Demissionair minister Ferd Grapperhaus (Justitie en Veiligheid) heeft zich bij de Cyber Security Raad (CSR) onmogelijk gemaakt. Prof. Lokke Moerel, lid van de Raad en spreekbuis, voelt zich door Grapperhaus onbeschoft behandeld. Ze spreekt van een schoffering en verwijt de bewindsman ‘eigenwijsheid gevoed door ambtenaren’.
Aanleiding tot haar frustraties is Grapperhaus’ weigering om snel een fout in de Wet beveiliging netwerk- en informatiesystemen (WBNI) te herstellen. Hierdoor kan informatie over dreigingen en incidenten niet in brede kring worden gedeeld.
Vooral de botte manier waarop Grapperhaus reageerde, zette kwaad bloed. De Raad, notabene het officiële adviesorgaan van de regering op gebied van cybersecurity, begrijpt niet waarom het ministerie zo laks is. Met een spoedreparatiewet, een actie die volgens Moerel weinig moeite kost, zou het probleem in een mum van tijd zijn opgelost.
Verbijstering
Moerel uitte haar grieven tijdens de podcast Cyberhelden van security-expert Ronald Prins (Hunt & Hackett). Het adviesorgaan waarin het bedrijfsleven, de overheid en de wetenschap vertegenwoordigd zijn, was unaniem over het voorstel tot spoedreparatie. ‘Nog nooit hebben we een brief in zulke sterke bewoordingen naar het ministerie gestuurd’, aldus Moerel. Maar tot haar verbijstering zag Grapperhaus er de urgentie niet van in. Hij wil een gewone wetswijziging, wat volgens Moerel lang kan duren.
Volgens de hoogleraar Global ICT Law aan Tilburg Universiteit worden in alle ons omringende landen bedrijven gewaarschuwd als ze gevaar lopen. Alleen in Nederland is daar geen wettelijke grondslag voor. Het delen van gecompromitteerde ip-adressen is niet toegestaan omdat deze adressen als persoonsgegevens gelden. Vroeger kon dit gewoon, maar de WBNI legt het Nationale Cyber Security Centrum (NCSC) beperkingen op. Een gecompromitteerd adres geldt als vertrouwelijke informatie die niet mag worden gedeeld. Als het NCSC ziet dat een bedrijf is geïnfecteerd, kan daar niets mee worden gedaan. De informatie verdwijnt als het ware in de kast.
Ook de politie mag geen bulklijsten met gestolen accounts verstrekken. Zo werd begin februari duidelijk na het oprollen van botnet Emotet waarbij lijsten met miljoenen gecompromitteerde email-accounts werden gevonden. Ondanks vele verzoeken vanuit bedrijven mochten deze niet worden gedeeld en moesten ze één voor één gecontroleerd worden in een tool van de politie. Een tijdrovende klus voor ict-beheerders.
Hoge pet
Volgens Moerel, die net als Grapperhaus uit de advocatuur komt, werkt de wet als een ‘paarse krokodil’. Een gedupeerd bedrijf mag vanwege de privacy niet weten dat ze gevaar loopt. De hoogleraar spreekt van een bizarre situatie. ‘Gekker moet het niet worden’, zei ze. Het NCSC mag alleen aanbieders van vitale infrastructuur informeren alsmede het Landelijk Dekkend Stelsel (LDS) van cybersecurity-samenwerkingsverbanden.
Moerel liet ook duidelijk merken geen hoge pet op te hebben van het ministerie van Justitie en Veiligheid. Om dit soort kwesties beter aan te pakken, stelde de Raad onlangs voor om een ministeriële onderraad in te richten. Dan kan een individuele minister of de ambtenaren om hem heen niet meer zo gemakkelijk zoals nu gebeurt dwarsliggen. De regie komt dan op een hoger niveau te liggen. Een andere optie is het NCSC niet meer onder Justitie te laten vallen maar bijvoorbeeld onder Binnenlandse Zaken.
Artikel geeft een goed inzicht in gedrag overheid mbt. ict. Het is allemaal wat te moeilijk voor de bewindslieden.
En kennelijk is het NCSC er voor de overheid en niet de private sector.
Dit heeft een security expert van IBM twee jaar geleden in de media al aangekaart. Nog steeds niets mee gebeurd dus :-(.
Ze hadden ook iets van Covid19 in de stukken moeten zetten. Dan kan het dezelfde dag nog als spoedwet.
In een steeds complexere en snellere wereld volstaat het bestuursmodel van onze overheid niet meer en zullen we het afleggen tov autoritaire / totalitaire regimes die veel sneller kunnen doorpakken. Ook niet gek dat er incompetente lui in Den Haag hebt zitten op deze dossiers als je nagaat dat een gemiddelde bestuurder van een it-bedrijf 10 keer zoveel naar binnenharkt. Kamerleden naar 100, minimale drempel voor politieke partijen, langere regeerperiodes, aanzienlijke hogere salarissen, bewijsbare dossierkennis anders geen ministerschap en hogere accountability.
Ondertussen in de 2e kamer doet iemand het voorstel om een (whats)app groep van 150 kamerleden aan te maken.: https://www.linkedin.com/posts/ejkejk_debat-activity-6788548435537604608-p8_S
(schudt meewarig het hoofd)
Zoals altijd zitten er 2 kanten aan een verhaal, ergens kan ik het begrijpen, omdat de overheid niet moet gaan concurreren met het bedrijfsleven. Er zijn private partijen die dit soort diensten aanbieden als het NCSC dit bij wet moet delen, dan bevinden zij zich in de positie waar ze concurreren met de markt.
Andere kant is natuurlijk wel dat BV Nederland hier niet beter van wordt, dus moet alle informatie beschikbaar worden om cybercriminelen voor te blijven.
Het blijft vreemd dat we zonder de WBNI en met het oude govcert onder Logius gewoon als burger ook een smsje met kwetsbaarheids meldingen konden ontvangen. Vervolgens wordt govcert omgevormd naar NCSC, en omgehangen naar een ander ministerie. Daarna was het over met dienstverlening. Wat ik alleen niet begrijp, het is toch niet verboden om waarschuwing te geven? Dus wat is nou het probleem, we doen het niet omdat het niet in de wet staat als taak (dus we hoeven het niet te doen, en dat is dan gewoon laksheid) of is het probleem dat het niet in de wet staat dus we mogen het niet doen (onwil). Hoe dan ook staan niet onder de WBNI vallende partijen zoals het MKB en de NL burgers al jaren in de cyber kou…. Het is gewoonweg schandalig dat er alleen maar naar kritieke infra wordt gekeken terwijl cybercriminialiteit booming business is, en dan heb ik het nog niet eens over randverschijnselen als onveilige IOT, allerlei smartcity projecten in de publieke ruimte en een ernstig gebrek aan cyber kennis bij de meeste van onze kamerleden. Dat er geschreven wordt over “eigenwijsheid gevoed door ambtenaren”, klinkt niet vreemd, daar hebben andere trajecten en wetten ook last van die dit ministerie aangaan.
De Cyber Security Raad heeft gelijk. De houding van Justitie en Veiligheid is dubbelhartig. Gecompromitteerde ip-adressen en gestolen accounts mogen niet gedeeld worden omdat deze adressen als persoonsgegevens gelden.
Maar wat mag wel van Justitie:
– In het Bureau Krediet Registratie register mogen geldverstrekkers zien of je een lening of krediet hebt of hebt gehad. (Meer dan 9 miljoen natuurlijke personen zijn geregistreerd bij het BKR).
– In het Centraal curatele- en bewindregister staan de namen en woonplaatsen van onder curatele gestelde personen, personen die vanwege verkwisting of problematische schulden onder bewind zijn geplaatst, personen die onder bewind zijn geplaatst vanwege lichamelijke of geestelijke omstandigheden waarvan de rechter heeft besloten dat publicatie noodzakelijk is.
– In het Centraal Insolventieregister (vroeger het Landelijk Register Schuldsanering) staan gegevens over faillissementen inclusief natuurlijke personen, gegevens over uitstel (surseance) van betaling voor bedrijven, gegevens over wettelijke schuldsanering.
Zo zijn er nog veel meer registers ter bescherming van derden en / of ter zelfbescherming van geregistreerden.
Voor cyber security gelden er bij Justitie en Veiligheid echter andere normen. Misschien is dit een juridische glitch, maar wel een met grote maatschappelijke en financiële gevolgen. De staat collaboreert met criminelen.
Dit lijkt op de fipronil-affaire. De eigenaren van kippenbedrijven werden niet door de Nederlandse Voedsel- en Warenautoriteit geïnformeerd, die het justitie-onderzoek niet wilde benadelen. Totale schade voor bedrijven in Nederland, ca 80 miljoen Euro.
Ik mag écht hopen dat er niet meer achter zit vanuit het ministerie. Lees net een artikel in een blad van het Oostenrijkse leger waarin gewaarschuwd wordt voor een totale black-out in Europa.
Ik ben beslist géén complotdenker maar begin wel steeds meer twijfel te krijgen over onze overheid….
@Petra, dit gaat om een geheel ander probleem. Een steeds groter deel van de elektriciteit wordt opgewekt door wind-, waterkracht- en zonne-energiecentrales. Bij tegenvallende groene energieopbrengst moet het stroomtekort gedekt worden door het bijschakelen van turbines van kolen- en gasgestookte centrales. Er kan een black-out plaatsvinden als er regionaal niet genoeg stroom kan worden opgewekt en het tekort niet aangevuld kan worden vanuit andere regio’s met een surplus. Begin dit jaar zijn regionale tekorten geweest. Het gevolg is dat eerst de stroomfrequentie en het voltage iets omlaag gaat. Als de netfrequentie van 50 Hertz naar 49 zakt dan wordt de delen van het stroomnet met een stroomtekort afgeschakeld om verdere schade te voorkomen. Dat zorgt voor een regionale black-out. Schakelt men niet bijtijds af, dan kan alles uitvallen wat aan elkaar gekoppeld, dat wordt dus automatisch geregeld. Energiecentrales die niet of nauwelijks draaien zijn niet rendabel voor de elektriciteitsbedrijven en moeten anders gefinancierd worden.