Grapperhaus haalt woede Cyber Security Raad op de hals

Dit artikel delen:
cybersecurity

Demissionair minister Ferd Grapperhaus (Justitie en Veiligheid) heeft zich bij de Cyber Security Raad (CSR) onmogelijk gemaakt. Prof. Lokke Moerel, lid van de Raad en spreekbuis, voelt zich door Grapperhaus onbeschoft behandeld. Ze spreekt van een schoffering en verwijt de bewindsman ‘eigenwijsheid gevoed door ambtenaren’.

Aanleiding tot haar frustraties is Grapperhaus’ weigering om snel een fout in de Wet beveiliging netwerk- en informatiesystemen (WBNI) te herstellen. Hierdoor kan informatie over dreigingen en incidenten niet in brede kring worden gedeeld. 

Vooral de botte manier waarop Grapperhaus reageerde, zette kwaad bloed. De Raad, notabene het officiële adviesorgaan van de regering op gebied van cybersecurity, begrijpt niet waarom het ministerie zo laks is. Met een spoedreparatiewet, een actie die volgens Moerel weinig moeite kost, zou het probleem in een mum van tijd zijn opgelost.

Verbijstering

Moerel uitte haar grieven tijdens de podcast Cyberhelden van security-expert Ronald Prins (Hunt & Hackett). Het adviesorgaan waarin het bedrijfsleven, de overheid en de wetenschap vertegenwoordigd zijn, was unaniem over het voorstel tot spoedreparatie. ‘Nog nooit hebben we een brief in zulke sterke bewoordingen naar het ministerie gestuurd', aldus Moerel. Maar tot haar verbijstering zag Grapperhaus er de urgentie niet van in. Hij wil een gewone wetswijziging, wat volgens Moerel lang kan duren.  

Volgens de hoogleraar Global ICT Law aan Tilburg Universiteit worden in alle ons omringende landen bedrijven gewaarschuwd als ze gevaar lopen. Alleen in Nederland is daar geen wettelijke grondslag voor. Het delen van gecompromitteerde ip-adressen is niet toegestaan omdat deze adressen als persoonsgegevens gelden. Vroeger kon dit gewoon, maar de WBNI legt het Nationale Cyber Security Centrum (NCSC) beperkingen op. Een gecompromitteerd adres geldt als vertrouwelijke informatie die niet mag worden gedeeld. Als het NCSC ziet dat een bedrijf is geïnfecteerd, kan daar niets mee worden gedaan. De informatie verdwijnt als het ware in de kast.

Ook de politie mag geen bulklijsten met gestolen accounts verstrekken. Zo werd begin februari duidelijk na het oprollen van botnet Emotet waarbij lijsten met miljoenen gecompromitteerde email-accounts werden gevonden. Ondanks vele verzoeken vanuit bedrijven mochten deze niet worden gedeeld en moesten ze één voor één gecontroleerd worden in een tool van de politie. Een tijdrovende klus voor ict-beheerders.

Hoge pet

Volgens Moerel, die net als Grapperhaus uit de advocatuur komt, werkt de wet als een 'paarse krokodil’. Een gedupeerd bedrijf mag vanwege de privacy niet weten dat ze gevaar loopt. De hoogleraar spreekt van een bizarre situatie. 'Gekker moet het niet worden’, zei ze.  Het NCSC mag alleen aanbieders van vitale infrastructuur informeren alsmede het Landelijk Dekkend Stelsel (LDS) van cybersecurity-samenwerkingsverbanden.

Moerel liet ook duidelijk merken geen hoge pet op te hebben van het ministerie van Justitie en Veiligheid. Om dit soort kwesties beter aan te pakken, stelde de Raad onlangs voor om een ministeriële onderraad in te richten. Dan kan een individuele minister of de ambtenaren om hem heen niet meer zo gemakkelijk zoals nu gebeurt dwarsliggen. De regie komt dan op een hoger niveau te liggen. Een andere optie is het NCSC niet meer onder Justitie te laten vallen maar bijvoorbeeld onder Binnenlandse Zaken.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Artikel geeft een goed inzicht in gedrag overheid mbt. ict. Het is allemaal wat te moeilijk voor de bewindslieden.
En kennelijk is het NCSC er voor de overheid en niet de private sector.

Dit heeft een security expert van IBM twee jaar geleden in de media al aangekaart. Nog steeds niets mee gebeurd dus :-(.

Ze hadden ook iets van Covid19 in de stukken moeten zetten. Dan kan het dezelfde dag nog als spoedwet.

In een steeds complexere en snellere wereld volstaat het bestuursmodel van onze overheid niet meer en zullen we het afleggen tov autoritaire / totalitaire regimes die veel sneller kunnen doorpakken. Ook niet gek dat er incompetente lui in Den Haag hebt zitten op deze dossiers als je nagaat dat een gemiddelde bestuurder van een it-bedrijf 10 keer zoveel naar binnenharkt. Kamerleden naar 100, minimale drempel voor politieke partijen, langere regeerperiodes, aanzienlijke hogere salarissen, bewijsbare dossierkennis anders geen ministerschap en hogere accountability.

Ondertussen in de 2e kamer doet iemand het voorstel om een (whats)app groep van 150 kamerleden aan te maken.: https://www.linkedin.com/posts/ejkejk_debat-activity-6788548435537604608-p8_S

(schudt meewarig het hoofd)

Zoals altijd zitten er 2 kanten aan een verhaal, ergens kan ik het begrijpen, omdat de overheid niet moet gaan concurreren met het bedrijfsleven. Er zijn private partijen die dit soort diensten aanbieden als het NCSC dit bij wet moet delen, dan bevinden zij zich in de positie waar ze concurreren met de markt.
Andere kant is natuurlijk wel dat BV Nederland hier niet beter van wordt, dus moet alle informatie beschikbaar worden om cybercriminelen voor te blijven.

Het blijft vreemd dat we zonder de WBNI en met het oude govcert onder Logius gewoon als burger ook een smsje met kwetsbaarheids meldingen konden ontvangen. Vervolgens wordt govcert omgevormd naar NCSC, en omgehangen naar een ander ministerie. Daarna was het over met dienstverlening. Wat ik alleen niet begrijp, het is toch niet verboden om waarschuwing te geven? Dus wat is nou het probleem, we doen het niet omdat het niet in de wet staat als taak (dus we hoeven het niet te doen, en dat is dan gewoon laksheid) of is het probleem dat het niet in de wet staat dus we mogen het niet doen (onwil). Hoe dan ook staan niet onder de WBNI vallende partijen zoals het MKB en de NL burgers al jaren in de cyber kou.... Het is gewoonweg schandalig dat er alleen maar naar kritieke infra wordt gekeken terwijl cybercriminialiteit booming business is, en dan heb ik het nog niet eens over randverschijnselen als onveilige IOT, allerlei smartcity projecten in de publieke ruimte en een ernstig gebrek aan cyber kennis bij de meeste van onze kamerleden. Dat er geschreven wordt over "eigenwijsheid gevoed door ambtenaren", klinkt niet vreemd, daar hebben andere trajecten en wetten ook last van die dit ministerie aangaan.

De Cyber Security Raad heeft gelijk. De houding van Justitie en Veiligheid is dubbelhartig. Gecompromitteerde ip-adressen en gestolen accounts mogen niet gedeeld worden omdat deze adressen als persoonsgegevens gelden.
Maar wat mag wel van Justitie:
- In het Bureau Krediet Registratie register mogen geldverstrekkers zien of je een lening of krediet hebt of hebt gehad. (Meer dan 9 miljoen natuurlijke personen zijn geregistreerd bij het BKR).
- In het Centraal curatele- en bewindregister staan de namen en woonplaatsen van onder curatele gestelde personen, personen die vanwege verkwisting of problematische schulden onder bewind zijn geplaatst, personen die onder bewind zijn geplaatst vanwege lichamelijke of geestelijke omstandigheden waarvan de rechter heeft besloten dat publicatie noodzakelijk is.
- In het Centraal Insolventieregister (vroeger het Landelijk Register Schuldsanering) staan gegevens over faillissementen inclusief natuurlijke personen, gegevens over uitstel (surseance) van betaling voor bedrijven, gegevens over wettelijke schuldsanering.
Zo zijn er nog veel meer registers ter bescherming van derden en / of ter zelfbescherming van geregistreerden.

Voor cyber security gelden er bij Justitie en Veiligheid echter andere normen. Misschien is dit een juridische glitch, maar wel een met grote maatschappelijke en financiële gevolgen. De staat collaboreert met criminelen.
Dit lijkt op de fipronil-affaire. De eigenaren van kippenbedrijven werden niet door de Nederlandse Voedsel- en Warenautoriteit geïnformeerd, die het justitie-onderzoek niet wilde benadelen. Totale schade voor bedrijven in Nederland, ca 80 miljoen Euro.

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-04-19T10:34:00.000Z Alfred Monterie
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.