Cyber Security Raad waardeert rapport ‘Kwetsbaar door software’ van de OVV
De Cyber Security Raad (hierna de raad) waardeert het onderzoeksrapport 'Kwetsbaar door software' dat de Onderzoeksraad voor Veiligheid (OVV) onlangs heeft gepubliceerd. De aanbevelingen uit het rapport bevestigen de urgentie van een snellere vorming van het Landelijk Dekkend Stelsel van informatieknooppunten (LDS), de digitale veiligheid van ICT-producten en -diensten en regie en coördinatie van de overheid om de digitale weerbaarheid op systematische en doelmatige wijze te beheersen. Dit sluit nauw aan op verschillende adviezen die de raad heeft geadresseerd in de CSR Adviesbrief 'Inzake kabinetsreactie WRR-rapport en korte Citrix-evaluatie' in september 2020 en in het CSR Adviesrapport ‘Integrale aanpak cyberweerbaarheid’ van april dit jaar.
De directe aanleiding voor het onderzoek van de OVV is de beveiligingslek in Citrix-software, een incident dat in december 2019 plaatsvond en directe gevolgen had voor organisaties die gebruikmaken van deze software. De OVV concludeert dat deze gebeurtenissen hebben laten zien dat de digitale infrastructuur van de samenleving kwetsbaar is en security-problemen kunnen leiden tot onveiligheid. Uit dit voorval blijkt volgens de OVV dat Nederlandse overheidsorganisaties en bedrijven zeer kwetsbaar zijn voor cyberaanvallen en dat er geen nationale structuur is waarbinnen alle potentiële slachtoffers van cyberaanvallen tijdig worden gewaarschuwd. De Onderzoeksraad onderzocht welke lessen te trekken zijn uit de wijze waarop betrokken partijen zijn omgegaan met het Citrix-incident en andere voorvallen waarbij kwetsbaarheden in software werden misbruikt door aanvallers en hiertoe verschillende aanbevelingen gedaan.
Landelijk Dekkend Stelsel van informatieknooppunten
De eerste aanbeveling uit het OVV-rapport is erop gericht om op korte termijn de responscapaciteit van alle potentiële slachtoffers van cyberaanvallen snel en doeltreffend - gevraagd en ongevraagd - te vergroten. Zij moeten tijdig worden gewaarschuwd, zodat zij maatregelen kunnen treffen voor hun digitale weerbaarheid. Deze aanbeveling onderstreept meerdere adviezen van de raad waarin wordt gepleit voor een snellere vorming van een volwassen LDS, zoals ook in de CSR Adviesbrief 'Inzake kabinetsreactie WRR-rapport en korte Citrix-evaluatie'. De toenemende digitalisering van onze samenleving leidt immers tot een toename van het aantal hacks, kwetsbaarheden en ransomware-aanvallen. Zo bleek recent nog Log4J, een belangrijke softwaretool voor veel internetapplicaties, een ernstige kwetsbaarheid te bevatten. Er worden al goede stappen gezet voor het LDS, maar een versnelde uitrol ervan blijkt in de praktijk weerbarstiger dan gedacht.
Digitale veiligheid van ICT-producten en –diensten
De onderzoeksraad doet in zijn rapport ook de aanbeveling om op Europees niveau kwaliteitseisen aan software te stellen om softwarefabrikanten te dwingen verantwoordelijkheid te nemen voor de veiligheid van hun product. Overheden en het bedrijfsleven wordt geadviseerd hun krachten te bundelen. Door samen te werken kunnen ze hun positie richting softwarefabrikanten versterken en hun schaarse expertise beter benutten. Deze aanbeveling komt nauw overeen met meerdere adviezen van de raad hierover, onder andere in het dit jaar gepubliceerde CSR Adviesrapport ‘Integrale aanpak cyberweerbaarheid’. De raad is van mening dat iedereen moet kunnen vertrouwen op de digitale veiligheid van ICT-producten en -diensten. Er moet meer aandacht komen voor zorgplichten voor veilige hard- en software. Samen met gerichte handvatten en informatie biedt dit ondersteuning om burgers en het midden- en kleinbedrijf digitaal vaardiger en veiliger te maken. Dit vraagt een actieve samenwerking en coördinatie en sturing tussen de overheid, de private partijen en de wetenschap: groot helpt klein voor digitale veiligheid.
Landelijke regie vanuit de overheid
De onderzoeksraad stelt ook dat het essentieel is dat er een sluitend stelsel komt dat organisaties helpt om hun digitale weerbaarheid op systematische en doelmatige wijze te beheersen. De overheid moet hierin een duidelijke regierol nemen, vindt ook de raad. Versnippering van verantwoordelijkheden staat nu een slagvaardig optreden in de weg. Dit onderstreept het advies van de raad uit het CSR Adviesrapport ‘Integrale aanpak cyberweerbaarheid’ voor het inrichten van een ministeriële onderraad digitale zaken, waar cyberweerbaarheid integraal aan de orde wordt gesteld. Deze onderraad moet steunen op een interdepartementale strategische overlegkoepel, met daarin alle ministeries die raakvlakken hebben met cyberweerbaarheid.
Documenten
-
CSR Adviesbrief 'Inzake kabinetsreactie WRR-rapport en korte Citrix-evaluatie', CSR-advies 2020, nr. 4
De Cyber Security Raad (CSR) stelt dat aanscherping en uitbreiding van de huidige maatregelen voor cybersecurity noodzakelijk ...
-
CSR Adviesrapport 'Integrale aanpak cyberweerbaarheid'
Om Nederland ook in de toekomst een open, vrije en welvarende samenleving te laten zijn moet het nieuwe kabinet ingrijpen. Onze ...