Minister Ferdinand Grapperhaus van Justitie & Veiligheid wil harder optreden tegen bedrijven die hun ict-beveiliging niet op orde hebben. Dat kan een boete of een dwangsom zijn maar de bewindsman denkt ook na over mandaat voor het Nationaal Cyber Security Center (NCSC) om in te grijpen.
Dit blijkt uit een interview dat minister Grapperhaus aan Het Financieele Dagblad heeft gegeven. Daarin meldt hij een einde te willen maken aan de vrijblijvendheid rond cybersecurity. Zo meldden De Volkskrant en Reporter Radio afgelopen weekeinde allebei een groot veiligheidslek bij ‘honderden’ bedrijven en overheidsinstellingen. De organisaties hadden nagelaten een belangrijke update uit te voeren aan hun vpn-software. In de berichtgeving van De Volkskrant ging het om een lek in de Pulse Secure-VPN dat enkele weken geleden speelde. De uitzending van Reporter Radio handelde over een vergelijkbaar lek in de Fortigate-VPN dat nog altijd niet is gedicht is.
Hoewel bekend was dat de software een lek bevatte, negeerden bedrijven waarschuwingen van het NCSC. De overheid heeft nog niet de mogelijkheid om bij bedrijven te controleren of ze hun beveiliging op orde hebben en eventueel in te grijpen. Grapperhaus wil dat ‘binnen afzienbare termijn’ veranderen. Het gaat dan om bedrijven of organisaties die het publiek blootstellen aan risico’s omdat ze hun computernetwerken niet goed beschermen tegen storingen en aanvallen van hackers, aldus het artikel in het FD.
De Overheid die er zelf een zooitje van maakt met haar eigen ICT, gaat nu de zakelijke wereld de maat nemen.
Wat een onzin. Anders dan de overheid heeft de private sector genoeg redenen om hun software te patchen, namelijk verlies van inkomsten. Ben benieuwd hoe de term “niet op orde” in de praktijk gaat worden gedefinieerd en of deze maatregelen ook op overheidsorganisaties van toepassing zijn.
Ik zeg niet dat de private sector het geweldig voor elkaar heeft qua cybersecurity.
Maar daar gaan ze namelijk ZELF over (althans: nu nog wel)
Maar HOE wil de overheid dat organiseren, het afdwingen van het op orde hebben van de ICT veiligheid van bedrijven??
Invallen van de ICT-politie?
Verplichte pentesten?
Uitbesteden aan geldgeile bedrijfjes die dat gaan uitvoeren? (zoals het energielabel voor huizen, een complete FAIL)
Een overheid dus die qua ICT beleid er een complete puinhoop van maakt (van ONS)
Ministers wijzigen sneller dan de systemen bij J&V want ik heb hier al eens een opinie aan besteed heb en de toenmalige minister was Ivo Opstelten. De noodzaak tot patchen komt altijd ongelegen, kost geld waarvoor geen budget is voorzien en deze veranderingen verstoren de business. Wat Grapperhaus wil en wat Grapperhaus krijgt zijn dan ook twee heel verschillende dingen want zijn eigen ambtenaren weigerden te patchen. De machteloosheid van de minister is begrijpelijk want er is in alle jaren niks veranderd en de rol van NCSC is feitelijk niet veel anders dan de rol van BIT. Inschalingsmatrix van de risico’s heeft trouwens veel overeenkomsten met het Rijks-ICT dashboard waardoor de verkeerde signalen gegeven worden.