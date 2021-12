De Nederlandse aanpak van digitale veiligheid moet snel en fundamenteel veranderen om te voorkomen dat de maatschappij ontwricht raakt door cyberaanvallen. Dat concludeert de Onderzoeksraad voor Veiligheid (OVV) in een rapport n.a.v. een kwetsbaarheid bij Citrix, waar ook veel zorginstellingen door in de problemen kwamen. Zo zouden fabrikanten aansprakelijk moeten zijn voor de gevolgen van softwarekwetsbaarheden.

In het rapport “Kwetsbaar door software” staat dat fabrikanten op dit moment weinig prikkels ontvangen om het aantal kwetsbaarheden te reduceren. Dat terwijl cruciale onderdelen van de maatschappij, waaronder de acute zorg, is in toenemende mate afhankelijk van digitale systemen. Veel software speelt in deze systemen een veiligheidskritische rol. Kwetsbaarheden kunnen kwaadwillenden toegang geven tot cruciale bedrijfsprocessen en vertrouwelijke gegevens.

ICT-landschap

Doordat organisaties digitaal met elkaar in contact staan, kunnen kwetsbaarheden doorwerken in het hele ICT-landschap van hele sectoren zoals de zorg. OVV adviseert de overheid en organisaties onder meer om ervoor te zorgen dat alle potentiële slachtoffers van cyberaanvallen snel en doeltreffend, zowel gevraagd als ongevraagd, gewaarschuwd worden. Ook adviseert de Onderzoeksraad de overheid om alle organisaties te verplichten om op eenduidige wijze verantwoording af te leggen over de wijze waarop zij digitale veiligheidsrisico’s beheersen.

Fabrikanten aansprakelijk

De verantwoordelijkheid en mogelijkheden om software veiliger te maken en om afnemers te waarschuwen ligt in de eerste plaats bij fabrikanten zelf, stelt de Onderzoeksraad voor Veiligheid (OVV) in het rapport. Daarin staat dat op Europees niveau geregeld moet worden dat fabrikanten aansprakelijk zijn voor de gevolgen van kwetsbaarheden in hun software. Ook moet de overheid een voortrekkersrol spelen om te bevorderen dat Nederlandse organisaties gezamenlijk veiligheidseisen formuleren en afdwingen bij softwarefabrikanten. Het uitgangspunt daarbij zou moeten zijn: collectieve samenwerking waar mogelijk, branche-specifiek waar noodzakelijk.

Citrix

Directe aanleiding voor het onderzoek zijn de kwetsbaarheden in software van het bedrijf Citrix. Dat incident zorgde eind 2019 en begin 2020 voor grote problemen, onder meer bij veel zorginstellingen. Zo zag het Medisch Centrum Leeuwarden (MCL) zich gedwongen tijdelijk het dataverkeer met de buitenwereld af te sluiten. “Uit dit voorval blijkt dat Nederlandse overheidsorganisaties en bedrijven zeer kwetsbaar zijn voor cyberaanvallen en dat er geen nationale structuur is waarbinnen alle potentiële slachtoffers van cyberaanvallen tijdig worden gewaarschuwd”, zegt OVV-voorzitter Jeroen Dijsselbloem in een toelichting.