CSR: ‘Alle Nederlandse bedrijven moeten ingelicht worden over cyberdreigingen’

Een hacker (bron: FreeImages.com/Simon Stratford)

Alle Nederlandse bedrijven moeten meteen gewaarschuwd worden indien een grootschalige cyberaanval plaatsvindt. Momenteel worden alleen bedrijven die actief zijn in vitale sectoren hiervan op de hoogte gesteld, terwijl overige organisaties die uit de media moeten vernemen.

Dit adviseert de Cyber Security Raad (CSR), meldt BNR. De CSR is een adviesorgaan dat het Kabinet adviseert over IT-beveiliging. Vitale sectoren zoals de telecom-, energie- en bankensector worden momenteel al gewaarschuwd indien een grootschalige cyberaanval plaatsvindt. De CSR stelt echter dat ook andere bedrijven van groot belang zijn voor de economie, ondanks dat deze niet zijn aangemerkt als vitaal. Denk hierbij aan ASML, NXP en AMP Terminals. De recente ransomware NotPetya zorgde bij dit laatste bedrijf voor veel problemen.

‘Breder waarschuwen kan schade voorkomen’

Op dit moment stellen inlichtingendiensten het Nationaal Cyber Security Centrum (NCSC) op de hoogte van mogelijke dreigingen. Het NCSC roept vervolgens vitale bedrijven op extra alert te zijn op deze dreigingen. Ron de Mos, lid van de CSR, stelt echter dat dit onvoldoende is en breder moet worden gewaarschuwd. Dit had volgens De Mos bijvoorbeeld de problemen door de recente ransomware NotPetya bij bedrijven als APM Terminals en pakketdienst TNT kunnen beperken. De Mos stelt echter ook dat de verantwoordelijkheid bij de bedrijven zelf ligt.

“Er zijn ook bedrijven die pro-actief zijn. Denk aan Havenbedrijf Rotterdam, of bedrijven die op Schiphol zitten. Die doen zelf heel veel”, zegt De Mos tegenover BNR. “Anderen krijgen hun informatie uit de pers.”

Toenemende dreiging

De Mos wijst ook op de toenemende omvang en dreiging van cybercriminaliteit. Met het oog hierop noemt De Mos het van belang dat er zo snel mogelijk een nieuw kabinet komt.

Ronald Prins, directeur van IT-beveiligingsbedrijf Fox-IT, plaats een kanttekening bij het advies van de CSR. “Als de aanvallen plaatsvinden, dan is het kwaad al geschied, dan heeft het niet zo veel zin om te gaan informeren”, aldus Prins. Hij wijst erop dat de vitale sectoren vaak grote sectoren zijn die in staat zijn om met die informatie om te gaan. De rest van het bedrijfsleven is volgens Prins nog niet zover om zelfstandig met dit soort informatie om te kunnen gaan.

WannaCry

Als voorbeeld noemt Prins WannaCry, dat zich binnen een half uur wist te verspreiden naar systemen in heel Europa. Tot die tijd wist niemand wat er precies was gebeurd, waardoor er geen waarschuwing mogelijk was. Ook stelt Prins dat bedrijven geen idee hebben waar zij goede securitydiensten vandaan moeten halen. De overheid zou zich volgens Prins dan ook moeten richten op het uitdelen van keurmerken voor goede beveiligingsdiensten.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *