Aanbieders van digitale infrastructuur verenigd in de Stichting DINL zijn gefrustreerd over het opnieuw achterhouden van informatie over een belangrijke hack door het ministerie van Justitie en Veiligheid. Onder meer een dochter van het industriële conglomeraat VDL uit Eindhoven, ITB2 Datacenters in Apeldoorn en Deventer, en Coen Bakker Deco hadden geen slachtoffer van deze hack hoeven te worden als de rijksoverheid openheid van zaken had gegeven.
DINL-directeur Michiel Steltman vindt het onverteerbaar dat de bedrijven werden gehackt terwijl het ministerie al maanden eerder informatie had ontvangen dat betrokken organisaties gevaar liepen. Volkomen onnodig zijn van verschillende bedrijven de inloggegevens online gezet, beweert Steltman.
Het Nationaal Cyber Security Centrum (NCSC), dat onder Justitie en Veiligheid valt, had actuele en gerichte informatie over de hack maar deed daar niets mee. Het centrum deed er het zwijgen toe omdat de bedreigde organisaties niet zijn aangewezen als vitale organisaties, als essentiële digitale diensten of als grote digitale dienstverleners (dsp’s). Het NCSC zegt bij een hack uitsluitend vitale bedrijven te mogen informeren.
Waarschuwingen
Steltman verbaast zich over die formalistische opstelling. Hij heeft het ministerie meermalen gewaarschuwd over de mandaatskwestie. Minister Grapperhaus deed daar niets mee. Volgens Steltman had het Digital Trust Center (DTC), vallend onder het ministerie van Economische Zaken en Klimaat, wel waarschuwingen kunnen doorgeven.
Aanvankelijk was het DTC alleen belast met algemene voorlichting maar de Wet beveiliging netwerk infrastructuur (WBNI) geeft de mogelijkheid het takenpakket uit te breiden. De WBNI schrijft namelijk voor een computer security incident response team voor dsp’s in te richten. Het DTC kan daarmee de bevoegdheid krijgen behalve essentiële diensten zoals Surf en Sidn ook de dsp’s met meer dan vijftig man personeel en meer dan tien miljoen euro omzet in te lichten. Steltman: ‘Als dat was geregeld, zouden die hosting- en cloudbedrijven vanwege hun frequente contacten met klanten gemakkelijk betrokken bedrijven kunnen inlichten. Dan was in elk geval al een deel van dit probleem opgelost.’
Binnen het NCSC en het DTC woedt echter een discussie over de vraag of het NCSC bepaalde informatie over hacks mag of kan doorgeven. Steltman concludeert dat de overheid zich zelf ‘in de hoek heeft geschilderd.’ Het beleid is zo ongelukkig gevormd dat het bedrijfsleven nu niet veilig is.
De hack heeft wereldwijd ongeveer negenhonderd bedrijven getroffen. Een Russisch sprekende hacker maakte naar alle waarschijnlijkheid gebruik van een hack in de vpn-software van Pulse Secure, aldus het FD.
Of het Nationaal Cyber Security Centrum een brengplicht van informatie heeft naar alle bedrijven is vooral een politieke vraag want budgettair lijkt de scopecreep van alleen bedrijven met een rol in de vitale infrastructuur informeren me inderdaad te wringen met de publieke opinie aangaande de rol van de overheid. En betreffende een mandaat kan Steltman dus proberen verschillende politieke partijen te interesseren voor zijn standpunt. Want het bedrijfsleven heeft een haalplicht aangaande bepaalde informatie om de deur op slot te houden door op tijd te patchen zodat hackers niet misbruik kunnen maken van gepubliceerde zwakheden in software.
In het aangehaalde artikel van het FD wordt ITB2 Datacenters in verband gebracht met de Juniper Pulse Secure-hack. ITB2 Datacenters is een colocatiedatacenter en biedt internetverbindingen aan haar klanten aan en beschikt daarvoor over duizenden IP-adressen. De betreffende hack heeft plaatsgevonden op één van de IP-adressen die weliswaar op naam van ITB2 Datacenters is geregistreerd, maar in gebruik is bij een van onze klanten. Onze klanten zijn zelf verantwoordelijk voor het gebruik van hun internetverbinding en de beveiliging daarvan. Wij vinden het zeer spijtig dat het FD geen contact met ons heeft opgenomen voor wederhoor. ITB2 Datacenters zelf is niet gehackt en heeft haar beveiliging op orde.
Vreemde gang van zaken. Ik mag aannemen dat de getroffen bedrijven niet ook nog eens een boete krijgen opgelegd via de GDPR.
Overigens kunnen ook niet-vitaal geachte toeleveringsbedrijven van vitale organisaties en bedrijven worden gehackt, waardoor deze laatsten toch in ernstige problemen kunnen komen.
De problematiek aangaande het verwittigen van verantwoordelijken om patches aan te brengen wordt er natuurlijk niet eenvoudiger op als de adressen geregistreerd zijn op naam van anderen. En iedereen maakt nu wel ophef over NCSC aangaande de brengplicht in informatie over risico’s maar een laksheid aangaande het patchen was al eerder geconstateerd:
https://www.agconnect.nl/artikel/justitie-was-zelf-ook-laks-met-vpn-patch