Cybersecurity-expert over Grapperhaus: “verplicht patchen maakt negatieve gevolgen mogelijk veel groter”

Het interview in het FD is een follow-up op het artikel waarin de Volkskrant het afgelopen weekend meldde dat ‘de interne netwerken van honderden bedrijven in Nederland, waaronder het ministerie van Justitie en Veiligheid en Luchtverkeersleiding Nederland, maandenlang wagenwijd open hebben gelegen voor kwaadwillenden. De organisaties hadden nagelaten een belangrijke update uit te voeren aan hun VPN-software, die de verbinding tussen het interne netwerk en het internet beveiligt. Hoewel bekend was dat de software een lek bevatte, negeerden bedrijven waarschuwingen van het Nationaal Cyber Security Center (NCSC).

Auke Huistra van het Nederlandse cybersecuritybedrijf Applied Risk reageert op de uitspraken van minister Grapperhaus. Huistra is expert op het gebied van het beveiligen van industriële controlesystemen, en heeft ruim 20 jaar internationale ervaring in het beveiligen van vitale infrastructuur. Hij stelt het volgende:

• De uitspraken van minister Grapperhaus zijn veel te kort door de bocht. We begrijpen dat hij onderstreept dat bedrijven digitale dreigingen en kwetsbaarheden zeer serieus moeten nemen, maar wij kijken toch iets genuanceerder naar deze discussie in de media over het toepassen van patches.
• In de praktijk, en zeker waar het gaat om systemen in de productie-omgevingen van vitale infrastructuren, is het onverstandig om te roepen dat je alles zomaar moet patchen. Dat zou vrij naïef zijn – zeker omdat je als overheid niet weet welke mogelijke aanvullende maatregelen bedrijven hebben genomen om de kwetsbaarheid te beperken, en – nog belangrijker – wat de risico’s zijn als patches zonder goede voorbereiding worden doorgevoerd.
• Niet alle systemen zijn hetzelfde, dus een ‘one size fits all’-benadering werkt helaas niet. Het vergt maatwerk om passende en evenredige maatregelen te nemen.
• Wat belangrijk is, is dat bedrijven een goede patchprocedure hebben wanneer dit soort serieuze kwetsbaarheden bekend worden gemaakt (zoals bijvoorbeeld door het NCSC, maar ook door partijen als ICS-CERT). Bedrijven moet deze kwetsbaarheden serieus nemen, een goede risico-analyse maken en vervolgens passende en evenredige maatregelen nemen. Patchen kan daarbij één van de maatregelen zijn.
• Zo staat het ook beschreven in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni):"De aanbieder van een essentiële dienst en de digitaledienstverlener nemen passende en evenredige technische en organisatorische maatregelen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. De maatregelen zorgen, gezien de stand van de techniek, voor een niveau van beveiliging dat is afgestemd op de risico’s die zich voordoen."
• Het is vooral belangrijk om de risico’s van wel en niet patchen tegen elkaar af te wegen en daarbij een geschikt moment te zoeken om de gewenste patches door te voeren. Met name in industriële omgevingen moet dit wijzigingsproces zeer zorgvuldig gebeuren. Het zou niet de eerste keer zijn dat een patch juist voor een verstoring zorgt in plaats van dat het de organisatie veiliger maakt.
• Het mag daarom nooit zo zijn dat er een situatie ontstaat van ‘u vraagt, wij draaien’, of beter gezegd: ‘u roept dat er een kwetsbaarheid is en wij patchen zonder na te denken’. Dan zijn de mogelijke negatieve gevolgen nog veel groter.
• Het mooie is dat de overheid met de Wbni ook al een hulpmiddel in handen om dit soort patchprocedures van vitale organisaties te toetsen. Binnen de Wbni kan de overheid namelijk audits uitvoeren op de IT/OT-omgevingen die ten dienste zijn van de vitale processen binnen aanbieders van essentiële diensten. Daarbij kunnen de auditors deze procedures op kwaliteit en toepasbaarheid beoordelen.