Het was alle hens aan dek voor het Medisch Centrum Leeuwarden (MCL) toen begin 2020 hackers probeerden in te breken in de digitale systemen. Het ziekenhuis zag zich genoodzaakt om tijdelijk de digitale deuren naar de buitenwereld helemaal te sluiten. Ook tal van andere organisaties hadden te kampen met aanvallen, die mogelijk waren door een zwakke plek in de beveiliging van servers van Citrix.
Aanbevelingen
In het rapport Kwetsbaar door software deed de Onderzoeksraad voor Veiligheid aanbevelingen voor verbetering. Belangrijke punten zijn dat partijen sneller moeten handelen en elkaar moeten waarschuwen als dat nodig is. De overheid zou bovendien verplicht moeten stellen dat organisaties aantonen dat ze werk maken van hun digitale beveiliging.
Verantwoordelijkheid leveranciers
De raad stelde voor de leveranciers van software verantwoordelijk te maken voor kwetsbaarheden in hun systemen. Zo ver wilde het kabinet niet gaan; het blijft bij aangescherpte gedragscodes waar softwarebedrijven zich vrijwillig aan kunnen houden.
Een jaar later constateert de Onderzoeksraad in een notitie dat softwareleveranciers de handen nog niet ineen hebben geslagen voor verbetering. “Zij wijzen vooral naar de verantwoordelijkheid van de afnemer en het ontbreken van een gelijk speelveld”, staat in de notitie.
Versnelling nodig
Ook op andere vlakken zit er te weinig schot in de zaak. Organisaties spreken weliswaar intenties uit om met de aanbevelingen aan de slag te gaan, maar het duurt allemaal te lang volgens de raad. Het kan wel tot 2026 duren voor de voorgenomen acties zijn uitgevoerd. De Onderzoeksraad hamert erop dat versnelling nodig is.
