De kritiek op het NCSC was niet van de lucht. Cyberaanval X en gijzelingsactie Y vielen wellicht te voorkomen - of te mitigeren - als slachtoffers weet hadden gehad van wat het cybersecurityorgaan van de Nederlandse overheid wist.

De Rotterdamse wijsheid ‘Niet praten maar poetsen’ snijdt in veel gevallen hout, maar voor betere beveiliging is praten toch echt noodzaak. Bijblijven in de ratrace van updates en noodpatches, sluwe cybercriminelen en goed gefinancierde aanvallers, omvangrijke ICT-omgevingen en complexe configuraties vereist kennis. Veel kennis. Bijvoorbeeld van kwetsbaarheden en - al dan niet publiekelijk beschikbare - exploitcode om daar misbruik van te maken.

Het Nationaal Cyber Security Centrum (NCSC) is krap tien jaar geleden opgezet om de weerbaarheid van de Nederlandse samenleving in het digitale domein te vergroten. ‘Nederland digitaal veilig’, zoals het NCSC het zelf kort neerzet. “De digitale infrastructuur is van levensbelang: voor betalingsverkeer, schoon water uit de kraan en om de voeten droog te houden”, somt deze digitale bewaker des vaderlands op. Maar er zijn nog veel meer factoren die van belang zijn voor het functioneren van de informatiesamenleving en digitaal gedreven economie die Nederland is. Vanuit de overheid is daar wel oog voor, maar het NCSC is beperkt tot bepaalde sectoren, bepaalde organisaties en bepaalde partners waar het informatie mee mag delen.

Daardoor weet de overheid soms wel dat er cybergevaar dreigt, maar onderneemt het lang niet altijd actie. Soms maandenlang niet, totdat het - haast onvermijdelijk - mis gaat. Het sleutelwoord ‘mandaat’ - plus bijbehorende beschikbaarheid van budget en mankracht - is al bij meerdere cybersecurity-incidenten gevallen.

Geruchtmakende affaires als de massale Citrix-aanvallen van begin 2020 hebben wel duidelijk gemaakt dat informatiedeling sneller, beter en vooral breder moet. Daarnaast moet er ook beter geluisterd worden naar waarschuwingen, maar dat is in wezen een andere horde voor betere beveiliging. Bij de Citrix-crisissituatie van nu alweer twee jaar geleden, heeft Nederland het nieuwe fenomeen van de ‘Citrixfile’ ervaren. Over maatschappelijke ontwrichting gesproken.

Dat kleine woordje omschrijft namelijk de kwestie van grote verkeersopstoppingen veroorzaakt door plots forensende werknemers. Zij werkten normaliter thuis met behulp van Citrixsoftware, maar moesten ineens naar een werklocatie omdat de software in kwestie toen gemankeerd of uitgeschakeld was. En dat vanwege een ernstig beveiligingsgat dat al een maand bekend was en dat actief werd misbruikt. Dit alles was dus nog vóór de coronapandemie met massaal thuiswerken en lockdowns.

Daarna zijn er nog meer digitale rampen geweest, zoals de Exchange-affaire, de SolarWinds-situatie en de Kaseya-kraak. Allemaal grote ICT-gevaren die brede maatschappelijke impact hadden en waar snellere, betere en bredere informatiedeling veel schade had kunnen schelen. Terwijl aan de frontlinies van cybersecurity deze kritieke incidenten werden aangepakt, werd er ‘achter de schermen’ hard gewerkt aan het optuigen van de noodzakelijke informatiedeling.

Het Digital Trust Center (DTC) en het Landelijk Dekkend Stelsel (LDS) zijn twee van de resultaten van dat werk. Het doel van die organisaties is om kritieke informatie over cyberbeveiliging snel te verspreiden zodat overheidsinstanties en bedrijven beschermende maatregelen kunnen nemen. Kon AG Connect in maart vorig jaar nog melden dat het Landelijk Dekkend Stelsel z’n naam nog niet bepaald waar maakte, daar was dat in maart dit jaar al een stuk verbeterd.

Ondertussen is het DTC bezig met een pilot voor zijn waarschuwingsdienst, die niet-vitale bedrijven in Nederland moet voorzien van informatie over cyberdreigingen. De gestage vorderingen op dit gebied steken misschien wat schril af tegen de snelle ontwikkelingen op het gebied van cybercrime. De ene na de andere hackaanval met afpersing en/of datadiefstal komt voorbij; groei in aantal en impact, gedreven door grof geld en drijvend op kritieke kwetsbaarheden.

Belangrijk punt hierbij is dat er voor het breder delen van dreigingsinformatie in Nederland nog het tijdrovende proces van een wetswijziging nodig was. En dat in tijden van een lopende coronacrisis, een demissionair kabinet, Prinsjesdag en meer non-cyber overheidszaken. Inmiddels is er vanuit de overheid een buffet aan securityhulp opgediend. Daarbij wijzen betrokken ministeries (waar organen als het NCSC en het DTC onder vallen) ook op de verantwoordelijkheid van het bedrijfsleven. De aangeboden security moet niet koud wordend op de buffettafel blijven staan.

Cybersecurity moet echt meer aandacht krijgen, vertelde NCSC-directeur Hans de Vries begin dit jaar in gesprek met AG Connect. “We krijgen dagelijks meldingen van dreigingen. Wereldwijd neemt het aantal grootschalige aanvallen toe, dat raakt ook Nederland. Maar we doen het hier niet slecht. We zien dat we kunnen acteren en reageren op de vraagstukken die spelen.”

Het wordt echter steeds lastiger om dat vast te blijven houden, ziet de directeur. “We houden het tempo moeilijk bij in Nederland. Omdat Nederland in hoog tempo digitaliseert, is er ook steeds meer wat we veilig moeten maken en houden. De druk op informatiebeveiliging neemt ondertussen alleen maar toe.”

Ons land is dan ook kwetsbaar door digitalisering, heeft de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) Pieter-Jaap Aalbersberg vorig jaar al gewaarschuwd. Die kwetsbaarheid valt niet geheel weg te nemen, maar valt wel beter aan te pakken. Een deels communicerende gelegenheidsformatie van overheidsinitiatieven, bedrijfsallianties en ook vrijwilligersorganisaties zoals de DIVD werpt zich op om Nederland beter te beveiligen, elk voor zich én samen.