- Bedrijven die te weinig doen aan internetbeveiliging moeten een boete kunnen krijgen of gedwongen worden de problemen aan te pakken.
- Minister van Justitie Ferdinand Grapperhaus wil af van de vrijblijvendheid rond cybersecurity.
- Afgelopen weekend meldde de Volkskrant nog een groot veiligheidslek.
De overheid gaat harder optreden tegen bedrijven die hun internetbeveiliging niet op orde hebben. Het kabinet wil bedrijven of organisaties die het publiek blootstellen aan risico’s omdat ze hun computernetwerken niet goed beschermen tegen storingen en aanvallen van hackers, harder kunnen aanpakken. Met boetes, of desnoods door zelf in te grijpen.
Dat zegt minister van Justitie en Veiligheid Ferdinand Grapperhaus in een gesprek met het FD. ‘Wij moeten kunnen zeggen tegen een bedrijf: ‘Als je het zelf niet regelt dan komen wij het wel doen.’
Afgelopen weekend meldde de Volkskrant dat de interne netwerken van ‘honderden’ bedrijven en overheidsinstellingen maandenlang wijd open hebben gestaan voor hackers. De organisaties hadden nagelaten een belangrijke update uit te voeren aan hun VPN-software, die de verbinding tussen het interne netwerk en het internet beveiligt. Hoewel bekend was dat de software een lek bevatte, negeerden bedrijven waarschuwingen van het Nationaal Cyber Security Center (NCSC).
Het illustreert de onmacht van de overheid. Als bedrijven door een hack of storing plat komen te liggen, kan dat de samenleving ontwrichten en tot gevaarlijke situaties leiden. Maar de overheid heeft nog niet de mogelijkheid om bij bedrijven te controleren of ze hun beveiliging op orde hebben en eventueel in te grijpen, zo constateerde ook de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) in een recent onderzoek.
Boetes en dwangsommen ook een optie
De overheid kan op dit moment niet veel meer dan wijzen op de gevaren, adviseren en de vingers kruisen in de hoop dat het niet fout gaat, dat is momenteel zo’n beetje het arsenaal van de overheid. Grapperhaus wil dat ‘binnen afzienbare termijn’ veranderen, zegt de minister.
Het opleggen van boetes of dwangsommen is een optie, maar die heeft niet de voorkeur. Grapperhaus: ‘Een boete kan stimulerend werken, maar daarmee heb je nog niet zeker dat het probleem ook daadwerkelijk snel is opgelost.’ En dus denkt hij eerder aan ‘een vorm van doorzettingsmacht’. ‘Dan gaat het NCSC zelf of met het bedrijf samen aan de slag om het probleem op te lossen.’
Een overheid die op een belangrijk punt de regie van een privaat bedrijf overneemt: het is een zeer vergaande maatregel. Dat erkent Grapperhaus zelf ook: ‘Dit is niet zo makkelijk te regelen, het ligt allemaal heel gevoelig. We willen ook niet een minister of ministerie dat als een soort A-Team binnenkomt en zegt: “We gaan het even zo en zo doen”.’ Over de precieze invulling wordt nog nagedacht.
Geen excuus voor niet updaten
De minister toont weinig begrip voor het feit dat bedrijven goede redenen kunnen hebben om software niet direct bij te werken. Soms moet voor een update een bedrijfsproces tijdelijk stil moeten worden gelegd, wat omzet kost. Of apparatuur moet worden vervangen omdat die niet met de nieuwste softwareversie overweg kan. Dat wil er bij Grapperhaus niet in: ‘Als dat je excuus is om de noodzakelijke veiligheidsmaatregelen niet te nemen, ben je echt een ongelooflijke oliebol. Als je niet zonder problemen kunt updaten dan heb je iets in je bedrijfsvoering niet op orde.’
Zelf lijkt de overheid zijn zaakjes evenmin op orde te hebben. Ook het ministerie van Justitie en Veiligheid voerde de noodzakelijke update aan de VPN niet uit, zo meldde de Volkskrant zaterdag. De minister wil dat bericht niet bevestigen, maar het maakt de positie van Grapperhaus er niet sterker op.
37%
Minderheid leidinggevenden in bedrijfsleven houdt zich aan de eigen regels voor digitale beveiliging
Desondanks zal Grapperhaus dinsdag op een grote cybersecurityconferentie in Den Haag het bedrijfsleven streng toespreken. Veel leidinggevenden in het bedrijfsleven nemen cyberveiligheid niet serieus, blijkt uit onderzoek dat dan wordt gepresenteerd. Slechts 37% van de ondervraagde leidinggevenden houdt zich altijd aan de afspraken over digitale veiligheid in hun organisatie, tegen meer dan de helft van de overige werknemers.
‘Ik vind het gewoon schokkend’, zegt Grapperhaus. ‘Als maar een derde van de leidinggevenden een voldoende cyberbewustzijn heeft, dan zijn we nog niet waar we zijn moeten. En het is niet een kwestie van óf het een keer fout gaat, maar wanneer. Het gaat een keer gebeuren. Ik zie dat die urgentie in het private en ook het publieke domein te weinig doorkomt.’