Overheid wil ingrijpen bij bedrijven die te weinig doen aan internetbeveiliging

Niet alleen bij Shell en KLM maar ook bij veel kleinere bedrijven en organisaties constateren wij dat er te weinig oog is voor de risico’s van cybercriminaliteit. Ook vanuit de verzekeringsbranche wordt melding gemaakt dat er nauwelijks aandacht is voor preventie dan wel het afdekken van deze risico’s. En dat terwijl veel organisaties afhankelijk zijn van IT en de kosten van dataverlies of van een dag zonder toegang tot informatiesystemen niet opwegen tegen de verzekeringskosten.

In het Financieel Dagblad van 3 oktober 2019 wordt dit nogmaals onderstreept:

Minister van Justitie Ferdinand Grapperhaus wil af van de vrijblijvendheid rond cybersecurity

De overheid gaat harder optreden tegen bedrijven die hun internetbeveiliging niet op orde hebben. Het kabinet wil bedrijven of organisaties die het publiek blootstellen aan risico’s omdat ze hun computernetwerken niet goed beschermen tegen storingen en aanvallen van hackers, harder kunnen aanpakken. Met boetes, of desnoods door zelf in te grijpen.

Dat zegt minister van Justitie en Veiligheid Ferdinand Grapperhaus in een gesprek met het FD. ‘Wij moeten kunnen zeggen tegen een bedrijf: ‘Als je het zelf niet regelt dan komen wij het wel doen.’

Recent meldde de Volkskrant dat de interne netwerken van ‘honderden’ bedrijven en overheidsinstellingen maandenlang wijd open hebben gestaan voor hackers. De organisaties hadden nagelaten een belangrijke update uit te voeren aan hun VPN-software, die de verbinding tussen het interne netwerk en het internet beveiligt. Hoewel bekend was dat de software een lek bevatte, negeerden bedrijven waarschuwingen van het Nationaal Cyber Security Center (NCSC).

Het illustreert de onmacht van de overheid. Als bedrijven door een hack of storing plat komen te liggen, kan dat de samenleving ontwrichten en tot gevaarlijke situaties leiden. Maar de overheid heeft nog niet de mogelijkheid om bij bedrijven te controleren of ze hun beveiliging op orde hebben en eventueel in te grijpen, zo constateerde ook de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) in een recent onderzoek.

Boetes en dwangsommen ook een optie

De overheid kan op dit moment niet veel meer dan wijzen op de gevaren, adviseren en de vingers kruisen in de hoop dat het niet fout gaat, dat is momenteel zo’n beetje het arsenaal van de overheid. Grapperhaus wil dat ‘binnen afzienbare termijn’ veranderen, zegt de minister.

Het opleggen van boetes of dwangsommen is een optie, maar die heeft niet de voorkeur. Grapperhaus: ‘Een boete kan stimulerend werken, maar daarmee heb je nog niet zeker dat het probleem ook daadwerkelijk snel is opgelost.’ En dus denkt hij eerder aan ‘een vorm van doorzettingsmacht’. ‘Dan gaat het NCSC zelf of met het bedrijf samen aan de slag om het probleem op te lossen.’

Een overheid die op een belangrijk punt de regie van een privaat bedrijf overneemt: het is een zeer vergaande maatregel. Dat erkent Grapperhaus zelf ook: ‘Dit is niet zo makkelijk te regelen, het ligt allemaal heel gevoelig. We willen ook niet een minister of ministerie dat als een soort A-Team binnenkomt en zegt: “We gaan het even zo en zo doen”.’ Over de precieze invulling wordt nog nagedacht.

Geen excuus voor niet updaten

De minister toont weinig begrip voor het feit dat bedrijven goede redenen kunnen hebben om software niet direct bij te werken. Soms moet voor een update een bedrijfsproces tijdelijk stil moeten worden gelegd, wat omzet kost. Of apparatuur moet worden vervangen omdat die niet met de nieuwste softwareversie overweg kan. Dat wil er bij Grapperhaus niet in: ‘Als dat je excuus is om de noodzakelijke veiligheidsmaatregelen niet te nemen, ben je echt een ongelooflijke oliebol. Als je niet zonder problemen kunt updaten dan heb je iets in je bedrijfsvoering niet op orde.’

Zelf lijkt de overheid zijn zaakjes evenmin op orde te hebben. Ook het ministerie van Justitie en Veiligheid voerde de noodzakelijke update aan de VPN niet uit, zo meldde de Volkskrant zaterdag. De minister wil dat bericht niet bevestigen, maar het maakt de positie van Grapperhaus er niet sterker op.