Minister Grapperhaus wil ingrijpen bij bedrijven met zwakke beveiliging
De overheid gaat harder optreden tegen bedrijven die hun digitale beveiliging niet op orde hebben. Minister Ferdinand Grapperhaus van Justitie en Veiligheid (foto) overweegt boetes op te leggen of actief in te grijpen bij bedrijven die hun computernetwerken niet goed beschermen tegen storingen en cyberaanvallen.
Dit zegt minister Grapperhaus in een interview met het FD. Minister Grapperhaus reageert hiermee op berichtgeving van de Volkskrant, waaruit blijkt dat de interne netwerken van honderden bedrijven en overheidsinstellingen toegankelijk waren voor aanvallers. Het probleem zit in het VPN-netwerk waarvan de bedrijven gebruik maken, waarin beveiligingsproblemen zijn aangetroffen. De aanbieders van deze VPN-netwerken hebben de beveiligingsproblemen via softwareupdates gedicht, maar een flink aantal bedrijven heeft deze updates niet geïnstalleerd.
'Als je het zelf niet regelt dan komen wij het wel doen'
"Wij moeten kunnen zeggen tegen een bedrijf: 'Als je het zelf niet regelt dan komen wij het wel doen.'", aldus de minister in het interview. Op dit moment heeft de overheid geen mogelijkheid om de digitale beveiliging van bedrijven te controleren en indien deze niet op orde blijkt in te grijpen, blijkt uit recent onderzoek van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR).
Minister Grapperhaus wil hier binnen 'afzienbare tijd' verandering inbrengen. Boetes worden hierbij overwogen, maar hebben niet de voorkeur. "Een boete kan stimulerend werken, maar daarmee heb je nog niet zeker dat het probleem ook daadwerkelijk snel is opgelost", zegt de minister. Hij geeft de voorkeur aan 'een vorm van doorzettingsmacht'. "Dan gaat het NCSC zelf of met het bedrijf samen aan de slag om het probleem op te lossen", aldus Grapperhaus. Hoe dit moet worden vormgegeven is onduidelijk. De minister erkent dat ingrijpen bij een privaat bedrijf een vergaande maatregel is en gevoelig ligt.
In sommige gevallen kunnen bedrijven updates niet installeren zonder het bedrijfsproces tijdelijk te onderbreken of systemen te vervangen. De minister heeft hier weinig begrip voor. "Als dat je excuus is om de noodzakelijke veiligheidsmaatregelen niet te nemen, ben je echt een ongelooflijke oliebol. Als je niet zonder problemen kunt updaten dan heb je iets in je bedrijfsvoering niet op orde", aldus de minister.
Ook ministerie van Justitie en Veiligheid was kwetsbaar
Opvallend is dat ook het ministerie van Justitie en Veiligheid kwetsbaar was, iets wat de minister in een reactie op Kamervragen erkent. "Het is juist dat, zoals de Volkskrant meldt, het interne netwerk van honderden organisaties in Nederland een aantal maanden een kwetsbaarheid had. Die kwetsbaarheid kwam voort uit het niet tijdig uitvoeren van beveiligingsupdates voor de zogenoemde virtual private network software van het bedrijf Pulse Secure. Ik leg heel kort uit wat virtual private network software is. Dat is eigenlijk software waarmee je geanonimiseerd verbinding kan maken met wifi. Het NCSC, het Nationaal Cyber Security Centrum, dat onder mijn verantwoordelijkheid valt, heeft op 15 april een advies uitgebracht waarin het heeft gewezen op die kwetsbaarheid. Het heeft ook de doelgroepen rijksoverheid en vitale-infrastructuurbedrijven actief daarover geïnformeerd. Op basis daarvan hebben organisaties updates kunnen uitvoeren. Op 21 augustus is dat eerste advies door het NCSC omgezet in het hoogste beveiligingsadvies. Daarna is dat ook door vrijwel alle organisaties opgepakt. Ook bij JenV was er sprake van dat men achterliep op die beveiligingsupdate. Het advies van het NCSC heeft ertoe geleid dat alle instanties bij JenV uiteindelijk ook die updates hebben doorgevoerd", zegt de minister.
Het volledige interview met het FD is hier te vinden.
