Bedrijven zetten samen nieuw waarschuwingssysteem op
Bedrijven gaan elkaar waarschuwen als een van hen een nieuwe cyberdreiging ontdekt, zo meldt het FD. Het wordt een private variant van het Nationaal Cyber Security Center, dat dit voor overheden en vitale infra doet. Zo kan worden voorkomen dat bedrijven onnodig getroffen worden door cybercrime.
Het is een merkwaardige stap omdat er net een wetswijziging is doorgevoerd, waardoor het NCSC nu ook via het Digital Trust Center niet-vitale bedrijven mag waarschuwen bij cyberdreigingen. De bedrijven willen echter niet wachten tot de overheid het een en ander op poten heeft gezet. Bovendien vreest men dat het delen van informatie vanuit het NCSC (J&V) naar het DTC (EZ) veel te traag zal gaan. Het zou weken kunnen duren, terwijl er eigenlijk binnen minuten gehandeld moet worden.
Klaar voor gebruik
De apparatuur en software van het samenwerkingsverband zijn al klaar voor gebruik. Zodra het systeem operationeel is, hoeven aangesloten bedrijven niet langer bang te zijn het slachtoffer te worden van aanvallen die makkelijk voorkomen hadden kunnen worden. Momenteel gebeurt het nog regelmatig dat het NSCS informatie heeft over dreigingen, maar die niet mag delen met het bedrijfsleven. Verschillende bedrijven zijn dan ook gehackt, terwijl de overheid wist dat dit kon gebeuren. Het ging daarbij om kwetsbaarheden in veel gebruikte systemen als Pulse Secure, Microsoft Exchange en Citrix.
Deelnemers
De deelnemers aan het samenwerkingsverband zijn hoofdzakelijk cybersecuritybedrijven en ethische hackers. Zodra zij een kwetsbaarheid of dreiging ontdekken, melden zij dat aan het platform. Bedrijven die kwetsbare software gebruiken, kunnen deze dan updaten of vervangen om een hack te voorkomen. Ook brancheorganisaties van internetproviders en computerbedrijven doen mee. Men is niet bang dat de AVG wordt overtreden. Die regelgeving is de belangrijkste reden voor de terughoudendheid bij de overheid. Volgens Frank Breedijk van het Dutch Institute for Vulnerability Disclosure (DIVD) mogen private organisaties zich echter beroepen op een gerechtvaardigd belang.
Samenwerking met overheid
De vraag is nog wel of overheden en bedrijven als Microsoft het initiatief gaan ondersteunen. Die melden nu alleen bij het NCSC, dat vervolgens kijkt welke informatie met het DTC gedeeld mag worden. Inge Bryan van Fox-IT hoopt dat dit wel gaat gebeuren, zeker omdat het nieuwe samenwerkingsverband bedrijven ook ongevraagd gaat waarschuwen, wat tot aanzienlijk meer effect leidt. Dat er nu twee systemen zijn die bijna hetzelfde doen, vindt zij alleen maar goed. De overheid zal informatie minder vaak en minder snel delen. Wel hoopt zij dat er samenwerking tot stand gaat komen met het NCSC. De bedrijven gaan ook overheden waarschuwen voor nieuwe cyberdreigingen. Het NCSC en het DTC hebben inmiddels gezegd welwillend tegenover het nieuwe initiatief te staan, al is wel een heldere takenverdeling van belang.