In 2019 werd tijdens de  Kerstvakantie de Universiteit van Maastricht getroffen door een grootschalige ransomware-aanval. Enige maanden daarvoor was de Universiteit van Antwerpen door eenzelfde ransomware-aanval getroffen. Waarom was de Universiteit van Maastricht hiervan niet op de hoogte? Blijkbaar is het delen van informatie over cyber security incidenten nog niet de norm.

Nederland is digitale koploper in de wereld en één van de ‘most connected countries in the world’. Steeds meer bedrijven, burgers en overheden zijn in toenemende mate afhankelijk van informatie- en communicatietechnologie en digitaal met elkaar verbonden. Deze digitalisering brengt (economische) kansen met zich mee, maar vraagt ook om het verhogen van de weerbaarheid tegen cyberdreigingen. Delen van informatie over cyber security incidenten is daarbij van groot belang, stelt Cyberveilig Nederland.

Aandacht voor cyber security is geen luxe, maar noodzaak

Discontinuïteit door cybercrime als nieuw verdienmodel en diefstal van (intellectuele) eigendommen door statelijke actoren is een realiteit. Nieuwe trends zoals het verspreiden van desinformatie (‘fake news’) en de ondermijning van de democratische rechtsorde ontwikkelen zich snel. Aandacht voor cyber security is daarom geen luxe, maar noodzaak. Het verkleinen van de digitale kwetsbaarheid is een gemeenschappelijke uitdaging, waarbij het delen van informatie over kwetsbaarheden laaghangend cyber security fruit is dat nog amper wordt geplukt.

Ransomware-aanval Universiteit van Maastricht

Dat bleek recent opnieuw toen tijdens de Kerstvakantie de Universiteit van Maastricht werd getroffen door een grootschalige ransomware-aanval (‘Clop’ genaamd). De aanval legde een groot deel van het universiteitsnetwerk plat. Het bijzondere van de aanval was dat enige maanden daarvoor de Universiteit van Antwerpen door dezelfde ransomware-aanval was getroffen, maar de Universiteit van Maastricht hiervan niet op de hoogte bleek te zijn. “Alle universiteiten houden elkaar van dit soort cyberbedreigingen op de hoogte, maar Antwerpen is in deze contacten nooit naar voren gekomen,” aldus de woordvoerder in Maastricht.

Delen van informatie niet de norm

Helaas staat de ‘casus’ Maastricht niet alleen. Het delen van informatie over best practices, kwetsbaarheden en cyber security incidenten is nog niet de norm. Uiteraard zijn hierop uitzonderingen. Denk hierbij aan de verschillende ISAC’s (Information Sharing Analysing Centre) die zijn opgericht om informatie te delen binnen een bepaalde sector (met de banken als beste voorbeeld) en de CERT’s (Computer Emergency Respons Team, zoals govcert en Zorg-CERT) die organisaties helpen bij incidenten (te voorkomen). Deze initiatieven betreffen helaas maar een beperkt aantal organisaties, waardoor een landelijk dekkend stelsel vooralsnog een utopie blijft.

Waarom wordt er niet meer informatie gedeeld terwijl het Nederland minder kwetsbaar maakt?

Maar waarom wordt er niet meer informatie gedeeld terwijl het Nederland significant minder kwetsbaar maakt? Is het de angst voor reputatieschade bij een effectief incident? Staan geheimhoudingsverklaringen tussen cybersecuritybedrijven met hun klanten het delen van informatie in de weg? Waarom doen we als sector geen inspiratie op in andere sectoren? Sinds de luchtvaartsector informatie over veiligheid en (bijna-)incidenten met elkaar is gaan delen, is vliegen één van de veiligste manieren van transport geworden. Wat is er nodig om te bewerkstelligen dat transparantie over cyber security incidenten belangrijker wordt dan de angst voor mogelijke reputatieschade?

Delen van informatie is speerpunt

Voor Cyberveilig Nederland, de brancheorganisatie voor de cybersecuritysector in Nederland, is het delen van informatie één van de belangrijkste speerpunten. Hierbij is een belangrijke rol voor de cybersecuritybranche weggelegd. Als sector voeren we jaarlijks vele security-onderzoeken uit, van penetratietests tot source-code onderzoeken, van IT-audits tot Red Teaming exercities en van risicoanalyses tot netwerkmonitoring. We daardoor gedetailleerde data over kwetsbaarheden in vele (zakelijke) netwerkomgevingen. Deze informatie beperkt zich niet tot ‘standaard kwetsbaarheden’ zoals met een kwetsbaarhedenscanner kan worden gevonden, maar betreft ook kwetsbaarheden in commerciële software- en hardwareproducten. De leden van Cyberveilig Nederland doen dit in vrijwel alle sectoren, zowel binnen het publieke als het private domein, van MKB tot multinational.

Analyseren van geanonimiseerde en geaggregeerde data

Vanwege geheimhoudings- en confidentialiteitsclausules is het op dit moment lastig om deze informatie breed te delen. Binnen Cyberveilig Nederland onderzoeken we echter de mogelijkheid om geanonimiseerde en geaggregeerde data op sectorniveau te analyseren en beschikbaar te stellen. Bijvoorbeeld op het niveau: ‘In de Nederlandse zorgsector kwamen in 2019 de kwetsbaarheden X, Y en Z het meest voor’. Of: ‘Binnen X% van de financiële sector in Nederland ontbraken in 2019 nog patches voor kwetsbaarheid A, B of C’. Als sector kunnen we dit niet alleen. Om deze data te analyseren en om te vormen tot informatie die andere organisaties kan helpen minder kwetsbaar te zijn, is ook de overheid aan zet.

Er valt veel te verbeteren in de signalering over en weer

Mentaliteitsverandering nodig

Door wet- en regelgeving als de Algemene Verordening Gegevensbescherming (AVG) en de Wet bescherming netwerkinformatiesystemen (Wbni) krijgt de overheid steeds meer beschikking over (bijna-)incidenten. Ook binnen de Nederlandse opsporings- en inlichtingendiensten is veel kennis over digitale dreigingen. Deze kennis wordt vooralsnog nagenoeg niet gedeeld met het bedrijfsleven. Bij de leden van Cyberveilig Nederland leeft breed het idee dat er veel valt te verbeteren in de signalering over en weer. Door verschillende meldplichten bezit de overheid unieke informatie over de oorzaken en effecten van incidenten in zijn totaliteit of binnen specifieke sectoren. Cyberveilig Nederland ziet graag dat deze informatie breed wordt gedeeld. Immers, goede informatie uit meldplichten kan organisaties helpen om risico-afwegingen te maken op basis van feiten. Hier is wel een mentaliteitsverandering nodig, bij onder andere de Autoriteit Persoonsgegevens (AP) en het Nationaal Cyber Security Centrum (NCSC).

Door eenzijdige focus wordt relevante informatie gemist

Het AP is vooralsnog een gesloten bolwerk gebleken voor de cybersecuritysector. Ons voorstel om de meldingen van het AP (op geaggregeerd niveau) te toetsen met de ervaringen die de cybersecuritysector heeft opgebouwd, heeft helaas nog niet tot actie geleid. Ook het NCSC zou haar taakstelling meer moeten verleggen naar niet-vitale organisaties die kennis hebben over cyber security-incidenten. Door de eenzijdige focus wordt relevante informatie gemist en ontbreekt een toetsingskader over incidenten in sectoren die niet tot de directe stakeholders van het NCSC behoren.

Werken met een vertrouwde schil van bedrijven

Waar het gaat om het delen van strikt vertrouwelijke informatie is het voorstel van Cyberveilig Nederland om te werken met een vertrouwde schil van bedrijven, waarbij vooraf duidelijk is wat partijen van elkaar kunnen verwachten en aan welke eisen deze bedrijven moeten voldoen willen zij over de beschikbare informatie kunnen beschikken.

Delen van informatie moet de norm worden

Kortom, het delen van sector gebonden, actuele informatie over dreigingen, aanvallen en aanvalstechnieken moet de norm worden. We moeten niet langer afwachten, maar nu snel vaart gaan maken met het stellen van kaders waarbinnen we deze informatie met elkaar gaan delen. Alleen dan kunnen we de digitale weerbaarheid van Nederland daadwerkelijk vergroten.

Liesbeth Holterman is beleidsadviseur bij Cyberveilig Nederland

Bron: https://www.securitymanagement.nl/deel-informatie-over-cyber-security-incidenten