Afgelopen zaterdag stond er een groot artikel in de Volkskrant: het interne (operationele) netwerk van honderden bedrijven in Nederland, waaronder Luchtverkeersleiding Nederland en het ministerie van Justitie en Veiligheid, was maandenlang toegankelijk voor onbevoegden. En dus ook voor kwaadwillenden. Vandaag reageerde Minister van Justitie Ferdinand Grapperhaus in het Financieel Dagblad op dat nieuws: hij wil kunnen ingrijpen bij organisaties die hun digitale beveiliging niet op orde hebben.
Wat is er aan de hand?
In het artikel van de Volkskrant draaide het om een lek in een VPN-verbinding. Een VPN-verbinding is een beveiligde verbinding tussen de gebruiker en een intern netwerk via het internet. Het bedrijf waar dat lek zich voordeed is Pulse Secure, een van de vier belangrijkste VPN-aanbieders ter wereld. Pulse Secure heeft wereldwijd 20.000 klanten. In Nederland mogen zij onder meer Shell, de Luchtverkeersleiding, Boskalis, verschillende defensie-onderdelen en het ministerie van Justitie en Veiligheid tot hun klanten rekenen.
Pulse Secure werd in maart 2019 geattendeerd op het lek. Door dit lek was het voor buitenstaanders relatief eenvoudig om vanaf internet bestanden uit te lezen, inloggegevens te achterhalen, zelf gebruik te maken van de VPN-verbinding en spionagesoftware te plaatsen. Daarop bracht het bedrijf in april een update uit, voorzien van het dringende advies om zo snel mogelijk te updaten. Ook het Nederlandse Nationaal Cyber Security Center (NCSC) adviseerde in de maanden daarop meerdere malen dringend de update uit te voeren.
Vervolgens bleek eind augustus dat ruim 500 organisaties, waaronder verschillende overheidsorganisaties en beursgenoteerde bedrijven, de update nog niet hadden uitgevoerd. Gelet op de mogelijk zeer ernstige gevolgen van deze nalatigheid maken verschillende experts zich in het Volkskrantartikel ernstig zorgen over het gebrekkige IT-besef en de laksheid bij organisaties, maar ook over de ongelukkige positie van de overheid en de NCSC. Op dit moment heeft de overheid namelijk geen wettelijke bevoegdheid om in te grijpen als organisaties een update niet uitvoeren.
Daar wil minister Grapperhaus nu verandering in brengen. Hij wil harder kunnen optreden tegen organisaties die hun digitale beveiliging niet op orde hebben. Hierbij kan gedacht worden aan een boete of een dwangsom, als blijkt dat een organisatie niet veilig is. De minister gaat de mogelijkheden hiertoe onderzoeken.
Informatiebeveiliging
Vanuit Hoffmann onderschrijven we het belang van digitale veiligheid en de plannen van de minister. Wij willen echter bij hem pleiten voor een integrale aanpak, waarbij naast techniek ook de organisatie en de mens worden meegenomen in het weerbaar maken van de digitale veiligheid.
Als de techniek op orde is, maar binnen de organisatie zijn geen heldere afspraken, dan is de organisatie kwetsbaar. Hetzelfde geldt voor de mens. Wanneer de medewerkers bijvoorbeeld, om welke reden dan ook, hun wachtwoorden delen, kunnen de regels en de techniek nog zo goed op orde zijn, maar dan is de veiligheid in gevaar. Deze kwetsbaarheid blijkt onder meer uit de vele gesprekken van onze psychologen en Red Teaming testen die we jaarlijks uitvoeren bij organisaties. Alle drie de factoren: techniek, organisatie en mens zijn van belang en dienen te worden meegenomen om cyberveiligheid te kunnen beoordelen en verbeteren.
Conclusie
Met het oog op de uitspraken van Grapperhaus betreft ons advies dat de focus van de digitale beveiliging verder gaat dan alleen technische maatregelen. Organisaties krijgen hun informatiebeveiliging pas echt op orde als zij zich focussen op de techniek, de organisatie en de mens.
Heeft u vragen over dit onderwerp? Of wilt u advies op maat, bijvoorbeeld over Red Teaming en gedragsbeïnvloeding op de werkvloer? Neem dan gerust contact op met onze afdeling.
Cybersecurity en Security Risk Management
We zijn u graag van dienst.
