met het AD noemt een woordvoerder de 112-storing als voorbeeld. “Het illustreert de enorme verwevenheid, in dit geval tussen de aanbieder KPN, softwarebedrijven die aan KPN leveren en het noodnummer, maar het toont ook aan hoe slecht we voorbereid waren.”