De Nederlandse overheid moet beter waarschuwen voor dreigende cyberaanvallen. Alle "potentiële slachtoffers" moeten op tijd weten wat er zou kunnen gebeuren. Dat zegt de Onderzoeksraad voor Veiligheid (OVV). Nu krijgen alleen de overheid zelf en vitale plekken een alarm. De rest van het land ontvangt geen waarschuwing, omdat dit van de wet niet hoeft.
De raad heeft gekeken naar een gat in de beveiliging van veelgebruikte software van Citrix. Kwaadwillenden konden via de software binnendringen in computersystemen van gebruikers. Die kwetsbaarheid kwam in december 2019 aan het licht. Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid stuurde meteen een waarschuwing naar overheidsdiensten en vitale organisaties, maar niet naar andere potentiële slachtoffers. Van de wet hoeft dat namelijk niet. "Aanvallers konden nog steeds op grote schaal digitale systemen binnendringen. Tot op de dag van vandaag hebben zij daarmee illegale toegang tot systemen en data in bedrijven en organisaties", constateert de Onderzoeksraad. De aanvallers kunnen zo'n slachtoffer op elk moment raken. Als dat gebeurt, worden "bedrijfsprocessen, dienstverlening, privacy en veiligheid" verstoord, aldus de Onderzoeksraad.
Demissionair minister Ferd Grapperhaus (Justitie en Veiligheid) laat in een reactie weten dat hij het ermee eens is dat een "centrale voorziening" nodig is, maar dat bedrijven en organisaties ook "zelf verantwoordelijkheid moeten blijven nemen voor het op orde brengen en houden van hun digitale veiligheid". Er ligt een wetsvoorstel om informatie beter te delen, zegt Grapperhaus. De waarschuwingen van het NCSC zouden verspreid moeten worden door instellingen als het Digital Trust Centre (van het ministerie van Economische Zaken voor ondernemers), Cyberveilig Nederland (belangenvereniging van cyberbeveiligers) en de Nationale Beheersorganisatie Internet Providers (voor providers).