.png)
_p.png){kind=small}
Eerdere berichten van het Financieel Dagblad en De Volkskrant meldden dat er een lek in de VPN-verbinding van aanbieder Pulse Secure was aangetroffen bij een aanzienlijk aantal bedrijven. Dit lek heeft een open poort gecreëerd naar het interne netwerk van deze bedrijven. De oorzaak van het lek in de VPN-verbinding wees op een niet uitgevoerde beveiligingsupdate. Matthijs Koot, beveiligingsexpert bij Secura, noemde het één “van de ernstigste zaken van [...] [zijn] carrière.” Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit Nijmegen, lichtte dit toe: “VPN’s [worden] juist gebruikt [...] om zaken af te schermen waar anderen niet bij mogen: het gaat om een kwetsbaarheid in een beveiligingsslot.” Dat een dergelijke open poort serieuze consequenties kan hebben, werd in 2015 wel duidelijk toen Chinese hackers zich via een VPN-verbinding toegang hadden verschaft tot het interne netwerk van het Nederlandse hightechbedrijf ASML en hun technologische kennis. De schade die ASML hierdoor leed, schatte de Amerikaanse rechter volgens het Algemeen Dagblad op 223 miljoen dollar. Minister van Justitie en Veiligheid, Ferdinand Grapperhaus, meldt aan het Financieel Dagblad dat hij er schoon genoeg van heeft. Het is hoog tijd dat cyber security serieus genomen wordt.
Slecht excuus
In een gesprek met Financieel Dagblad spreekt Grapperhaus zijn ongeloof uit over bedrijven die hun beveiliging niet op orde hebben. Deze nalatigheid wijtten bedrijven aan het feit dat het uitvoeren van een update geld kost. Een bedrijfsproces moet immers tijdelijk stil worden gelegd en de kans bestaat dat apparatuur moet worden vervangen omdat die niet met de nieuwste softwareversie overweg kan. Dit kan leiden tot omzetverlies en extra kosten. De minister kon zich moeilijk vinden in deze argumentatie: “Als dat je excuus is om de noodzakelijke veiligheidsmaatregelen niet te nemen, ben je echt een ongelooflijke oliebol.”
Hoewel ik het met Grapperhaus eens ben dat cyber security uiterst serieus genomen dient te worden, zijn de uitspraken van de minister enigszins hypocriet. Zo meldde De Volkskrant dat vele overheidsinstellingen, waaronder het Ministerie van Justitie en Veiligheid, hun beveiligingsupdates niet hadden uitgevoerd. Op de vraag of de updates nu wel zijn voltooid, zwijgt Grapperhaus. Wellicht zou de minister zich eerst moeten richten op de cyber security van zijn eigen ministerie, voordat hij bedrijven uitmaakt voor oliebol.
Serieus probleem
Dat de interne beveiliging bij de overheid nog niet op orde is, wil echter niet zeggen dat zij geen actie kunnen ondernemen. Minister Grapperhaus is van plan maatregelen te nemen tegen bedrijven die in zijn ogen niet genoeg hun best doen om hun interne beveiliging op orde te krijgen. Hij ziet niet alleen een passieve rol voor de overheid door invoering van boetes en dwangsommen voor zich, maar mogelijk ook een actieve rol voor het Nationaal Cyber Security Centrum (NCSC). Zo meldde hij aan het Financieel Dagblad: “Wij moeten kunnen zeggen tegen een bedrijf: als je het niet zelf regelt dan komen wij het wel doen.”
Binnen een organisatie zijn de leidinggevenden dikwijls verantwoordelijk voor het beleid binnen hun organisatie, waaronder de regels over cybersecurity. Van deze groep is door het Nationaal Cybersecurity Bewustzijnsonderzoek aangetoond dat slechts 37% van ondervraagde leidinggevenden zich altijd aan de afspraken houdt over digitale veiligheid in hun organisatie. Er is dus dringend verandering nodig in de mindset van leidinggevenden binnen organisaties. Bovendien meldt het NCSC in het laatste VPN-lek actief melding te hebben gedaan van de kwetsbaarheden bij de betrokken organisaties en instellingen - waaronder de rijksoverheid. De organisaties zijn zelf verantwoordelijk om wat met deze melding te doen. Op dit moment heeft het NCSC immers geen verdere bevoegdheid om actie te ondernemen; zij vervullen slechts een adviserende rol. Dit VPN-schandaal laat zien dat organisaties schijnbaar niet om kunnen gaan met deze verantwoordelijkheid. Grapperhaus stelt derhalve naar mijn mening terechte maatregelen voor om een dergelijk risico in de toekomst te voorkomen.
De voorgestelde maatregel om dwangsommen en boetes op te leggen bij bedrijven, die de benodigde stappen met betrekking tot de interne veiligheid niet zetten, is naar mijn mening effectief. Bij beveiligingsupdates zijn immers meer componenten betrokken dan alleen het uitvoeren van de update zelf. Vaak moet het bedrijfsproces stil worden gelegd en moeten er bepaalde kosten worden gemaakt. Om een beveiligingsupdate uit te voeren is dus een uitgebreide planning nodig. Bedrijven hebben daarom recht op een redelijke termijn om, in een situatie zoals het VPN-schandaal, actie te ondernemen. Zo krijgen bedrijven de kans om de update in te plannen en er de benodigde voorbereidingen voor te treffen. Indien bedrijven dit niet doen binnen de redelijke termijn, kunnen er dwangsommen en/of boetes worden opgelegd door de overheid. Op die manier kan de overheid ervoor zorgen dat er serieuzer wordt omgegaan met interne beveiliging.
De enige groep waar deze maatregel echter geen effect op zal hebben is de overheid zelf. Laatstgenoemde had immers zelf ook haar beveiligingsupdates niet voltooid. Wie controleert en sanctioneert hen? Wellicht ligt hier een taak voor het NCSC. Door hun een bredere bevoegdheid te geven in de noodzakelijke gevallen, kan ook de overheid zelf worden gecontroleerd. Met name de interne beveiliging van het Ministerie van Justitie en Veiligheid is van essentieel belang voor de nationale veiligheid. Deze bevoegdheid zou bijvoorbeeld in kunnen houden dat het NCSC in een dringende situatie een systeem plat kunnen leggen, zodat de nationale veiligheid niet meer in het geding is. Zij zouden dan ten minste ook tegen onze minister van Veiligheid en Justitie kunnen zeggen: “als je het zelf niet regelt dan komen wij het wel doen.”