Demissionair minister Ferd Grapperhaus (Justitie en Veiligheid) heeft zich bij de Cyber Security Raad (CSR) onmogelijk gemaakt. Prof. Lokke Moerel, lid van de Raad en spreekbuis, voelt zich door Grapperhaus onbeschoft behandeld. Ze spreekt van een schoffering en verwijt de bewindsman ‘eigenwijsheid gevoed door ambtenaren’.
Aanleiding tot haar frustraties is Grapperhaus’ weigering om snel een fout in de Wet beveiliging netwerk- en informatiesystemen (WBNI) te herstellen. Hierdoor kan informatie over dreigingen en incidenten niet in brede kring worden gedeeld.
Vooral de botte manier waarop Grapperhaus reageerde, zette kwaad bloed. De Raad, notabene het officiële adviesorgaan van de regering op gebied van cybersecurity, begrijpt niet waarom het ministerie zo laks is. Met een spoedreparatiewet, een actie die volgens Moerel weinig moeite kost, zou het probleem in een mum van tijd zijn opgelost.
Verbijstering
Moerel uitte haar grieven tijdens de podcast Cyberhelden van security-expert Ronald Prins (Hunt & Hackett). Het adviesorgaan waarin het bedrijfsleven, de overheid en de wetenschap vertegenwoordigd zijn, was unaniem over het voorstel tot spoedreparatie. ‘Nog nooit hebben we een brief in zulke sterke bewoordingen naar het ministerie gestuurd’, aldus Moerel. Maar tot haar verbijstering zag Grapperhaus er de urgentie niet van in. Hij wil een gewone wetswijziging, wat volgens Moerel lang kan duren.
Volgens de hoogleraar Global ICT Law aan Tilburg Universiteit worden in alle ons omringende landen bedrijven gewaarschuwd als ze gevaar lopen. Alleen in Nederland is daar geen wettelijke grondslag voor. Het delen van gecompromitteerde ip-adressen is niet toegestaan omdat deze adressen als persoonsgegevens gelden. Vroeger kon dit gewoon, maar de WBNI legt het Nationale Cyber Security Centrum (NCSC) beperkingen op. Een gecompromitteerd adres geldt als vertrouwelijke informatie die niet mag worden gedeeld. Als het NCSC ziet dat een bedrijf is geïnfecteerd, kan daar niets mee worden gedaan. De informatie verdwijnt als het ware in de kast.
Ook de politie mag geen bulklijsten met gestolen accounts verstrekken. Zo werd begin februari duidelijk na het oprollen van botnet Emotet waarbij lijsten met miljoenen gecompromitteerde email-accounts werden gevonden. Ondanks vele verzoeken vanuit bedrijven mochten deze niet worden gedeeld en moesten ze één voor één gecontroleerd worden in een tool van de politie. Een tijdrovende klus voor ict-beheerders.
Hoge pet
Volgens Moerel, die net als Grapperhaus uit de advocatuur komt, werkt de wet als een ‘paarse krokodil’. Een gedupeerd bedrijf mag vanwege de privacy niet weten dat ze gevaar loopt. De hoogleraar spreekt van een bizarre situatie. ‘Gekker moet het niet worden’, zei ze. Het NCSC mag alleen aanbieders van vitale infrastructuur informeren alsmede het Landelijk Dekkend Stelsel (LDS) van cybersecurity-samenwerkingsverbanden.
Moerel liet ook duidelijk merken geen hoge pet op te hebben van het ministerie van Justitie en Veiligheid. Om dit soort kwesties beter aan te pakken, stelde de Raad onlangs voor om een ministeriële onderraad in te richten. Dan kan een individuele minister of de ambtenaren om hem heen niet meer zo gemakkelijk zoals nu gebeurt dwarsliggen. De regie komt dan op een hoger niveau te liggen. Een andere optie is het NCSC niet meer onder Justitie te laten vallen maar bijvoorbeeld onder Binnenlandse Zaken.
Zeg meester Jaap wat gebeurt er eigenlijk met digitale klokken (zonder NTP synchronisatie) als je de frequentie lichtjes wijzigt?
@Ewout, zie voor het antwoord: https://www.entsoe.eu/news/2018/03/03/frequency-deviations-in-continental-europe-including-impact-on-electric-clocks-steered-by-frequency/. Het verschijnsel geeft geen problemen als je nog in de jaren dertig leeft en het zakhorloge of bimbam van je opa gebruikt. De tijd was toen niet zo rekkelijk, maar helaas niet zo zuiver.
Ik weet nog dat de slinger van oude bimbam bepalend was of de klok voor of achter ging lopen en deze mechanische klokken zijn inderdaad niet heel precies in de tijd maar ze blijven wel doortikken als de stroom uitvalt. En afgelopen week weer een rondje moeten doen om alle klokken opnieuw in te stellen omdat er stroomuitval was. Met een groeiende afhankelijkheid van stroom best vervelend aangezien ik al jaren van het gas af ben terwijl ik niet geloof in windmolens want als ik uit het raam kijk staan ze opmerkelijk vaak stil. Met een groeiende vraag naar stroom en een fluctuerend aanbod zullen energiecentrales dus steeds belangrijker worden en Macron heeft al aangegeven de kernenergie niet af te schalen.