Digital Trust Center wil met pilot niet-vitale bedrijven voorzien van beveiligingsadvies

Het Digital Trust Center start een pilot waarbij het bedrijven gaat waarschuwen voor kwetsbaarheden zoals ransomware. Het gaat om niet-vitale bedrijven, omdat deze nog niet op de hoogte zijn. Het DTC zoekt bedrijven die willen deelnemen aan de pilot.

De pilot heet de DTC Informatiedienst . Bedrijven kunnen zich tot 17 september aanmelden om deel te nemen. De pilot is bedoeld om te kijken of ook niet-vitale bedrijven in de toekomst geïnformeerd kunnen worden over kwetsbaarheden. Nu waarschuwt het Nationaal Cyber Security Centrum van de Nederlandse overheid 'vitale bedrijven' via adviezen voor bekende kwetsbaarheden. Dat doet het bijvoorbeeld als er sprake is van een kwetsbaarheid zoals ProxyShell . Vitale bedrijven zijn bijvoorbeeld bedrijven in de energie- of bankensector waar een aanval zoals ransomware de samenleving ernstig kan ontwrichten. Er wordt nu dus ook gezocht naar andere bedrijven die mogelijk gewaarschuwd worden door het Digital Trust Center in plaats van door het NCSC.

De DTC verzamelt 'actuele dreigingsgegevens' voor het project. Deze wordt aangeleverd door andere instanties, waaronder het NCSC. Het gaat om informatie over gerichte aanvallen op apparatuur van bedrijven die zich bij de pilot hebben aangesloten. Als een dergelijke aanval wordt gedetecteerd door de DTC, krijgt het bedrijf een waarschuwing. Het NCSC kan ook lijsten aanleveren van bedrijven waarvan het weet dat ze al zijn gehackt. Het DTC neemt vervolgens contact met hen op en bespreekt mitigerende maatregelen of oplossingen.

Om deel te nemen aan de pilot moeten bedrijven alle IP-adressen die ze gebruiken registreren. De bedrijven met het grootste aantal IP-adressen worden geselecteerd voor de pilot. Bedrijven moeten ook hun volledig gekwalificeerde domeinnamen en hun autonome systeemnummers registreren. Het DTC wil maximaal veertig bedrijven uitnodigen voor de pilot, die wordt verdeeld over tien branches zoals logistiek, onderwijs, media of zorg.

Deelnemende bedrijven kunnen niet zijn aangesloten bij een belangengroep zoals Cyberveilig Nederland of de NBIP, en moet een CISO of een andere verantwoordelijke werknemer voor de veiligheid in dienst. Het DTC verwacht dat de pilot in het vierde kwartaal van dit jaar van start gaat. Het duurt dan een jaar.

Diverse Nederlandse veiligheidsinstanties, zoals de Nationaal Coördinator Terrorismebestrijding en Veiligheid en de Wetenschappelijke Raad voor het Regeringsbeleid, waarschuwen al jaren dat Nederland gevaar loopt op 'digitale disruptie'. Dit heeft niet alleen te maken met aanvallen op vitale sectoren. Er wordt nu steeds vaker gezegd dat niet-vitale bedrijven ook veel maatschappelijke schade kunnen aanrichten. Zo zijn bijvoorbeeld een supermarkt die niet bevoorraad kan worden of een bedrijf met duizenden medewerkers dat failliet gaat door ransomware ook grote risico’s. De beveiligingsindustrie stelt al langer dat organisaties als het NCSC of het DTC ook niet-vitale bedrijven waarschuwen voor digitale dreigingen.