Het ministerie van Justitie en Veiligheid verzuimde onlangs bijna 900 organisaties in te lichten dat ze het gevaar liepen om te worden gehackt. Dat moet anders, aldus Lotte de Bruijn van Smart WorkPlace partner NLdigital.
Stel je voor dat je beschikt over informatie waarmee je mensen in jouw omgeving kunt beschermen voor onheil. Wat zou je daarmee doen? Kies je ervoor om een kleine groep te informeren, of zet je alles op alles om iedereen zich te laten voorbereiden op wat komen gaat? En als je na een eerste foute beslissing nogmaals de keuze mag maken tussen het informeren van een enkeling of iedereen. Wat zou je dan doen?
Het lijken misschien retorische vragen, maar dat zijn het niet. Het ministerie van Justitie en Veiligheid wist namelijk van maar liefst 900 organisaties dat zij gevaar liepen om gehackt te worden. Slechts een handvol van hen werd gewaarschuwd en de informatie over andere organisaties verdween. Het was alsof deze informatie nooit had bestaan.
Resultaat van het uitblijven van actie is dat de bedrijven die geen informatie kregen uiteindelijk zijn gehackt. Hun bedrijfsgegevens liggen op straat. En het is niet voor het eerst dat dit zo is gelopen. De overheid is er al eerder niet in geslaagd om informatie over beveiligingsrisico’s te verspreiden.
Zoals je merkt, stoort me dat enorm. Zeker omdat wij als digitale sector dagelijks bezig zijn onze klanten te informeren over het belang van goede beveiliging. Doorlopend lichten we toe welke beveiligingsrisico’s onze klanten lopen en zorgen we er met onder andere software-updates voor dat zij veilig blijven. Maar we kunnen het als sector niet alleen. Soms beschikken wij namelijk niet over de informatie waarover de overheid wel beschikt.
Niet voor niets hebben we een aantal jaar geleden aangestuurd op het oprichten van het Digital Trust Center. Deze organisatie heeft als taak om informatie die zij krijgen te verspreiden naar het bedrijfsleven. In theorie een ideale schakel tussen overheid en bedrijfsleven. Maar in de praktijk werkt het nog niet naar behoren. Het DTC krijgt geen informatie door vanuit het Nationaal Cyber Security Centrum.
Verbazingwekkend toch? Het ministerie van Economische Zaken en Klimaat richt een organisatie op, maar deze wordt in haar functioneren ernstig belemmerd door een ander ministerie. Na meerdere voorvallen wordt deze situatie nog steeds niet verbeterd. Als eenzelfde soort situatie zich zou voordoen in het bedrijfsleven, dan zouden we daar zeker mee aan de slag gaan. Waarom doet de overheid dat niet?
Ik kan alleen maar hopen dat de recente fout werkt als een wake-up call en dat de informatiedeling binnen de overheid snel wordt verbeterd. Dat is op dit moment niet alleen de meest logische actie, maar zou ons als digitale sector ook helpen bij het veilig digitaliseren van Nederland.
