"Het lijkt me een goede zaak als nutsbedrijven, zoals stroom- en gasvoorzieningen, vertrouwelijk rapporteren aan overheden in geval van risico's", zegt Eric Luiijf, deskundige op het gebied van cyberdefensie bij TNO.

De nationale overheden kunnen dan statistische informatie verstrekken, nationaal en internationaal de vinger aan de pols houden en zonodig beleid ontwikkelen. Zo'n rapportagesysteem voorkomt volgens Luiif dat nutsbedrijven cyberaanvallen onder de mat schuiven, en dwingt ze meer te doen aan netwerkbeveiliging.

In Nederland zijn er al overlegorganen waar aanvallen in vertrouwelijke sfeer gedeeld worden. Voor sommige landen om ons heen zou een rapportagesysteem "als stok achter de deur" niet misstaan, zegt Luiijf.

Meldplicht datalekken

Eind 2009 bepaalde de Europese Commissie dat alle lidstaten een meldplicht datalekken in hun wetgeving moeten opnemen. Die meldplicht betekent dat bedrijven 'security breaches' moeten rapporteren. De meldplicht gaat waarschijnlijk alleen gelden voor telecomoperators en internetproviders. Een veel te beperkte benadering, zeggen critici, die willen dat de meldplicht voor veel meer bedrijven gaat gelden.

Luiijf is mede-auteur van een artikel in vakblad Journal of Energy Security over de problematiek van cyberaanvallen. Daarin wordt gewaarschuwd voor de ontwrichtende gevolgen van een cyberaanval op de faciliteiten en de infrastructuur van de energiesector. Op dit moment zitten energiebedrijven nog in de fase van ontkenning: het risico van aanvallen wordt genegeerd of gebagatelliseerd.

Gênante artikelen

Luiijf constateert dat energiebedrijven cyberaanvallen liever onder de pet houden, om zo gênante artikelen in de pers te voorkomen. "Vaak worden incidenten verstopt als technische storing", zegt hij in een telefonische toelichting op het artikel. Omdat er relatief weinig gevallen zo in de openbaarheid komen, ontstaat de onterechte indruk dat de kans op een cyberaanval klein is.

Een van de oorzaken van de gebrekkige beveiliging is dat er onvoldoende opleidingen zijn voor informatiebeveiliging in de nutssector, zegt Luiijf. Ook problematisch zijn leveranciers, die het snel patchen van software in de weg zitten.

Patchen lastig

"Patchen is lastig in een omgeving waar je 7 dagen per week, 24 uur per dag in de lucht moet zijn", aldus Luiijf. "Dus gebeurt patchen vaak wat later. Soms mag het niet eens van de leverancier, die wil eerst alles getest hebben. Kortom: de kwetsbaarheid is daar, en als mensen dat netwerk weten te bereiken dan zitten er gaten in waar je misbruik van kan maken."

Luiijf schrijft in het Journal of Energy Security over een groot incident in een Europees land waarbij een hacker tien dagen lang toegang had tot het netwerk dat 50 to 60 miljoen inwoners voorzag van stroom. "Als hij de juiste commando's had getikt dan was daar het licht uitgegaan." Het gaat om "een groot Europees land", zegt Luiijf. Het incident is nooit in de media gekomen, maar overheden waren destijds wel op de hoogte.