In de Volkskrant van 12 december een uitgebreid artikel over de uitdagingen van informatie-delen. Directeur Petra Oldengarm heeft bijgedragen aan het artikel.
Insteek van het artikel is dat zelfs als de nationale internetbeveiliger NCSC weet dat er een zwakke plek in een netwerk zit, hij die informatie niet zomaar aan alle betrokkenen kan doorgeven. De organisatie is gebonden aan afspraken die dat onmogelijk maken. Dat moet anders, vinden de critici, waaronder Petra Oldengarm.
Het NCSC zou een centrale rol in de informatiedeling moeten spelen, maar kan dat door allerlei restricties niet. Eén obstakel is de strikte verdeling in ‘vitaal’ en ‘niet-vitaal’. Grote bedrijven vallen daar vaak buiten, evenals gemeenten en MKB-bedrijven. Een ander probleem is dat personen die een kwetsbaarheid vinden, niet weten bij wie ze terecht kunnen. Nog een belangrijk obstakel is dat het NCSC vindt dat een ip-adres een persoonsgegeven is en daarom onder privacywetgeving valt. Als het NCSC informatie krijgt over een ip-adres waaruit spam wordt verstuurd of malware, wil het die informatie om die reden niet met anderen delen.
‘Zo interpreteert het NCSC de privacywet. En dat geeft een probleem’, zegt Petra Oldengarm, directeur van brancheorganisaties Cyberveilig Nederland. Zij meent dat Nederland kan leren van Groot-Brittannië: ‘Nederland heeft geen centraal cybersecurity adviesorgaan, zoals de Britten dat wel hebben met het NCSC daar.’ Dat Britse NCSC adviseert en ondersteunt de Britse publieke én de private sector. Een taak die veel breder is dan die van het Nederlandse NCSC.
Oldengarm: ‘De Nederlandse informatiedeling is traag, gebrekkig en gefragmenteerd.’ Als een partij als Microsoft interessante kwetsbaarheden ontdekt, deelt die partij dat met het NCSC, maar daar blijft het vervolgens liggen. Ook het WODC, het wetenschappelijke onderzoeksbureau, erkent de problemen in een rapport uit oktober. ‘We kunnen (...) niet negeren dat de groep niet-vitale cybermature bedrijven op het moment niet goed wordt bediend wat betreft de gewenste informatievoorziening.’ Het Digital Trust Center (DTC), dat over informatie beschikt voor niet-vitale bedrijven, mag dreigingsinformatie niet actief verspreiden.
Cyberveilig Nederland is afgelopen week aangemerkt als ‘schakelorganisatie’ om dreigingsinformatie te delen. Oldengarm: ‘Dat is een goed begin. Aangesloten leden zijn beveiligingsbedrijven die zelf veel klanten hebben. Die kunnen we sneller van dreigingsinformatie voorzien.’ Het NCSC zegt in een reactie dat het onderscheid vitaal/niet -vitaal nog steeds zeer relevant is . ‘Omdat het mede bepaalt waar we als Nederland de zwaarste weerbaarheidsmaatregelen voor treffen.’ Minister Grapperhaus (Veiligheid) is wel van plan het stelsel van informatiedeling te versterken. ‘Het streven is om de Kamer in januari te informeren over hoe de versterking het beste vorm kan krijgen naar aanleiding van de verkenning naar wettelijke bevoegdheden, en twee WODC-rapporten die ingaan op het stelsel.’
Zie voor het volledige artikel deze link.
