Experts: Onvoldoende samenwerking bij beveiligingslekken

Bij grote kwetsbaarheden, zoals recentelijk in de servers van Citrix, is er geen centrale organisatie die verantwoordelijk is voor een nadere oplossing.

De coördinatie is verdeeld over meerdere organisaties. Dat leidt zowel tot miscommunicatie als onnodige vertraging bij het aanpakken van kwetsbaarheden.

NCSC

“Informatie komt vaak niet bij de juiste persoon terecht”, verklaart Frank Breedijk, hoofd informatiebeveiliging bij Schuberg Philis. Volgens Matthijs Koot, werkzaam bij securitybedrijf Secura en de Universiteit van Amsterdam, komt dit door een gebrek aan landelijke coördinatie. Het Nationaal Cyber Security Centrum (NCSC), dat onder het Ministerie van Justitie en Veiligheid valt, heeft de taak om vitale aanbieders en onderdelen van het Rijk te informeren en te adviseren over dreigingen voor het netwerk. Andere organisaties, waaronder zorg- en onderwijsinstellingen, vallen niet onder deze wettelijke taakstelling.

CERT

Het NCSC heeft tegenover NU.nl laten weten een algemene waarschuwing over Citrix doorgegeven te hebben aan Computer Emergency Response Teams (CERT’s). Niet alle sectoren hebben echter een CERT. Voor organisaties is het ook niet verplicht om zich bij zo’n team aan te sluiten. Koot benadrukt dat organisaties zelf verantwoordelijk zijn, en blijven, voor de beveiliging van hun eigen systeem: “Wel blijkt nu uit de Citrix-kwetsbaarheid dat er maatschappijbreed niet scherp en snel genoeg wordt gehandeld als nieuwe kwetsbaarheden bekend worden.”

Aanmelden voor onze nieuwsbrief