Het duurt te lang voordat bedrijven worden gewaarschuwd voor een cyberaanval. De Nederlandse aanpak is bovendien veel te versnipperd, zegt Jeroen Dijsselbloem, voorzitter van de Onderzoeksraad voor Veiligheid, in Nieuwsuur. Hij pleit voor één minister die verantwoordelijk is voor de digitale veiligheid van de hele Rijksoverheid. "Vergelijkbaar met de minister van Financiën, die verantwoordelijk is voor alle begrotingen van de ministeries."
De Onderzoeksraad voor Veiligheid stelde donderdag in een rapport dat er fundamentele ingrepen nodig zijn, om te voorkomen dat de maatschappij wordt ontwricht door cyberaanvallen.
"Een groot deel van dit werk, zoals het waarschuwen van organisaties, gebeurt nu nog door vrijwilligers", zegt Dijsselbloem. "Zij doen fantastisch werk. Maar het is natuurlijk ongelooflijk dat wij zo'n groot risico, dat in omvang exponentieel toeneemt, op zo'n manier hebben georganiseerd."
Kwetsbaar
Aanleiding voor het rapport waren beveiligingslekken bij duizenden organisaties in december 2019 door een 'kwetsbaarheid' in de software van Citrix. Omdat er niet meteen breed alarm werd geslagen, maar slechts een deel van de gebruikers werd gewaarschuwd, konden aanvallers op grote schaal digitale systemen binnendringen.
Het incident heeft ons geleerd dat we kwetsbaar zijn voor software waar fouten in zitten, zegt Petra Oldengarm, directeur van Cyberveilig Nederland, de belangenvereniging van de cybersecurity sector. "De Citrix-hack laat zien dat we met elkaar meer informatie moeten uitwisselen om sneller de weerbaarheid te verhogen."
Nederland is volgens Oldengarm al best een eind op weg met de cybersecurity, maar de complexiteit van de dreiging neemt toe. Om incidenten tegen te gaan, is het volgens haar belangrijk om privacygevoelige informatie te kunnen delen. "Een goed voorbeeld is een IP-adres. Dat is recht te herleiden naar een persoon, maar het leidt ook naar de aanvallers. Maar die gegevens kunnen nu volgens de wet niet worden gedeeld.
'Een lakse, laffe manier'
Een halfjaar geleden is de onderneming van Henny de Haas, directeur van Hoppenbrouwers Techniek, slachtoffer van een ransomware-hack. Het duurt dik anderhalf uur voordat zijn medewerkers het in de gaten hebben. Het stelen van data lukt de hackers niet, zegt De Haas. Er is volgens hem ook geen geld betaald. "Maar er blijkt wel een virus verspreid waardoor we een weekend lang helemaal niets meer kunnen."
"Het is een soort overval waarbij ze voor een exorbitant bedrag schade aanrichten om een klein bedrag te kunnen innen", zegt De Haas. De aanval is inmiddels een halfjaar geleden, maar het raakt het hem nog steeds.
"Het zijn mensen die op zo'n lakse, laffe manier proberen een bedrijf compleet onderuit te halen om wat geld te krijgen, terwijl ze zoveel stuk maken." Dat hij vooraf niet is gewaarschuwd, noemt hij "frustrerend".
Eerder onderzocht Nieuwsuur hoe hackers te werk gaan bij een ransomware-hack. Het gaat er professioneel aan toe. De online criminelen zijn dermate professioneel dat de onderhandelaars werken in ploegendiensten. In deze video nemen we je mee langs de zeven verschillende criminele groepen die zich bezighouden met een ransomware-aanval:
De Onderzoeksraad voor Veiligheid stelt in het rapport dat potentiële slachtoffers sneller moeten worden ingeseind. Nu gebeurt dit alleen bij overheidsdiensten en organisaties die van vitaal belang zijn voor het functioneren van de maatschappij.
"Maar als de bakker op de hoek een mail krijgt over kwetsbaarheid van zijn website, dan is het maar zeer de vraag of hij weet wat hij ermee moet", zegt Oldengarm. Volgens haar is het daarom belangrijk om rekening te houden met de grootte en de ervaring van het bedrijf.
"Negen van de tien keer zullen ondernemers bij een waarschuwing denken: laat maar. Grotere organisaties, multinationals, weten direct wat ze moeten doen. Dat verschil is enorm."
Meer regie
Hoeveel bedrijven wel of niet worden gewaarschuwd voor een hack, is volgens haar lastig te zeggen. Ze durft ook niet te zeggen hoe vaak een hack nu dagelijks voorkomt. "Er zijn weinig statistieken beschikbaar en er is weinig openheid, uit angst voor reputatieschade."
Oldengarm pleit voor regie, door een ministerie of een deltacommissaris. "Binnen de overheid zie je veel betrokken ministeries. Zij doen op zich goed werk, maar het is versnipperd en de regie ontbreekt."
Naast de preventieve maatregelen is het volgens haar belangrijk dat ondernemers ook snel kunnen zien of iemand van buitenaf in hun systeem zit. En dan vooral: weten wie je moet bellen zodra dat gebeurt. "Is je leverancier eigenlijk wel beschikbaar op vrijdagmiddag? Juist aan het einde van de week zie je veel aanvallen, omdat aanvallers ook weten dat je ze niet meteen kunt bereiken."
Brand
Honderden medewerkers van Hoppenbrouwers Techniek zijn twee dagen in touw geweest. Dankzij een back-up kon De Haas zondagavond 22.30 uur weer inloggen.
Hij houdt er rekening mee dat er nog een keer een aanval komt. "De kans is bij ons misschien iets kleiner, omdat we heel alert zijn. Maar het is net als bij een brand. De kans dat je nog eens brand krijgt, blijft even groot."