Bedrijven die het installeren van updates uitstellen omdat anders de productie komt stil te liggen zijn ongelofelijke oliebollen, zo heeft minister Grapperhaus van Justitie en Veiligheid tijdens het mondelinge vragenuur in de Tweede Kamer laten weten. SP-Kamerlid Van Raak had de minister vragen gesteld naar aanleiding van berichtgeving dat bedrijven en overheidsinstanties belangrijke updates voor hun vpn-software niet hadden geïnstalleerd.
Het ging onder andere om software van Pulse Secure. Op 24 april werd er een zeer ernstige kwetsbaarheid in de software gepatcht. Op 20 augustus verscheen er een exploit online die misbruik van de kwetsbaarheid maakt en sinds 22 augustus vinden ook daadwerkelijk aanvallen plaats. Beveiligingsonderzoeker Troy Mursch meldde op 24 augustus dat er in Nederland 420 ongepatchte Pulse Secure vpn-servers waren te vinden.
Van Raak vroeg Grapperhaus hoe hij ervoor gaat zorgen dat organisaties in de vitale infrastructuur updates wel gaan installeren. Volgens de minister wordt het onderwerp cybersecurity onderschat en de gevolgen die dit kan hebben, zoals digitale ontwrichting. "Het blijkt heel moeilijk om dat zodanig voor het voetlicht te brengen dat er een volledige alertheid bestaat op dit punt. En ik heb inderdaad aangegeven dat je, als je als reden opgeeft "we kunnen nu even geen update uitvoeren, want dan staat de productie stil", wat mij betreft een ongelofelijke oliebol bent. Je moet inderdaad aan de slag zo gauw als je die updates krijgt. Zeker als het NCSC je waarschuwt, moet je dat onmiddellijk oppakken", aldus Grapperhaus.
De minister heeft gisteren gesproken met de directeuren van een aantal bedrijven, waaronder Schiphol en de Rabobank. Daar werd geopperd om te kijken naar het invoeren van een ketenverantwoordelijkheid, zoals nu in de financiële sector geldt. "Als je de eindgebruiker bent van een heel groot systeem, dan ben je er verantwoordelijk voor dat het goed werkt voor degenen die delen daarvan onder hun verantwoordelijkheid hebben", merkte Grapperhaus op.
Afgelopen zomer liet de minister al weten dat hij onderzoek laat doen of er geen centraal toezicht moet komen bij een aparte autoriteit, die op het gebied van cybersecurity 'doorzettingsmacht' krijgt. In het FD opperde de minister ook al dit idee. "Ik heb gezegd dat we er wel voor moeten oppassen dat het niet een soort A-Team wordt, want het moet nog wel binnen de verhoudingen van onze maatschappij. Ik deel dus het punt van de heer Van Raak dat we moeten gaan kijken naar een centrale autoriteit die op enig moment wel kan zeggen: nu gaan wij het zelf uitvoeren."
Mogelijk dat het Nationaal Cyber Security Centrum (NCSC) die rol gaat vervullen. "Waar het mij om gaat, is dat het NCSC geen doorzettingsmacht heeft. Dus ze kunnen niet tegen bedrijf X, een heel groot bedrijf dat een rol speelt in de vitale infrastructuur, zeggen: en nu gaat u het doen, u krijgt een aanzegging en anders komen we het over een maand voor u doen. Die bevoegdheid moet er komen", reageerde de minister op vragen van D66-Kamerlid Verhoeven.
Deze posting is gelocked. Reageren is niet meer mogelijk.