Drie maatregelen om een nieuw Pobelka te voorkomen

Alles en iedereen lijkt gehackt. Het NOS Journaal pakte op 14 februari groot uit over de trage reactie van de politie en het Nationaal Cyber Security Center (NCSC) op het nieuws over het Nederland-brede datalek ten gevolge van de Pobelka malware.

Het grote zwartepieten is begonnen: ‘de politie was te traag’, ‘het NCSC hanteerde wel een heel beperkte taakopvatting’, ‘het NCSC heeft onvoldoende mandaat’… luidt het commentaar.

Hoe het ook zij, gedane zaken nemen geen keer. Het is zinvoller om te kijken naar wat er zou moeten gebeuren om dergelijke grootschalige ‘breaches’ te voorkomen.

Het mag duidelijk zijn dat de NCSC in staat moet zijn om veel actiever te signaleren en alarm te slaan. De organisatie had als beleid dat alleen bij haar aangemelde IP-adressen voor screening in aanmerking kwamen. En dan alleen nog als ze afkomstig waren van overheidsinstellingen en bedrijven die cruciaal zijn voor de vitale infrastructuur van ons land. Dat mag wel wat actiever, en vooral pro-actiever. Oorzaak is dat GovCERT, waar het NCSC uit voortkomt, werkte op basis van een ledenmodel, met die typisch Nederlandse vrijwilligheid.

Een drietal maatregelen is nodig om Pobelka-achtige toestanden te voorkomen.

  1. We moeten strakker op de bal spelen. Mijn advies aan de verantwoordelijke minister: schroef de auditverplichting op. De verplichte auditering van de security-maatregelen bij overheidsinstellingen is nu in allerlei maatregelen van bestuur vastgesteld op eens per jaar. Dat zou naar eens per dag moeten, en liefst naar real-time. Het organiseren hiervan hoeft niet veel duurder te zijn dan de huidige aanpak. Het vergt alleen een andere mentaliteit en wat specifiek IT-gereedschap (SIEM tools).
  2. Verplichte en transparante budgettering van security, bij voorkeur volgens de al eerder door mij voorgestelde ‘8-procentsregeling’: het voorschrift dat een vast percentage van alle ICT-investeringen van de overheid en de vitale sectoren aantoonbaar moet worden besteed aan beveiliging. Vergelijkbaar met de 1% regeling voor kunst in Overheidsgebouwen.
  3. Een laatste oplossing ligt in een andere benadering van de publiek-private samenwerking die het NCSC voorstaat. Nu wordt teveel een beroep gedaan op de goodwill en goede bedoelingen van de markt. Samenwerken met de markt is goed en noodzakelijk. De meeste kennis en capaciteit zit immers bij de security-bedrijven. Maar het NCSC kan niet van private bedrijven verwachten dat zij hun kennis en kunde om niet verschaffen. Daar hebben zij het te druk voor en daar is het onderwerp ook te belangrijk voor. Publiek-private samenwerking – ook in security – kan alleen slagen als de doelstellingen helder zijn geformuleerd en als de private deelnemers rendement kunnen verwachten van hun investeringen in mensen en middelen.

Deze drie maatregelen zijn noodzakelijk. Hoe eerder ze genomen worden, hoe beter.


Rhett Oudkerk Pool is oprichter en directeur Strategie van securityspecialist Kahuna. Daarnaast is hij lid van het Hoofdbestuur van Nederland ICT. Hij schrijft dit stuk op persoonlijke titel