Precies een jaar na lektober is er vooral bij de Nederlandse overheid een nieuwe aanpak merkbaar bij de beveiliging van ict-systemen. Maar helaas ontbreekt het bij veel bedrijven, organisaties en gemeenten nog steeds aan een sterk ict-beveiligingsbeleid. Nog regelmatig lekken organisaties privégegevens, zoals afgelopen week nog de Universiteit Utrecht. En de nieuwe aanpak bij de overheid komt tergend langzaam op gang.

Gemeenten onder de loep

Lektober maakte onder meer pijnlijk duidelijk dat de implementatie van DigiD bij Nederlandse gemeenten te wensen overliet. Minister Donner beloofde destijds DigiD voor 1 april dit jaar door te lichten, al ten tijde van de hack bij het Beverwijkse Diginotar. Maar opvolger Spies vindt dat daar meer tijd voor nodig is. De Tweede Kamer wil dat het onderzoek snel wordt afgerond.

Ict-beheerder van de overheid Logius heeft een handvest voor de ict-beveiliging waar gemeenten aan moeten voldoen. Deze eisen bevatten 26 maatregelen die moeten leiden tot een veiliger systeem. Maar een aantal 'nice to have'-adviezen die het NCSC wel aanraadt in de beveiligingsrichtlijnen voor webapplicaties worden er niet in meegenomen. “Logius heeft een ingekorte versie van die richtlijn gepakt", vertelt Wilfried Olthof, directeur van de beroepsvereniging voor IT-auditors Norea. “Dat kan nooit leiden tot een echte assuranceverklaring en dat vinden we teleurstellend."

Webwereld-journalist Brenno de Winter, de bedenker van lektober, is het daarmee eens. “Maar als je de aanpak van Logius ziet als een tussenstation, dan is dit een logische, nuttige stap.” Ondanks dat is hij wel kritisch op Logius. “Ik neem het ze wel kwalijk dat er een lijst met eisen wordt opgesteld en dat Logius vervolgens gemeenten niet helpt met het voldoen aan de eisen.”

Dorifel toont open wond

De Vereniging van Nederlandse Gemeenten (VNG) werkt aan een nieuwe organisatie die moet toezien op de veiligheid van gegevens bij lokale overheden. De informatiebeveiligingsdienst (IBD) wordt volgende week officieel opgericht. Dat het nog altijd hard nodig is om gemeenten beter te beveiligen blijkt wel uit de uitbraak van het virus Dorifel in augustus.

Op de volgende pagina: de overheid reageert nog altijd traag op een ict-crisis.

De grootschalige Dorifel-besmetting demonstreerde eens te meer het gevaar van botnets, waar dus ook overheidssystemen worden ingetrokken. Terwijl de raderen van de bureaucratische machine knarsen, wrijft de Dorifel-uitbraak zout in de open wond. Het botnet Citadel is nog steeds actief en de afgelopen week bleek dat de klok tikt tot er een nieuwe aanval komt. Er doken namelijk diverse Dorifel-varianten op met een nieuwe versleuteling waardoor de oude tools ontoereikend zijn. De malwaremakers blijven in hoog tempo nieuwe varianten schrijven, terwijl beveiligers in hetzelfde tempo oplossingen proberen te bieden.

“DigiNotar, Lektober en recent het Dorifel/Citadel incident, laten zien dat gemeenten kwetsbaar zijn", schrijft VNG-voorzitter Annemarie Jorritsma in een ledenbrief (.doc) naar de Nederlandse gemeenten. "Continuïteit van dienstverlening, de bescherming van (persoonsgegevens van) burgers en het imago van gemeenten zijn in het geding." De IBD die binnenkort van start gaat moet gemeenten meer sturing geven om ict-problemen het hoofd te bieden.

Sneller schakelen

Op 1 januari van dit jaar startte het Nationale Cyber Security Centrum (NCSC) waarin onder meer overheidsinstantie Govcert in is opgegaan. Govcert was gericht op de beveiliging van de Nederlandse overheid, maar het NCSC is er ook om het Nederlandse bedrijfsleven te waarschuwen voor dreigend digitaal gevaar. De politie, het OM, de AIVD en het Nederlands Forensisch Instituut zijn ook allemaal vertegenwoordigd in het cybercentrum.

Tijdens de Dorifel-crisis gaf het cybercentrum advies aan gemeenten over hoe ze om moesten gaan met virusbesmetting. Daarmee heeft het centrum deels de rol die de IBD moet gaan vervullen. Woordvoerder Sandy Arthur Manuel van de VNG vertelt dat de IBD samen zal werken met de NCSC, maar dat het cybercentrum zijn dienstverlening aan de Nederlandse gemeenten rond het eind van het jaar beëindigt. Dan zal er nog wel wat overlap zijn, maar de IBD wordt de primaire ict-bewaker van de Nederlandse gemeenten.

Tijdens lektober was er een roep van politici voor een ‘ict-brandweer’. Het NCSC zou zo’n brandweer kunnen zijn, maar De Winter denkt niet dat dat een goed idee is. “Je hebt voor verschillende incidenten uiteenlopende expertise nodig. Bij een Diginotar heb je behoefte aan een administratieve aanpak en bij een Dorifel juist meer een technische.” Hij denkt dan ook dat dit niet altijd dezelfde mensen moeten zijn, maar dat er bijvoorbeeld kennis moet worden ingehuurd bij een specifiek geval.

Op de volgende pagina: gemakzucht bij bedrijven.

“Het NCSC zou meer een commandocentrum moeten zijn. Maar dan moeten ze wel sneller schakelen”, stelt De Winter De journalist is van mening dat het cybercentrum niet snel genoeg inspringt op belangrijke ict-dreigingen. “Het NCSC communiceert te weinig, terwijl de crux bij een goede beveiliging juist is om goed te communiceren.” Hij beklaagt zich over de schimmigheid bij de overheid als het gaat om ict-beveiliging. “Ik vraag me af of dat is om de incompetentie van de overheid te verhullen, in plaats van de veiligheid te verbeteren”, stelt De Winter.

Gemakzucht over beveiliging

Een probleem van bedrijven is dat zodra ze zich inzetten voor een sterkere beveiliging, dit even stevig wordt opgekrikt maar dat het daarna wordt losgelaten. “Bij het installeren van nieuwe beveiliging is alles goed, maar daarna wordt het allemaal niet goed bijgehouden", vertelt Hans Doornbosch, directeur van beveiligingsbedrijf Pinewood. Het niet toepassen van patches is volgens hem niet eens het grootste probleem. “Het is vaak gemakzucht, waardoor er niet wordt gekeken naar nieuwe ontwikkelingen en gevaren. Vaak heerst het idee 'dit treft ons niet’."

Grote bedrijven die hun beveiligingsbeleid scherper stellen nemen daarvoor vaak een cso aan. “Maar de security officer is vaak niet in staat problemen aan te pakken", vertelt Doornbosch. Hij hoort regelmatig van klanten dat binnen de organisatie iemand op de functie wordt gezet. “Zij snappen de organisatie dan wel goed, maar het ontbreekt aan technische kennis om gaten in het systeem te ondervangen."

Doornbosch ziet dat lektober vooral van invloed is geweest bij de overheid. “Diginotar en lektober kwamen aan als een grote klap bij de overheid. De minister heeft ingegrepen en gemeenten werken nu ook hard om de boel op orde te maken." Hij voorziet wel een probleem dat ook bij bedrijven vaak speelt: het gebrek aan budget voor ict-beveiliging. “Men is niet bereid hierin te investeren, terwijl dat toch echt heel hard nodig is."

Lessen van lektober

Webwereld heeft samen met Brenno de Winter overwogen of lektober nog een keer nodig was. “Het is misschien te vroeg is voor een tweede lektober", zegt redactiechef Sander van der Meijs. Het is gedurende de lekmaand wel duidelijk geworden dat er diverse gaten openstonden bij instanties die belangrijke persoonsgegevens bewaarden. “De impact is een stuk minder als je dat blijft herhalen."

In de reacties op een peiling op Webwereld toonden sommige lezers zich na de drukke maand behoorlijk lekmoe. “Lektober was nodig om te laten zien dat er structureel iets mis was met de ict-beveiliging in Nederland”, vertelt De Winter. De ict-veiligheid in Nederland is sindsdien beter geworden, vindt hij. “De beveiliging bij de overheid is erop vooruit gegaan ondanks pogingen van Logius om dat tegen te werken.”

De Winter is tevreden over het effect van lektober. “Ik besef dat dit een kleine stap is geweest in een lang proces”, aldus de journalist. Hij hoopt dat de overheid in de toekomst effectiever reageert. “Een krachtige reactie bij ict-problemen zoals Dorifel lijkt me geen overdreven eis.” De meerwaarde van de lekmaand ligt volgens hem niet zozeer in de technische verbeteringen die hebben plaatsgevonden. “Ondanks alles doen we het niet goed, maar wel beter dan andere landen. Dat komt omdat we ons bewust zijn van hoe kwetsbaar we eigenlijk zijn.”