'Verplicht cruciale bedrijven tot ICT-check'

Containerterminals van APM die zijn aangevallen door hackers. Het havenbedrijf ligt stil na een ransomware aanval. Beeld ANP
Containerterminals van APM die zijn aangevallen door hackers. Het havenbedrijf ligt stil na een ransomware aanval.Beeld ANP

De grootschalige aanval met gijzelsoftware legde gisteren hele bedrijven plat. Het lijkt wel of Nederlandse bedrijven en de overheid digitale beveiliging nog altijd niet serieus nemen. Is er eerst een digitale ramp nodig voor om de aanpak te verbeteren?

Het eerdere gijzelvirus WannaCry versleutelde bestanden waardoor ze niet meer toegankelijk waren, maar je kon de computer nog wel gebruiken. Bij de huidige gijzelsoftwarevariant, die door sommigen NotPetya is gedoopt, kun je de hele computer niet meer in en moet het besturingssysteem opnieuw worden geïnstalleerd.

De kraanmachinisten bij de containerterminal van APM in Rotterdam konden gisteren onverrichterzake naar huis. Doordat het IT-systeem van het bedrijf werd gegijzeld kregen de machinisten, die op een scherm in hun kraan zien welke container ze waar moeten plaatsen, geen informatie meer door. "Het hele systeem doet het niet", vat een werknemer het bondig samen.

TNT Express kent vergelijkbare problemen. Algoritmes bepalen hoe pakketten zo kosteneffectief mogelijk op de adressen kunnen worden afgeleverd. "In ons informatienetwerk zijn sommige systemen geraakt", vertelt een TNT-woordvoerder die verder niet in detail mag gaan over aard en omvang. Men is druk doende nieuwe veiligheidsmaatregelen in te voeren en probeert andere manieren te vinden om de pakketten, met vertraging, toch op de juiste plek te krijgen.

Rompslomp

Een besturingssysteem opnieuw installeren is binnen grote bedrijven al snel een tijdrovende klus, vertelt cybersecuritydeskundige Ronald Prins van Fox-IT, een Nederlands bedrijf op het gebied van computer- en netwerkbeveiliging. Een ander verschil met WannaCry is dat de huidige variant wel via internet binnenkomt, maar vervolgens binnen een bedrijfsnetwerk wordt verspreid.

Prins: "Hackers hebben ingebroken bij MeDoc, een Oekraïense fabrikant van financiële software, en via de automatische updatefunctie bedrijven met het virus geïnfecteerd."

Prins vermoedt dat de in Nederland getroffen bedrijven vestigingen in Oekraïne hebben die deze of ander gehackte software gebruiken. Aangezien multinationale bedrijven onderlinge intranetwerken hebben, verspreidt het virus zich zo in mum van tijd over de hele wereld en kan het hele sectoren platleggen. Hoewel Prins verwacht dat het virus nu geen nieuwe slachtoffers meer zal maken, denkt hij wel dat er nieuwe varianten zullen ontstaan, die allicht nog geavanceerder zijn dan Wannacry en het huidige virus.

Vrijblijvendheid

Volgens Prins moeten bedrijven met vitale maatschappelijke functies worden verplicht hun cyberveiligheid op orde te hebben. Daarnaast moet er één organisatie komen die met uitgebreid mandaat een cybersecurityaanval kan bestrijden.

De vrijblijvendheid waarmee momenteel met cybersecurity wordt omgesprongen is Prins een doorn in het oog. "Bij vitale functies wil je bedrijven kunnen verplichten hun cybersecurity op orde te hebben. Maar in Nederland is je aansluiten bij het Nationaal Cyber Security Centrum (NCSC) bijvoorbeeld niet verplicht." In landen om ons heen is de overheid veel dwingender en moeten bedrijven zich verplicht laten monitoren door een gespecialiseerde instantie.

De cybersecuritydeskundige is bezorgd over de staat van de Nederlandse beveiliging. "We doen regelmatig tests, waarbij we ons als kwaadwillende hackers gedragen. In 95 procent van de gevallen lukt het ons scenario uit te voeren, in alle vitale sectoren waaronder de financiële en luchtvaartsector." Het doemscenario van een shutdown van vitale sectoren in Nederland is reëel en om de aanpak te verbeteren is een actievere en meer dwingende rol van de overheid volgens Prins noodzakelijk.

Gefragmenteerd en onduidelijk

"De signalen die ik uit bedrijven in de vitale sector krijg, zijn dat ze weten dat het niet goed geregeld is, maar dat investeringen toch niet gedaan worden. Ze willen het niet als enige doen en hebben een stok achter de deur nodig om het ook echt aan te pakken."

De Nederlandse aanpak van cyberveiligheid is bovendien gefragmenteerd en het is onduidelijk wie de leiding heeft bij een aanval, vindt Prins. De politie, inlichtingendiensten en Defensie doen allemaal wat aan cybersecurity, maar vanuit verschillende verantwoordelijkheden. Dat moet anders. "Als je eerst moet achterhalen of de Russen aan het hacken zijn of iemand vanaf een zolderkamer om te bepalen of de politie of Defensie het moet oplossen ben je al gauw te laat.Het NCSC heeft slechts een coördinerende functie, terwijl het juist noodzakelijk is om één uitvoerende organisatie te hebben die primair verantwoordelijk is voor het bestrijden van cyberaanvallen."

Prins wil dat deze organisatie, die primair verantwoordelijk wordt voor de aanpak van een cyberaanval, hier ook het benodigde mandaat voor krijgt. "Vaak is er eerst een echt groot incident nodig om politieke steun voor zo'n aanpak te krijgen. Het zou goed zijn als één organisatie verantwoordelijk is en hierover direct aan het kabinet rapporteert."

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden