Vooral organisaties die niet behoren tot de vitale infrastructuur hebben bewust of onbewust een ernstig informatietekort als gevolg van het overheidsbeleid. Dit gaat volgens de Cyber Security Raad ten koste van de bescherming van de belangen van duizenden bedrijven, organisaties en burgers. Die worden namelijk nog steeds niet geïnformeerd, terwijl de overheid wel informatie heeft dat zij slachtoffer of kwetsbaar zijn.

Informatieknooppunten
Daarom pleit de raad voor een snellere vorming van een volwassen, landelijk dekkend stelsel van informatieknooppunten (LDS). In de praktijk blijkt de uitrol hiervan echter weerbarstiger dan gedacht. In de Kamerbrief “Uitkomsten verkenning wettelijke bevoegdheden digitale weerbaarheid en beleidsreacties WODC-rapporten” van 3 februari heeft de minister van Justitie en Veiligheid onder meer aangekondigd te bezien of een wetswijziging hiervoor moet plaatsvinden. De raad ondersteunt het voorstel voor de wetswijziging, maar is van mening dat er ook op korte termijn acties genomen moeten worden.

Schakelorganisaties
Vooruitlopend op de door hem voorgestelde wetswijziging adviseert de raad om nu al tot het delen van incidentinformatie over te gaan met organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek daarover te informeren, de zogeheten OKTT’s. Dit is overeenkomstig met de bedoeling van de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni), namelijk het mogelijk maken dat het Nationaal Cyber Security Centrum (NCSC) incidentinformatie doorgeeft aan schakelorganisaties om hen zo in staat te stellen slachtoffers in hun achterban te informeren, dit ter bescherming van deze slachtoffers.

Ook NCSC niet blij
Dat cruciale informatie niet met bedrijven gedeeld wordt, zou te maken hebben met het ontbreken van een wettelijke basis hiervoor. Hans de Jong van de Raad vergelijkt dit met het constateren van een kapot voordeurslot, waardoor iedereen de woning kan binnenlopen. De bewoner wordt echter niet gewaarschuwd, omdat het defecte slot vertrouwelijke informatie betreft. Het NCSC keurt het zelf trouwens ook af dat het bedrijven niet mag informeren over het feit dat zij gevaar lopen of zelfs al gehackt zijn. Alleen overheidsinstanties en bedrijven behorend tot de vitale infrastructuur worden geïnformeerd. Zo kon het gebeuren dat vorig jaar veel bedrijven kwetsbaar waren door een lek in de software die bedoeld was om thuiswerken veilig te maken.

Economische spionage
Het NCSC heeft overigens wel bevoegdheden om informatie te delen met onder andere de Nationale Beheersorganisatie Internetproviders (NBIP), maar volgens de Raad gebeurt dit in de praktijk nauwelijks. Daardoor lijden onder andere verzekeraars, universiteiten, mkb-bedrijven en internetwinkels voor honderden miljoenen schade, aldus Frank Groenewegen, cyberveiligheidsadviseur bij Deloitte, in het FD. Schade die volgens hem in sommige gevallen voorkomen had kunnen worden met kennis die wel beschikbaar was maar niet werd gedeeld. In andere Europese landen en in Groot-Brittannië gebeurt dat volgens hem wel. Het zou ook hard nodig zijn. Zeker sinds bekend is geworden dat landen als China en Rusland zich steeds vaker en professioneler schuldig maken aan digitale, economische spionage. “Er is een nieuwe wapenwedloop gaande. Daarin past geen naïviteit. Het nationale verdienvermogen wordt bedreigd”, zei directeur-generaal Erik Akerboom van de AIVD. Het ministerie van J&V verwacht in maart te reageren op de brief van de Cyber Security Raad.