Hackers

Overheid heeft onvoldoende grip op digitale verdediging, zegt Wetenschappelijke Raad

Beeld ANP

De Nederlandse overheid moet wettelijk toegang kunnen krijgen tot computersystemen van bedrijven die gehackt zijn. Zo kan erger worden voorkomen, vindt de Wetenschappelijke Raad voor het Regeringsbeleid.

Nederland kijkt te weinig naar wat er moet gebeuren als digitale systemen uitvallen. De overheid focust zo op het voorkomen van digitale incidenten, zoals een hack, dat ze te weinig kijkt naar wat er moet gebeuren als het toch misgaat. In zo’n geval moet de overheid bijvoorbeeld bij een bedrijf dat is gehackt in de digitale systemen kunnen kijken.

Dat adviseert de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) in een rapport dat vandaag verschijnt. “Een brandweer heeft bij een brand in een huis de bevoegdheid om het huis binnen te treden”, aldus Erik Schrijvers, coördinator van het onderzoek. “Zo’n soort bevoegdheid moet er ook komen voor de overheid, die naar binnen wil bij een bedrijf dat bijvoorbeeld wordt gehackt.”

Nu wordt die toegang bijna nooit meteen verleend, omdat bedrijven niet weten wat de overheid gaat doen met de informatie en hoe het zit met hun privacy. Met een duidelijke bevoegdheid zijn daarover minder vragen, zegt Schrijvers. Het doel van zo’n bevoegdheid of juridische regelgeving moet volgens hem wel altijd zijn om erger te voorkomen.

Rotterdamse haven

Feit is dat Nederland steeds vaker te maken krijgt met digitale verstoringen die serieuze gevolgen hebben voor de maatschappij. Zo trof de zogenaamde NotPetya-aanval in 2017 de Rotterdamse haven, waardoor het containertransport via haven, snelweg en spoor deels stil kwam te liggen. En in de zomer van dit jaar zorgde een urenlange storing ervoor dat zowel noodnummer 112 als het landelijke servicenummer van de politie onbereikbaar was.

In het omgaan met zulke incidenten is er, anders dan bij incidenten in de fysieke wereld, geen goed stappenplan, stelt de WRR. Ook is er te weinig aandacht voor het op tijd signaleren van een storing. Daardoor treedt de overheid nog niet optimaal op en duurt de nasleep van een storing langer dan nodig.

“We lijken op alle vlakken te beseffen dat er wel eens iets mis kan gaan en dat er dan een plan moet liggen. Denk aan een overstroming, een grote brand of een epidemie. Toch missen we op dit moment zo’n plan bij digitale incidenten”, zegt Schrijvers. “Aan de ene kant komt dat omdat dit redelijk nieuwe problemen zijn. Aan de andere kant betekent inzetten op scenario’s voor als het misgaat ook toegeven dat honderd procent digitale veiligheid niet bestaat. En dat is natuurlijk niet echt een lekkere boodschap.”

Geen korte lijntjes

Volgens de WRR, die de overheid informeert en adviseert over vraagstukken die grote impact hebben op de samenleving, kan de overheid de schade van een incident beperken door de communicatie te verbeteren tussen de partijen die betrokken zijn bij de digitale veiligheid in Nederland. “Er zitten nu allemaal schotten tussen de voornamelijk private digitale bedrijven en de overheid. Partijen beschikken daardoor vaak niet over de juiste informatie. Als er iets gebeurt, zijn er geen korte lijntjes. Daarbij zijn protocollen niet op elkaar afgestemd, daar valt veel te winnen”, aldus Schrijvers.

Ook is het volgens hem goed als vaker wordt getraind op digitale incidenten. “Laat een club hackers vaker, gecontroleerd, een zorginstelling hacken en kijk dan naar wie daardoor worden geraakt en welke netwerken er nodig zijn om het, als het een keer echt mis gaat, sneller weer op te kunnen lossen.”

En dan zijn er nog de terugvalopties: “Bij een bosbrand heb je brandgangen die voorkomen dat een brand verder overslaat. Voor een veilige digitale omgeving zijn die er ook. Zo kun je zorgen dat je digitale systemen kunt ontkoppelen zodra een deel ervan is geraakt door een virus, of je kunt vitale onderdelen binnen een bedrijf zo inrichten dat deze ook altijd handmatig te bedienen zijn. Zoals bij sluizen.”

Het breder aanpakken van digitale incidenten betaalt zich volgens Schrijvers terug. “Als een hacker ziet dat in Nederland na een hack binnen no time alles weer draait zoals het hoort, dat is het minder interessant om nog een hack uit te voeren.”

Lees ook:

De politie heeft nooit geoefend voor een 112-storing

De hulpdiensten hebben nooit geoefend hoe ze moeten reageren als een storing alarmnummer 112 onbereikbaar maakt. De kans daarop werd minimaal geacht, schrijft minister Ferd Grapperhaus (justitie en veiligheid) aan de Tweede Kamer.

Fors meer meldingen van datalekken

De Autoriteit Persoonsgegevens kreeg vorig jaar fors meer meldingen van datalekken. Bijna 21.000 keer klopte een organisatie aan omdat persoonlijke gegevens van mensen mogelijk in de verkeerde handen zijn gevallen. Dat komt neer op zo’n 57 meldingen per dag. En volgens de privacywaakhond zijn dat zeker niet alle lekken.  

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden