mmf&m
sn
i
15
£f5£aiKSS
«Sï
SSSsfa
■ml
ra
■in
nu
Mfr
mm
«wl
lil mn
■ll
[lllli
QQ
l'I1! ■■■1*1*1 llHl l'l lil
ïiïImKI'I»! I
X*KE
Waarom moet
je als bedrijf geen
cybersecurity
officer hebben?
o 1
0 c
lillMBBM IM iifll
Uil
Rv]
KwEviHi
1 1 0
0 0 0 1 o
Mil
[tMfltj
[li
■l]
1
1
0 1
0 0
0
1
0
0
0
0
0
[ifi|
Mil
■iWiMMiBgiTiTi
1 1
0
1 1
0
1
1
3 111
0
11*11
1111
1
0
0
0
300 1
0
1
0
energiemaatschappijen. ,,Maar het
NCSC ontvangt ook dreigingsin
formatie die voor niet-vitale be
drijven van belang is. Die infor
matie wordt niet gedeeld, omdat
het NCSC daartoe de bevoegdhe
den niet heeft", aldus Inge Bryan,
ceo van Fox-IT. In Nederland wor
den bedrijven op deze manier
soms onnodig door ransomware
getroffen, denkt ze. Een ingewijde
denkt dat minder dan 10 procent
van alle dreigingsinformatie die
het NCSC ontvangt, wordt ge
deeld.
Het Nationale Cyber Security
Centrum zetelt in een luxueuze
kantoortoren in hartje Den Haag.
Samen met de ministeries van
Justitie en Binnenlandse Zaken.
Geconfronteerd met alle kritiek
komt per mail een lange, puntsge
wijze reactie. Of iedereen inder
daad lag te slapen tijdens de aan
val op Kaseya? Dat staat er niet in.
Dat de kwetsbaarheid al in april
werd gemeld, erkent het NCSC
wel. Maar of de organisatie vervol
gens ook buitenlandse diensten
daarover informeerde, lezen we
dan weer niet. Het NCSC beklem
toont dat het geen toezichthouder
is in de digitale wereld. De dienst
zegt onderzoek te doen naar
kwetsbaarheden. 'Met name in
softwareproducten die in gebruik
zijn bij de rijksoverheid en vitale
aanbieders'.
Wél erkent NCSC volmondig
dat er te weinig dreigingsinforma
tie wordt gedeeld. De wet staat
het simpelweg niet toe om die
info buiten de overheid of vitale
sectoren te verspreiden. Zelf
noemt NCSC dat 'zeer onwense
lijk'. Het is wachten op een wets
wijziging, waar al een tijd aan
wordt gewerkt. Recent maakte
het kabinet wel bekend dat infor
matie over de meest ernstige drei
gingen voortaan 'proactief' met
niet-vitale bedrijven zal worden
gedeeld. Maar dat nieuws maakte
weinig indruk op de cybersecuri-
ty-experts. Volgens Fox-IT-baas
Bryan telt de organisatie die dat
moet gaan doen veel te weinig
ambtenaren om honderdduizen
den bedrijven van de juiste infor
matie te voorzien.
Er zijn extra mensen nodig bij
politie, justitie en rechtspraak. En
de veiligheidseisen van de over
heid moeten omhoog. ,,Waarom
moet je als bedrijf wel een privacy
officer hebben en géén cyberse-
curity officer?" vraagt een des
kundige zich af.
Experts hameren er bovendien
op dat in Nederland niemand de
boel coördineert, er is geen cy
beropperhoofd. Officieel is de mi
nister van Justitie en Veiligheid,
Grapperhaus, 'coördinerend be
windspersoon voor cybersecu-
rity'. Maar insiders mopperen nog
steeds over de vele overheidsclub-
jes en organisaties en wel negen
tien strategieën en visies over di
gitale veiligheid. Met nog tegen
strijdige belangen ook.
Op het hoofdkantoor van techgi-
gant ASML langs de A2 in Veldho
ven zijn ze doordrongen van de
gevaren. Maar Chief Information
Security Officer Aernout Reijmer
vindt dat je niet alleen naar de
overheid moet kijken voor hulp.
In de regio Eindhoven deelt ASML
dreigingsinformatie en organi
seert het workshops voor leveran
ciers en andere bedrijven.
Ook werkt ASML er mee aan
een nieuw systeem voor de certi
ficering van it-beveiliging. Daar
mee kunnen bedrijven eisen stel
len aan de cyberveiligheid van
een leverancier. Van levensbelang,
ondervond ASML aan den lijve. In
2015 trof ASML digitale indringers
op hun systemen. Geen ransom-
ware, maar spionage. In totaal
houden inmiddels ruim twee
honderd ASML'ers zich dag en
nacht bezig met het buitenhou-
den van aanvallers. Volgens bevei
ligingsbaas Reijmer wordt ASML
pakweg 10.000 keer per dag aan
gevallen. Normaal voor grote be
drijven, zegt hij.
ASML heeft geld genoeg voor
beveiliging. Maar velen zijn af
hankelijk van een goed georgani
seerde overheid. Vanuit de EU
lijkt hulp onderweg. Daar wordt
gewerkt aan een nieuwe wet, on
der meer zou die slachtoffers ver
plichten een cyberaanval te mel
den en van Europese landen eisen
dat ze zich veel nadrukkelijker be
moeien met digitale veiligheid
van bedrijven. Daar wil niet ie
dereen op wachten. Het vertrou
wen dat de overheid digitaal fat
soenlijk waakt over Nederland is
zelfs zo laag dat enkele toonaan
gevende onderzoekers, cyberse-
curityfirma's en non-profit orga
nisaties - waaronder DIVD - zich
hebben verenigd en een eigen Na
tionaal Cyber Security Centrum
willen optuigen. Van de overheid
hopen ze op officiële erkenning.
Fox-IT-baas Bryan: ,,Dan kunnen
buitenlandse diensten ons ook in
formeren."
Alles beter dan het overlaten
aan de Nederlandse overheid en
haar huidige NCSC.
GO ZATERDAG 2 OKTOBER 2021
„■Ka I
0 0 0 1
0 0
0 0 11 f
1101 0 1 1 0 1 1 0 1
1 1 0 0 0
oio. il
i o 1 o 0 0
i o 0 i o 0 0 1 0
ii 1 i 0 1 11 0
1 1 i 0 1 0 0 1
i0 0 0 1 1 1 1
'0010 1 1111
o i i i o o o o 0 1 0 0
0't ooi 1000
0 i 0 o o o 0 0 i 0 1
0 1 1 1 1 0 OOIO 11
0 i 00 0 0 8 o i 0
1 0 o i o 0 0 o 0 1
iQO io 10000 0
0 i
0 0
1
.0 0 I
J 0
0 i
0 0 1 0 0
1 L
mi
CO
LU
P
z
C2
cr
2
co
LU
H
CE
cö
REGIO EINDHOVEN
LOOPTVOOROP
NEDERLAND VEILIGER
MAKEN? DOEN WE ZELF WEL