Je browser is verouderd en geeft deze website niet correct weer. Download een moderne browser en ervaar het internet beter, sneller en veiliger!

‘Testen van digitale beveiliging is belangrijker dan alleen regels volgen’

Gebouw Tweede Kamer

Keurmerken en het voldoen aan regels en normen zijn niet voldoende om een (zorg)organisatie digitaal goed te beveiligen. Het is belangrijker om regelmatig de beveiligingsmaatregelen en -procedures uitvoerig te testen. Daarvoor pleitte Wim Hafkamp, directeur van Z-CERT, dinsdag 6 september tijdens het rondetafelgesprek over Digitale Weerbaarheid in de Tweede Kamer.

Voor de zorg heeft Z-CERT daarom dit jaar het testprogramma ZORRO geïntroduceerd, wat staat voor ZOrg Redteaming Resilience Oefeningen. De eerste testen binnen dit programma lopen nu.

In andere sectoren zijn soortgelijke testprogramma’s in gebruik om te testen hoe weerbaar organisaties zijn tegen geavanceerde cyberaanvallen. In de financiële wereld werkt De Nederlandse Bank met TIBER, wat staat voor Threat Intelligence Based Ethical Red-teaming. Brainport Eindhoven probeert op een andere manier meer inzicht te krijgen in weerbaarheid van organisaties door de inzet van een self assesment tool genaamd CyRa (Cyber Rating).

Coördinatie ontbreekt

Z-CERT was uitgenodigd voor de vergadering van de commissie Digitale Zaken, evenals vertegenwoordigers van Cyber Weerbaarheidscentrum Brainport, Havenbedrijf Rotterdam, KPN en De Nederlandsche Bank. Diverse partijen die aan het gesprek deelnamen, spraken de wens uit voor een meer georganiseerde landelijke of meer centrale regie bij cybercalamiteiten. Die wens leeft vooral omdat het nu niet helder is wie de coördinatie op zich neemt bij een grootschalig incident.

Wim Hafkamp spreekt bij debat Digitale weerbaarheid Tweede Kamer op 6 september 2022

Verder stelde Wim Hafkamp voor om een soort nationaal plan op te zetten voor cybercalamiteiten. “We kennen al de GRIP-structuur om de opschaling van hulpverleningsdiensten zoals brandweer, ambulance en politie, ordentelijk te organiseren. Een dergelijk mechanisme bestaat er niet voor cybercalamiteiten waardoor het beantwoorden van grote cybercalamiteiten moeilijker wordt”, aldus Hafkamp.

Dit najaar verschijnt vanuit het kabinet de nieuwe Nederlandse Cybersecuritystrategie. Daarin komen verschillende actuele cybervraagstukken aan de orde. Dan zal blijken welke plannen van het rondetafelgesprek door de politiek zijn overgenomen.

Het rondetafelgesprek is terug te kijken via de website van de Tweede Kamer.