Het NCSC ligt voor de derde maal onder vuur. Na de eerdere ophef rond DigiNotar en het Dorifelvirus is er nu het Pobelka botnet. De kritiek draait telkens om één ding: de vermeende plicht van het NCSC om bedrijven te informeren over beveiligingsincidenten. De repliek van het NCSC is telkens hetzelfde: dat is niet ons mandaat, daar gaan wij niet over.

Naar aanleiding van het echec bij DigiNotar is er in de Tweede Kamer afgesproken met minister Opstelten dat er dit jaar verder zal worden gekeken naar de protocollen die nu worden gehanteerd in gevallen van cyberdreigingen en de taken en bevoegdheden van het cybersecuritycentrum. Minister Opstelten kondigde op het jaarcongres van het NCSC eind januari aan dat er ook wordt gewerkt aan de versterking van de detectiecapaciteit bij de Rijsoverheid en de “vitale sectoren", wat betekent dat incidenten eerder moeten worden gezien waardoor er ook eerder kan worden gereageerd.

Rol van NCSC is nog beperkt

Op dit moment is het NCSC vooral een centrale hub voor de Rijksoverheid, waar informatie binnenkomt over beveiligingsproblemen bij of voor diezelfde Rijksoverheid. Wel houdt het NCSC zich daarnaast op de hoogte van de situatie bij de zogeheten vitale sectoren, zoals de energie- en telecomsector.

Verder heeft het NCSC een permanent overleg met het bedrijfsleven, zoals internetserviceproviders, banken en andere grotere spelers in Nederland. Ontdekte bedreigingen van virussen, buitenlandse overheden en cybercriminelen worden dan met elkaar gedeeld, al lijkt dat in eerste instantie eenrichtingsverkeer vanuit het NCSC.

Informatie is wel gedeeld

Ook in het geval van het Pobelkavirus en de diefstal van 750 GB aan informatie van duizenden bedrijven, overheden en organisaties in Nederland is die informatie gedeeld, zegt het NCSC. Dat gebeurde vanuit de eigen rol naar de Rijksoverheid en als deelnemer aan het permanente overleg met het bedrijfsleven onder meer naar de internetproviders, zegt Edmond Messchaert, woordvoerder van het ministerie van Veiligheid en Justitie.

Dat laatste wordt beaamd door Niels Huijbregts van provider XS4ALL. “We hebben inderdaad in december een mailtje gekregen van het NCSC met de melding van hetgeen er aangetroffen is en of wij meer informatie wilden. We hebben daar vriendelijk voor bedankt, omdat het in onze ogen om oude informatie ging. Wij hadden zelf meer up to date informatie om onze klanten te informeren."

ISP's beschikken over actuele data

Die actuelere informatie delen de ISP's met elkaar via het Abuse Information Exchange. “Daar zijn alle grote isp's bij aangesloten om zo snel mogelijk informatie over botnets en virussen met elkaar te delen", zegt Huijbregts. In het geval van aanvallen zoals het Citadel-gerelateerde virus Dorifel en het botnet Pobelka worden alle klanten telefonisch op de hoogte gesteld. In het verleden kregen consumenten een pop-up in hun browser te zien, maar gebleken is dat zij een telefoontje meer op prijs stellen, zoals XS4ALL dat al wel deed met zakelijke klanten. “Op piekmomenten kan dat oplopen tot duizenden meldingen in een week", schetst Huijbregts. Dan is bijschakelen van extra personeel er overigens niet bij. “We hebben speciaal getrainde mensen hiervoor, daar kan je niet zomaar iemand bijzetten in tijden van drukte."

Webwereld heeft ook Ziggo gevraagd naar diens ervaringen, maar volgens woordvoerder Erik van Doeselaar behoort de communicatie en de protocollen tussen provider en overheid tot “vertrouwelijke informatie".

Ook gemeentelijke veiligheidsdienst

Voor de sinds 1 januari bestaande Informatiebeveiligingsdienst (IBD) van KING, de ICT-tak van de Vereniging Nederlandse Gemeenten, is de communicatie met het NCSC vastgelegd in een protocol. De IBD moet de informatie van het NCSC doorspelen naar de achterban, de gemeenten. “Als het geïsoleerd is kunnen we direct de betrokken gemeenten informeren, anders doen we dat breed over alle gemeenten", zegt woordvoerder Sonja Kok van het IBD. Dat protocol heeft zich overigens nog niet voorgedaan in dit nieuwe jaar, hoewel er wel wordt gelet op 'naijleffecten' van de incidenten van vorig jaar, zoals de Pobelkazaak. “Maar we hebben daarover nog geen vragen gekregen van de gemeenten."

Net als het NCSC heeft ook de IDB geen mandaat om gemeenten daadwerkelijk aan te zetten tot het treffen van maatregelen in dergelijke situaties. Wel wordt na de eerste melding een terugmelding gevraagd en als die uitblijft wordt er een herinnering gestuurd. “Maar we hebben, net als het NCSC, geen mandaat om er zelf in te stappen. De gemeenten hebben allemaal zelf de verantwoordelijkheid om hun beveiliging goed te regelen en adequaat met nieuwe incidenten om te gaan", zegt Kok. Overigens ziet zij de gemeenten die verantwoordelijkheid ook serieus nemen.

Af van die vrijblijvendheid

Niettemin vindt Tweede Kamerlid Astrid Oosenbrug al dat overleg en informatiedeling met lede ogen aan. Het hangt een beetje van vrijblijvendheid aan elkaar, vindt de PvdA-politica, en daarom moet er een forsere rol komen voor het NCSC, met meer daadkracht en zeggenschap. Daarbij moet de relatie tussen bedrijfsleven en NCSC fundamenteel anders, zeker wat betreft informatiedeling en het afdwingen van maatregelen. “Het kan niet zo zijn dat het belang van een bedrijf hoger wordt aangeslagen dan het maatschappelijk belang, zeker als de veiligheid van burgers in het geding is."

Ook hoogleraar Bart Jacobs van de Radboud Universiteit, pleit voor een centrale rol van een “onafhankelijk orgaan" dat door elke partij kan worden vertrouwd. In een vraaggesprek op Radio 1 zag Jacobs daar niet zo snel een bestaande partij als geschikt, maar als het dan moet lijkt het NCSC de meest voor de hand liggende optie. “Het probleem is dat er geen instantie is die door elke partij wordt vertrouwd."

Bang om informatie te delen

Daarmee bedoelt Jacobs vooral dat als het gaat om vertrouwelijke, brisante of delicate materie, zowel bedrijven als bijvoorbeeld ethische hackers niet zo snel bij de overheid terecht komen, uit angst voor eventuele bij-effecten als politie-opsporing of opname in een database.

Feit blijft dat de huidige situatie vraagt om een meer doortastende aanpak. Na het politieke reces, dat deze week aanvangt, krijgt minister Opstelten onder meer van de PvdA vragen over dit onderwerp en zal hij mogelijk tot meer spoed worden gemaand in de voorbereiding op een voorstel waarbij het NCSC die centrale regierol krijgt die het in sommige media al abusievelijk is toebedeeld.