Hackers en spionnen zitten vuistdiep in Nederlandse systemen, Onderzoeksraad slaat alarm

De cyberaanpak van de overheid moet razendsnel op de schop om te voorkomen dat Nederland ontwricht raakt door digitale aanvallen. Die harde conclusie trekt de Onderzoeksraad voor Veiligheid (OVV) in een rapport over een groot beveiligingslek bij softwarefabrikant Citrix, eind 2019.

Het kabinet adviseerde destijds om de Citrix-software, veel gebruikt om thuis te werken, tijdelijk uit te schakelen. Met grote gevolgen: grote groepen werknemers - onder wie ambtenaren van de Tweede Kamer, Schiphol en gemeenten - konden niet vanuit huis werken. Ook werden minstens 25 organisaties gehackt. Eén land gebruikte het lek om in Nederland te spioneren, zo meldden de veiligheidsdiensten later.

De OVV - die onderzoek doet naar ongevallen en rampen - stelt vandaag dat het lek nooit helemaal is opgelost. Het Nationaal Cyber Security Centrum (NCSC) waarschuwde namelijk alleen overheidsdiensten en ‘vitale organisaties’. Maar andere bedrijven en instanties kregen géén waarschuwing: dat mag het NCSC niet doen. En dus hebben hackers en spionnen nog altijd ‘illegale toegang tot systemen en data die zij op elk moment kunnen activeren met disruptieve effecten op bedrijfsprocessen, dienstverlening, privacy en veiligheid’, zo waarschuwt de OVV.

,,Uit dit voorval blijkt dat Nederlandse overheidsorganisaties en bedrijven zeer kwetsbaar zijn voor cyberaanvallen en dat er geen nationale structuur is waarbinnen alle potentiële slachtoffers tijdig worden gewaarschuwd’’, zegt OVV-voorzitter Jeroen Dijsselbloem. Het Citrix-lek staat niet op zichzelf: deze week nog waarschuwde het NCSC voor een ander lek, in het massaal gebruikte internetprogrammaatje Log4J. Dat lek kunnen hackers gebruiken voor aanvallen met gijzelsoftware.

De OVV legt de schuld ook bij softwarefabrikanten: die doen te weinig om de veiligheid van hun software te verbeteren. Eind 2019 zette Citrix een algemene waarschuwing online, waarin maatregelen stonden om het lek te dichten. Maar die waarschuwing bereikte lang niet alle gebruikers. Ondertussen bracht de waarschuwing hackers juist op het idee om misbruik te maken van het lek. Die aanvallen gaan door tot op de dag van vandaag, stelt de OVV.

De conclusies van de OVV komen niet uit de lucht vallen. Cyberexperts waarschuwden dit najaar voor de landelijke impact van een onvermijdelijke, grote cyberaanval. In april kwam de Cyber Security Raad - het belangrijkste adviesorgaan van het kabinet op cybergebied - met grotendeels dezelfde waarschuwingen en aanbevelingen. Toch gebeurde er tot nu toe nog weinig concreets.

Maar het rapport van de Onderzoeksraad is van een andere orde: het kan door het kabinet niet zomaar opzij worden geschoven. Binnen een half jaar moet de overheid aantonen wat met de aanbevelingen is gedaan en uitleg geven wanneer bepaalde zaken niet zijn opgepakt.

In het nieuwe regeerakkoord van VVD, D66, CDA en ChristenUnie staan een paar passages over cyberveiligheid. Zo wil het nieuwe kabinet dat instanties als het NCSC ‘sneller en makkelijker informatie delen over digitale kwetsbaarheden en hacks’. Demissionair minister Ferd Grapperhaus (Justitie en Veiligheid) heeft daarvoor al een wetsvoorstel in de maak. Ook moet er een ‘meerjarige cybersecurity-aanpak’ komen om onder meer gijzelsoftware aan te pakken. 

Bekijk onze meest bekeken nieuwsvideo’s in onderstaande playlist: