Banken en telecombedrijven behoren tot de ‘vitale sector’ en krijgen daarom ondersteuning van het Nationaal Cyber Security Center. Veel andere vitale bedrijven, waaronder ziekenhuizen, krijgen deze ondersteuning niet. Dat kan zo niet langer, vinden zij.

De kwestie kwam recent weer aan de orde, na de gebleken kwetsbaarheid van Citrix-servers. Enkele honderden grote bedrijven en instellingen gebruiken deze apparatuur, waarmee medewerkers van huis uit ‘veilig’ kunnen inloggen op het bedrijfsnetwerk. De kwetsbaarheid was in december al bekend, maar werd pas een week geleden in de openbaarheid gebracht. Banken en telecombedrijven werden in december door het NCSC gewaarschuwd en konden tijdig maatregelen treffen. Voor het Medisch Centrum Leeuwarden en de gemeente Zutphen kwam de informatie te laat. Het ziekenhuis had volgens het FD wel tijdig informatie ontvangen van Z-Cert, een vrijwillig samenwerkingsverband dat ziekenhuizen en ggz-instellingen van informatie over cyberveiligheid voorziet. Maar de Citrix-server werd pas buiten werking gesteld toen het te laat was.

Kwalijk
Wie zijn Citrix-server pas na het afgelopen weekend heeft uitgeschakeld is volgens Frank Groenenwegen van Fox-IT zeer waarschijnlijk gehackt, ook al hoeft dat nog niet merkbaar te zijn. Veel bedrijven nemen het de overheid kwalijk dat het NCSC hen niet tijdig gewaarschuwd heeft. Dus voordat de kwetsbaarheid van Citrix-servers algemeen bekend werd en hackers wereldwijd in de aanval konden gaan. Beveiligingsspecialist Frank Breedijk van Schuberg Philis vertelt in het FD dat verschillende van zijn collega’s vrijwillig een inventarisatie hadden gemaakt van Citrix-gebruikers, die naar het NCSC was gestuurd. De overheidsinstelling waarschuwde vervolgens alleen de bedrijven die tot de zogenoemde vitale sector behoren. Zij zou de wet overtreden als zij ook de andere bedrijven op de lijst had geïnformeerd. Breedijk vindt dat onaanvaardbaar en is daarom maar gestart met de opzet van een eigen meldpunt, van waaruit kwetsbare bedrijven gewaarschuwd kunnen worden.

Selectief
Ook VNO-NCW en MKB-Nederland vinden dat bij de overheid bekende cyberdreigingen breder gedeeld moeten worden. Het NCSC beschouwt dat echter niet als haar taak. Niet dit onderdeel van het ministerie van Justitie en Veiligheid, maar de politiek bepaalt wie tot de vitale sector behoort. En de politiek is wat dat betreft erg selectief. Dat is niet zonder reden. Hoe breder kritische informatie wordt verspreid, hoe groter de kans is dat deze ook de verkeerde personen bereikt. Hackers zouden dan al hun slag kunnen slaan, voordat bijvoorbeeld banken en energiebedrijven hun beveiligingsmaatregelen gereed hebben. Het NCSC geeft wel heel veel informatie op zijn website. De meeste bedrijven hebben echter weinig aandacht voor cybersecurity en geven bijvoorbeeld weinig prioriteit aan het updaten van software of het treffen van maatregelen tegen nieuwe dreigingen. Daarom wordt de put vaak pas gedempt nadat het kalf verdronken is.