Demissionair minister van Justitie Ferd Grapperhaus is het niet eens met kritiek dat de overheid en cybersecurity-orgaan NCSC de urgentie en tempo van cybersecurity onderschatten. Hij juicht initiatieven in en vanuit het bedrijfsleven toe zoals het opzetten van een eigen alarmsysteem tegen hackers. Ondertussen begint overheidsorgaan Digital Trust Center (DTC) deze maand aan een pilot voor breder delen van dreigingsinformatie. Daarna moet duidelijk worden of en hoe deze nieuwe dienst kan worden opgeschaald, aldus Grapperhaus.
Wanpresteren
'Het is een positieve ontwikkeling dat private initiatieven op het gebied van cybersecurity, zoals het ‘alarmsysteem’, zich ontwikkelen', antwoordt de demissionaire minister op Kamervragen van CDA-leden Amhaouch en Palland. Zij vragen naar wanpresteren van de Nederlandse overheid op het gebied van ict-beveiliging. Het bedrijfsleven is namelijk een eigen alarmsysteem gestart tegen hackers en dreigende hackaanvallen. Daarnaast speelt het feit dat informatie die de overheid heeft over op handen zijnde hacks grotendeels wordt weggegooid.
Ambitie, slagkracht en daadkracht
Grapperhaus erkent dat die twee zaken 'een zekere samenhang' lijken te hebben. Het initiatief van het alarmsysteem vanuit het bedrijfsleven past volgens hem 'binnen de ambitie die het kabinet heeft om te komen tot een Landelijk Dekkend Stelsel (LDS) van cybersecuritysamenwerkingsverbanden zoals omschreven staat in de Nederlandse Cybersecurity Agenda (NCSA)'.
Samenwerking
'Om in Nederland op nationaal niveau voldoende slagkracht te kunnen organiseren tegen de toenemende digitale dreiging is publiek-private samenwerking noodzakelijk. De overheid stimuleert de totstandkoming van samenwerkingsverbanden zodat tussen hen informatie over digitale dreigingen en incidenten, die relevant is voor de verschillende doelgroepen, efficiënter en effectiever wordt gedeeld.' Het Digital Trust Center (DTC) is opgezet door de overheid om dreigingsinformatie breder te delen dan dat het Nationaal Cyber Security Centre (NCSC) dat momenteel kan.
Belemmeringen
Laatstgenoemde overheidsorgaan (dat valt onder het ministerie van Justitie en Veiligheid) is qua mandaat namelijk beperkt tot overheidsorganisaties en (bedrijven in de) kritieke infrastructuur. Ook speelt privacywetgeving een belemmerende rol, maar daarvoor is een wetswijziging van de Wbni in wording. Tegelijkertijd wordt ook 'de route' van het DTC bewandeld, om Nederlandse bedrijven en organisaties te kunnen waarschuwen voor ict-securitydreigingen.
Tijdspad
Het DTC (dat valt onder het ministerie van Economische Zaken en Klimaat) is in het najaar van 2019 geëvalueerd, waarna die evaluatie begin 2020 aan de Tweede Kamer is aangeboden, schetst Grapperhaus het tijdspad. 'Op basis van deze evaluatie is besloten het DTC een vast onderdeel te laten worden van het ministerie van EZK en hiervoor structureel budget beschikbaar te stellen. Per brief van 16 december 2020 bent u over de voortgang van de implementatie van de aanbevelingen [uit de evaluatie - red.] geïnformeerd.'
Proef opzetten
Daarbij zijn de diensten van DTC uitgebreid, naar ook 'het daadwerkelijk notificeren van individuele bedrijven indien de overheid informatie heeft over concrete kwetsbaarheden'. De demissionaire minister geeft aan dat daar afgelopen zomer mee is gestart. Dat betreft echter nog niet het daadwerkelijke waarschuwen, maar het opzetten van processen en systemen om waarschuwingen te kunnen geven aan bedrijven en organisaties. Nu, in november, start het DTC met notificeren in een pilotproject.
Negen sectoren
'Deze pilot maakt het mogelijk voor DTC concrete dreigingsinformatie waar de overheid over beschikt te matchen met bedrijven die hun technische gegevens hebben doorgegeven aan het DTC. Er zijn 62 bedrijven uit negen sectoren geselecteerd, van groot tot klein, die deel kunnen gaan uitmaken van deze pilot', laat Grapperhaus weten.
Opschalen?
Hiermee is er echter nog geen zicht op een snel gerealiseerd waarschuwingssysteem, zo valt te concluderen uit de opmerking die de demissionaire minister maakt over dit proefproject. "De pilot zal duidelijk maken of en hoe deze nieuwe dienst van het DTC verder kan worden opgeschaald en ook kan worden geautomatiseerd." De vraag ligt dus nog óf de notificatiedienst van het DTC moet worden opgeschaald.
Geen blind vertrouwen
Grapperhaus merkt nog op dat er voor ICT-beveiliging niet blind of alleen vertrouwd moet worden op de overheid. 'Alle organisaties blijven zelf primair verantwoordelijk voor hun digitale veiligheid en het is van belang dat zij die verantwoordelijkheid ook nemen ongeacht of zij wel of niet een vitale aanbieder zijn of deel uitmaken van (rijks)overheid.'
Bron: BinnenlandsBestuur Digitaal; Dit bericht komt van AG Connect.