Op 20 februari jongsleden las ik een interessante ingezonden brief van Mark van Houdengoven, CEO van een Nederlandse zorginstelling, in de NRC. Het artikel triggerde mij omdat Van Houdegoven door de Citrix-casus met de neus op de feiten werd gedrukt dat hij als bestuurder door de digitale transformatie er opeens allemaal verantwoordelijkheden bij heeft gekregen. Waar maatregelen en oefenen rondom fysieke bedreigingen als brand, overstromingen of stroomuitval gemeengoed is, komt daar nu een nieuwe werkelijkheid van digitale afhankelijk- en kwetsbaarheid bij.

De strekking van het verhaal: ik neem als bestuurder allemaal maatregelen om mijn organisatie te beschermen tegen cybercriminelen, statelijke actoren en hack-hobbyisten. Echter er blijft altijd een rest-risico bestaan via gaten en achterdeurtjes in ICT-systemen waar ik mij niet tegen kan verdedigen.

Deze zorgplicht-discussie, die er kortgezegd op neerkomt dat ieder bedrijf de plicht heeft, tot bepaalde hoogte, rekening te houden met de belangen van anderen, is door Citrix weer heel actueel. Want waar houdt de verantwoordelijkheid van leveranciers waarin een ICT-component zit op en waar begint deze van de gebruiker?

Foutje: toegang tot de cloud wel via Citrix
Het voorbeeld van de gemeente Lochem is hierbij ook interessant. De gemeente, die vorig jaar door het oog van de naald is gekropen na een hackaanval, gebruikte zelf geen Citrix. Niets aan de hand, dacht de burgemeester van Lochem toen hem het nieuws bereikte; op de servers van de gemeente draait geen Citrix. Dat bleek fout gedacht. De ICT-dienstverlener van de gemeente had de financiële administratie op verzoek van de gemeente in de cloud gezet. En de toegang tot de cloud liep, je raadt het al, via Citrix. De gemeente werd hierdoor niet alleen op extra kosten gejaagd, ook de continuïteit van de dienstverlening liep in gevaar.

Wie is verantwoordelijk?
Wie is in dit geval verantwoordelijk en aansprakelijk? Is het de gemeente Lochem? Je bent immers altijd zelf verantwoordelijk is voor je digitale bescherming? Is het de ICT-dienstverlener die niet kon zorgen dat haar klant, in dit geval de gemeente Lochem, bij de financiële administratie kon? Of is het Citrix, die al wel meldde dat er een kwetsbaarheid in haar systemen zat, maar nog een maand liet wachten op een geschikte patch?

Een betere wereld begint altijd bij jezelf
Een interessante discussie die door onderlinge (wereldwijde) verbondenheid alleen maar urgenter en actueler wordt. Helaas duurt het nog wel even voordat deze discussie is omgezet in rechten en plichten. Maar een betere wereld begint altijd bij jezelf. Daarom helpen we vanuit Cyberveilig Nederland, de belangenvereniging voor de cybersecuritysector, andere sectoren graag met hun digitale zorgplichten.

Als sector hebben we veel kennis in huis, immers wij voeren jaarlijks vele security-onderzoeken uit. Van penetratietests tot source-code onderzoeken, van IT-audits tot Red Teaming exercities en van risicoanalyses tot netwerkmonitoring. Als sector hebben we daardoor gedetailleerde data over kwetsbaarheden in vele (zakelijke) netwerkomgevingen. Deze informatie beperkt zich niet tot ‘standaard kwetsbaarheden’, zoals met een kwetsbaarhedenscanner kan worden gevonden, maar betreft ook kwetsbaarheden in commerciële soft- en hardware producten.

Oproep: werk samen om Nederland weerbaarder te maken!
Dus hierbij de oproep aan brancheverenigingen als FME, NL Digital en Techniek Nederland: laten we samenwerken om ervoor te zorgen dat de diensten en producten die in Nederland worden gemaakt en geleverd aan de hoogste digitale veiligheidseisen voldoen. Op deze manier maken we samen Nederland weerbaarder.


Deze bijdrage werd geschreven door Petra Oldengarm, directeur Cyberveilig Nederland en verscheen eerder https://www.securitymanagement.nl/petra-odengarm-neem-je-verantwoordelijkheid.