Justitie wil ingrijpen bij bedrijven die digitale beveiliging niet op orde hebben

DEN HAAG - De overheid gaat harder optreden tegen bedrijven die hun internetbeveiliging niet op orde hebben. Het kabinet wil bedrijven of organisaties die het publiek blootstellen aan risico's omdat ze hun computernetwerken niet goed beschermen tegen storingen en aanvallen van hackers, harder kunnen aanpakken.
 
Met boetes, of desnoods door zelf in te grijpen.
 
Dat zegt minister van Justitie en Veiligheid Ferdinand Grapperhaus in een gesprek met het FD. 'Wij moeten kunnen zeggen tegen een bedrijf: 'Als je het zelf niet regelt dan komen wij het wel doen.'
 
Afgelopen weekend meldde de Volkskrant dat de interne netwerken van 'honderden' bedrijven en overheidsinstellingen maandenlang wijd open hebben gestaan voor hackers. De organisaties hadden nagelaten een belangrijke update uit te voeren aan hun VPN-software, die de verbinding tussen het interne netwerk en het internet beveiligt. Hoewel bekend was dat de software een lek bevatte, negeerden bedrijven waarschuwingen van het Nationaal Cyber Security Center (NCSC).
 
Het illustreert de onmacht van de overheid. Als bedrijven door een hack of storing plat komen te liggen, kan dat de samenleving ontwrichten en tot gevaarlijke situaties leiden. Maar de overheid heeft nog niet de mogelijkheid om bij bedrijven te controleren of ze hun beveiliging op orde hebben en eventueel in te grijpen, zo constateerde ook de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) in een recent onderzoek.
 
Boetes en dwangsommen ook een optie
De overheid kan op dit moment niet veel meer dan wijzen op de gevaren, adviseren en de vingers kruisen in de hoop dat het niet fout gaat, dat is momenteel zo'n beetje het arsenaal van de overheid. Grapperhaus wil dat 'binnen afzienbare termijn' veranderen, zegt de minister.
 
Het opleggen van boetes of dwangsommen is een optie, maar die heeft niet de voorkeur. Grapperhaus: 'Een boete kan stimulerend werken, maar daarmee heb je nog niet zeker dat het probleem ook daadwerkelijk snel is opgelost.' En dus denkt hij eerder aan 'een vorm van doorzettingsmacht'. 'Dan gaat het NCSC zelf of met het bedrijf samen aan de slag om het probleem op te lossen.'
 
Een overheid die op een belangrijk punt de regie van een privaat bedrijf overneemt: het is een zeer vergaande maatregel. Dat erkent Grapperhaus zelf ook: 'Dit is niet zo makkelijk te regelen, het ligt allemaal heel gevoelig. We willen ook niet een minister of ministerie dat als een soort A-Team binnenkomt en zegt: “We gaan het even zo en zo doen”.' Over de precieze invulling wordt nog nagedacht.
 
Geen excuus voor niet updaten
De minister toont weinig begrip voor het feit dat bedrijven goede redenen kunnen hebben om software niet direct bij te werken. Soms moet voor een update een bedrijfsproces tijdelijk stil moeten worden gelegd, wat omzet kost. Of apparatuur moet worden vervangen omdat die niet met de nieuwste softwareversie overweg kan. Dat wil er bij Grapperhaus niet in: 'Als dat je excuus is om de noodzakelijke veiligheidsmaatregelen niet te nemen, ben je echt een ongelooflijke oliebol. Als je niet zonder problemen kunt updaten dan heb je iets in je bedrijfsvoering niet op orde.'
 
Zelf lijkt de overheid zijn zaakjes evenmin op orde te hebben. Ook het ministerie van Justitie en Veiligheid voerde de noodzakelijke update aan de VPN niet uit, zo meldde de Volkskrant zaterdag. De minister wil dat bericht niet bevestigen, maar het maakt de positie van Grapperhaus er niet sterker op.
 
Desondanks zal Grapperhaus dinsdag op een grote cybersecurityconferentie in Den Haag het bedrijfsleven streng toespreken. Veel leidinggevenden in het bedrijfsleven nemen cyberveiligheid niet serieus, blijkt uit onderzoek dat dan wordt gepresenteerd. Slechts 37% van de ondervraagde leidinggevenden houdt zich altijd aan de afspraken over digitale veiligheid in hun organisatie, tegen meer dan de helft van de overige werknemers.
 
'Ik vind het gewoon schokkend', zegt Grapperhaus. 'Als maar een derde van de leidinggevenden een voldoende cyberbewustzijn heeft, dan zijn we nog niet waar we zijn moeten. En het is niet een kwestie van óf het een keer fout gaat, maar wanneer. Het gaat een keer gebeuren. Ik zie dat die urgentie in het private en ook het publieke domein te weinig doorkomt.'

St. Maarten one step closer to averting FATF blacklisting

PHILIPSBURG--St. Maarten came one step closer to being compliant with the Financial Action Task Force (FATF) recommendations and avoiding being publicly listed as a jurisdiction with weak measures to combat money-laundering and terrorism-financing on Friday when Members of Parliament (MPs) unanimously passed the National Ordinance amending the Penal Code in connection with the implementation of some urgent international obligations.

CU wil wet tegen kindermishandeling BES-eilanden

BES EILANDEN - De ChristenUnie wil dat er een nieuwe wet komt tegen kindermishandeling op Bonaire, Sint Eustatius en Saba. De kleinste regeringspartij roept het kabinet op werk te maken van een wet die fysiek en psychisch geweld tegen kinderen ook op de BES-eilanden verbiedt.

Lawyers say the government's appeal in dump case is incomprehensible

PHILIPSBURG--There is still unlawful nuisance and the odour at the sanitary landfill must be removed. The Country St. Maarten considers itself committed to the Fire Suppression Plan but does not want to commit itself to a specific date.