Het Nationaal Cyber Security Center (NCSC), dat zich inzet voor de digitale veiligheid, deelt nog geen 5 procent van alle dreigingsinformatie die het ontvangt. De organisatie krijgt elke dag informatie over hackaanvallen, maar mag die door een wettelijke beperking slechts beperkt delen. De frustratie daarover is ook bij het NCSC zo groot dat er in dringende gevallen buiten de wet om wordt gehandeld.
Dat blijkt uit gesprekken met betrokkenen. Al langer is het delen van informatie door het NCSC een heikel punt. Een paar maanden geleden riepen vooraanstaande cybersecuritypartijen Northwave, Eye en Hunt & Hackett in de Volkskrant al op tot actie. Zij laakten vooral het gebrek aan daadkracht bij het NCSC en het strakke onderscheid tussen vitaal en niet-vitaal.
Het NCSC wil niet ingaan op het percentage van 5 procent. Een woordvoerder zegt dat er geen exacte cijfers beschikbaar zijn. ‘Het klopt dat alleen een deel (van de informatie, red.) automatisch wordt doorgestuurd, bijvoorbeeld informatie over systemen die mogelijk met malware zijn besmet. Andere dreigingsinformatie wordt pas na analyse gedeeld of wordt alleen voor beeldvorming gebruikt.’
Door de trage handelswijze en de beperkingen wordt meer dan 95 procent van de informatie uit bronnen als inlichtingendiensten, buitenlandse samenwerkingsverbanden en non-profitorganisaties weggegooid, terwijl die cruciaal is. Een op de vijf Nederlandse bedrijven wordt jaarlijks slachtoffer van een hack.
Naast de beperking dat het NCSC alleen met vitale partijen en de Rijksoverheid informatie mag delen – en sinds kort iets breder met bedrijven die onmiddellijk gevaar lopen – bemoeilijkt de Wet beveiliging netwerk- en informatiesystemen (WBNI) de werkwijze. IP-adressen vanwaaruit hackaanvallen plaatsvinden worden gezien als persoonsgegevens en mogen niet worden gedeeld, evenals e-mailadressen en wachtwoorden.
Ook mag het NCSC alleen ‘scannen binnen de mogelijkheden’, wat betekent dat het niet actief breed scant op bekende kwetsbaarheden om te kijken welke organisaties gevaar lopen. Zo komt het voor dat bedrijven worden gehackt, terwijl dat voorkomen had kunnen worden als het NCSC ze eerder had ingelicht. ‘We hebben het systeem van informatiedelen veel te ingewikkeld gemaakt’, zegt Frank Breedijk van het Dutch Institute for Vulnerability Disclosure, een vrijwilligersorganisatie die onderzoek doet naar online kwetsbaarheden.
Dinsdag maakte het bedrijfsleven bekend zelf met een eigen waarschuwingssysteem te komen. Het wil niet langer wachten op het NCSC. ‘We hebben besloten om zelf maar zo’n systeem op te zetten’, aldus Inge Bryan, directeur van Fox-IT, in het FD.
Volgens Liesbeth Holterman van Cyberveilig Nederland, een brancheorganisatie van cybersecuritybedrijven en betrokken bij het initiatief, zijn bedrijven de afgelopen maanden slachtoffer geworden van een cyberaanval die voorkomen had kunnen worden als bekend was dat hun IP-adres of andere indicator was gecompromitteerd. Holterman: ‘Het NCSC deelt nu vanuit de wettelijke taak alleen risico en dreigingsinformatie met bedrijven die tot de doelgroep horen, daar gaat het mis.’
Het platleggen van transportbedrijf Bakker Logistiek, waardoor er geen kaas in winkels van Albert Heijn lag, was bijvoorbeeld het gevolg van een kwetsbaarheid in Microsoft Exchange die al langer bekend was.
Een ander voorbeeld is de wereldwijde aanval met gijzelsoftware via een kwetsbaarheid bij het bedrijf Kaseya. Onderzoekers van DIVD hadden die kwetsbaarheid in april ontdekt en met het NCSC gedeeld. Maar bij een aanval van criminelen bleken drie maanden later toch nog 28 Nederlandse bedrijven kwetsbaar en werden er uiteindelijk enkele gehackt. Dat kwam mede doordat het NCSC weigerde het internet te scannen om te kijken welke partijen gevaar liepen.
‘Dat is als voelen aan een deur die openstaat’, zegt Frank Breedijk. ‘Je steelt niets, je verandert niets, er is een dreiging en het is proportioneel.’ Maar omdat er feitelijk een systeem wordt binnengegaan, ziet het NCSC het als een vorm van hacken en dat mag de organisatie niet doen.
Die wettelijke beperkingen vindt het NCSC zelf ook storend, zeggen bronnen. Ze voelen zich met handen gebonden, met name door de WBNI uit 2018 die verhindert dat het NCSC persoonsgegevens mag delen. Een wetsvoorstel moet meer ruimte geven. Een ingewijde: ‘Door het geklooi van de laatste jaren is het sentiment over het NCSC slecht. De WBNI is niet goed doordacht.’
Het NCSC werkt daarom in noodgevallen nu om de wet heen. Vorige week is informatie over een aanval met gijzelsoftware bij twee bedrijven in een Europees land gedeeld met Nederlandse partijen om te voorkomen dat die ook slachtoffer zouden worden. ‘Het beeld dat het NCSC niets doet, is onjuist’, zegt een bron.
