NBIP logo

Bestrijding van beveiligingskwetsbaarheden gaat iedereen aan

Clean Networks

Opinie: gevoel van urgentie nodig bij bestrijden beveiligingskwetsbaarheden

Cyberdreigingen stonden recent in de top drie van zorgen onder Nederlanders, zo bleek uit onderzoek van Instituut Clingendael. Niet zo gek, want die dreiging wordt regelmatig geaccentueerd, bijvoorbeeld door recente berichtgeving dat duizenden computernetwerken in Nederland kwetsbaarheden vertonen die allang gedicht hadden moeten zijn. Het is wachten op ongelukken, zo is de beeldvorming, want zelfs binnen defensie zijn kwetsbaarheden aan het licht gekomen die actief zijn misbruikt.

Er is onmiskenbaar sprake van een serieus en verontrustend probleem dat ons allemaal aangaat. Maar in plaats van verstrikt te raken in angst en paniek, is het beter om ons te richten op structurele oplossingen. Gelukkig zijn die voorhanden, maar het bewustzijn hierover onder bedrijven en organisaties laat nog te wensen over. En dat geldt ook voor het besef dat actieve betrokkenheid van henzelf cruciaal is om onze systemen veilig te houden.

Veiligheidsrisico’s en economische schade

De kern van het probleem is dat kwetsbare systemen een economisch risico vormen, maar ook een bedreiging zijn voor onze veiligheid. Zowel cybercriminelen als statelijke actoren hebben het gemunt op Nederlandse systemen, waardoor een robuuste cyberweerbaarheid van levensbelang is.

Problemen bij niet-vitale bedrijven die het gevolg zijn van kwetsbaarheden, kunnen ook bij vitale en kritieke bedrijven (energie, telecom etc.) gevolgen hebben, waardoor de maatschappelijke impact groot kan zijn. Het minste dat ieder bedrijf en organisatie dus kan doen, is zich laten informeren over kwetsbaarheden en dreigingen en naar die informatie te handelen.

Maar dat kan alleen als die kwetsbaarheden bekend zijn. Extra vervelend is dat veel van die soort lekken vaak onbekend en dus onzichtbaar zijn. Als je als eerste weet hebt van zo’n lek, dan kun je die misbruiken. Daarom zoeken zowel cybercriminelen als zogeheten ethische hackers hiernaar. De ene groep om ze te misbruiken, de andere, zoals de vrijwilligers van het Dutch Institute for Vulnerability Disclosure (DIVD), om ze te rapporteren zodat ze gedicht kunnen worden.

Notificatie en gedragscode

In Nederland wordt veel gedaan om kwetsbaarheden te vinden en partijen die getroffen zijn te informeren. Hierbij wordt nauw samengewerkt tussen sectorale initiatieven en de Rijksoverheid, in het bijzonder de ministeries van Justitie & Veiligheid (JenV) en Economische Zaken en Klimaat (EZK). Er zijn op dit terrein echt stappen gezet de laatste jaren. Er worden nu veel meer organisaties en bedrijven op de hoogte gesteld door melders van kwetsbaarheden dan een aantal jaar geleden.

Een ander voorbeeld van een initiatief om dit soort informatie te delen, maar dan met een specifieke doelgroep waar de impact van beveiligingslekken en incidenten groot is, is het Clean Networks platform. Dit is tot stand gekomen dankzij een brede samenwerking van overheid, de Nederlandse internetsector en non-profit initiatieven om internetmisbruik in netwerken van ISP’s en hosters te bestrijden.

Het opsporen van kwetsbaarheden, het notificeren van getroffenen en het verhelpen van die kwetsbaarheden wordt in dit initiatief samengebracht in een technische oplossing. Hiermee worden automatisch de juiste meldingen met voorgestelde oplossingen en prioritering aan getroffen partijen gestuurd. Bij incidenten is hulp en ondersteuning beschikbaar. Zo fungeert Clean Networks als CSIRT (Computer Security Incident Response Team) voor Nederlandse ISP’s en de hostingsector.

Deelnemers verbinden zich daarnaast aan een gedragscode, zodat ook zij een verantwoordelijkheid dragen voor het schoon maken en houden van hun systemen. Er wordt een keurmerk ontwikkeld zodat zichtbaar wordt wie zich actief inspant om narigheid op te ruimen, en wie het met die risico’s niet zo nauw neemt. Het project wordt medegefinancierd door de Europese Unie en is internationaal toonaangevend voor hoe deze problematiek aangepakt kan worden.

Ook het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) verzorgen meldingen voor respectievelijk kritieke & vitale infrastructuur en voor het mkb. Daarnaast zijn er sectorale initiatieven, bijvoorbeeld voor de haven van Rotterdam en voor cybersecuritybedrijven. De Tweede Kamer nam recent de Wet bevordering digitale weerbaarheid bedrijven (ook wel DTC-wet) aan, waarmee informatiedeling over dreigingen, kwetsbaarheden en incidenten met het brede bedrijfsleven vanuit het DTC geregeld wordt.

Organisaties die dat willen, kunnen kortom geïnformeerd worden over kwetsbaarheden en beveiligingslekken (zodra) die bekend zijn. Toch kunnen we bijna dagelijks lezen over geslaagde hacks en het misbruik van bekende beveiligingslekken. Hoe kan dat?

Kennis en kunde benutten

Wat nog ontbreekt is een breder bewustzijn binnen organisaties dat kwetsbaarheden zich overal kunnen voordoen en dat er actie moet worden ondernomen. Het tijdperk waarin deze risico’s genegeerd konden worden zonder grote consequenties ligt al lang achter ons, maar dat besef leeft nog niet bij iedereen. Het is daarom nu de hoogste tijd dat bedrijven en organisaties het vinden en bestrijden van kwetsbaarheden proactief aanpakken. Elk bedrijf of organisatie heeft een verantwoordelijkheid om kwetsbaarheden te dichten.

Om de weerbaarheid te vergroten, moeten Nederlandse bedrijven en organisaties dus doortastender optreden. Brancheorganisaties hebben hierbij een rol door hun leden en achterban (beter) te informeren over hun verantwoordelijkheden, de risico’s die ze lopen en hoe ze deze kunnen verminderen.

Daarnaast hebben meldpunten, melders zelf en de overheid een belangrijke taak om het belang van het melden van kwetsbaarheden en het ondernemen van actie nog duidelijker naar voren te brengen.

Voor individuele bedrijven en organisaties is het noodzakelijk om informatiebeveiliging en het actief dichten van kwetsbaarheden hoog op de agenda te plaatsen, indien dit nog niet het geval is.

En voor alle betrokken partijen blijft samenwerking van groot belang, zowel als het gaat om het delen van informatie als het verhogen van het bewustzijn bij de bedrijven en organisaties dat adequaat handelen op basis van informatie over kwetsbaarheden en misbruik cruciaal is.

Door samen te werken en gebruik te maken van de beschikbare kennis en middelen, kunnen we de weerbaarheid tegen beveiligingskwestbaarheden verhogen. Gelukkig is er een overvloed aan kennis beschikbaar en staan zowel de overheid als sectorale initiatieven klaar om te helpen. Het is nu tijd voor actie.

Deze column is geschreven door Octavia de Weerdt en is een bewerkte versie van een expertartikel dat eerder bij AG Connect verscheen.

Nieuws

Webinar: naleving van de Bbgt uitgelegd door de Rijksinspectie Digitale Infrastructuur (RDI)
Tapdienst
NBIP NEXT 2025: Europa op goede weg naar versterking digitale weerbaarheid (maar we zijn er nog niet)
Events, Nieuws
DDoS aanvallen in Q3 2025
NaWas, Nieuws
eEvidence: hoe bereidt jouw organisatie zich er op voor?
Nieuws

Wil je meer informatie of je abonneren op onze nieuwsbrief?

NBIP logo
NBIP NEXT
‘Platform- en leveranciers onafhankelijke Cloud met Haven’

Donderdag 27 november – 13:50 – 14:30 uur

Haven is een open oplossing voor platform- en leveranciersonafhankelijke Cloud diensten. Haven is een bouwsteen van het pGDI en de NDS. Haven biedt agnostische inrichting van Cloud technologie en biedt organisaties een uitvoerbaar exit plan. 

Verwacht een bevlogen verhaal over de praktijk van ecosysteem gestuurd samenwerken waarbij we de kracht van digitalisering inzetten voor het maatschappelijk belang. 

Highlights 

  • Haven+
  • Ecosysteem gestuurd samenwerken
  • Platform- en leveranciersonafhankelijke Cloud diensten
  • Data Soevereiniteit


Over Jacco Brouwer

Jacco Brouwer is werkzaam voor de Vereniging Nederlandse Gemeenten als beleidscoördinator Cloud en behartigt de gemeentelijke belangen in het NDS uitvoeringsprogramma op Cloud. Vanuit het Kenniscentrum Innovatie bij VNG is Jacco de initiatiefnemer van de publieke Incubator GROEI waarmee VNG gemeentelijke samenwerking en innovaties vanuit een startup filosofie begeleiden bij de opschaling naar breed en collectief gebruik onder gemeenten en collega overheden. 

Jacqueline van de Werken is bijna 10 jaar actief als global general counsel bij Leaseweb, na een loopbaan in de advocatuur en actief te zijn geweest in legal & regulatory affairs bij buitenlandse telecom/ datacom aanbieders.

Sinds enige tijd is Jacqueline ook board member & secretaris van brancheorganisatie Dutch Cloud Community. Als president/chair bij Cloud Infrastructure Service Providers Europe richt ze zich ook op het behartigen van regulatory belangen van de IAAS cloud sector.

Woensdag 26 november 

Van vrijwillig naar verplicht: de nieuwe werkelijkheid van regelgeving voor providers

Interactieve sessie

11:15 – 12:00 uur

Ir. Bas Dunnebier EngD

Bas Dunnebier is Chief Science and Technology Officer (CSTO) bij de Algemene Inlichtingen- en Veiligheidsdienst (AIVD). De CSTO speelt in op de kansen en uitdagingen die technologische en wetenschappelijke innovatie met zich meebrengen, onder meer voor de offensieve en defensieve taken van de dienst.

Eerder vervulde Dunnebier verschillende andere functies binnen de AIVD, waaronder die van hoofd Unit Weerbaarheid. Hij heeft daardoor een brede expertise ontwikkeld op het gebied van (cyber)weerbaarheid, inlichtingen, en technologieën zoals AI, quantum en cryptologie. Hij studeerde Toegepaste Wiskunde aan de Universiteit Twente, en Informatie- en Communicatietechnologie aan de Technische Universiteit Eindhoven. Voordat Dunnebier bij de AIVD kwam werken, werkte hij onder meer bij Thales, TNO en Technolution.

Het huidige dreigingsbeeld volgens de AIVD: wat nu te doen?

Woensdag 26 november 
14:00 – 14:35
Parkzaal: Wet- en Weerbaarheid

Tijdens zijn presentatie geeft Dr. Alberto P. Martí een update over het Europese project IPCEI Cloud Infrastructuur en Services (CIS).

Donderdag 27 november 
15:00 – 15:45 uur
Parkzaal: Op weg naar digitale autonomie

René deelt tijdens NBIP NEXT meer over de implementatie van de eEvidence wetgeving die per 18 augustus 2026 van kracht wordt voor internet service providers.

Woensdag 26 november 
15:00 – 15:35 uur
Parkzaal: Track Wet & weerbaarheid

Johan geeft tijdens NBIP NEXT als onderdeel van het DDoS Mitigatietrack een presentatie over hoe je het beste een WAF kan inzetten om layer 7 aanvallen te mitigeren.

Woensdag 26 november 
13:15 – 13:50 uur
Fonteinzaal: Collaborative DDoS mitigation track (ENGLISH)

Dr. Cristina Caffarra is een van de drijvende krachten achter EuroStack. Deze beweging, die het oor heeft van politici en beleidsmakers in Europa, maakt zich zich hard voor meer investeringen in Europese technologie vanuit de gedachte dat dit de enige weg is naar digitale autonomie. Caffarra is mededingingsexpert en kent de wereld van de grote techbedrijven van binnenuit. Ze leverde belangrijke bijdragen aan concurrentieonderzoeken naar fusies en anti-trustzaken voor de Europese Commissie. 

Caffarra neemt geen blad voor de mond en zegt waar het op staat: we moeten aan de slag met elkaar om de Europese digitale autonomie zo snel mogelijk handen en voeten te geven. Op NBIP NEXT deelt ze haar visie tijdens een inspirerende keynote waarna er mogelijkheid is om in discussie te gaan.

Donderdag 27 november 
13:15 – 13:50 uur
Parkzaal: Op weg naar digitale autonomie