Nieuws, Kennis en Visie
Blijf op de hoogte van de laatste ontwikkelingen op het snijvlak van het sociaal domein en informatievoorziening.
Precisiebombardement
De opwinding was groot. Aangejaagd door de media, die ongeveer elk uur met een update kwamen, welke organisaties nu weer geraakt dreigden te worden, groeide poortwachter Citrix uit tot heuse hype. Alle poorten preventief op slot, was het advies van cyberwaakhond NCSC (Nationaal Cyber Security Centrum). En de poorten gingen op slot, ook die van vrijwel alle gemeenten. De schrik zat er goed in.
Nadat de rust enigszins was teruggekeerd, bleef ik met een paar vragen achter. Was de paniek terecht? Had het ook anders gekund, iets meer bezonnen? Was er uberhaüpt voor bestuurders nog ruimte om op goede (technische) gronden het advies te negeren? Het zijn geen vragen die met een eenduidig ja of nee kunnen worden beantwoord. Ten eerste omdat we nog steeds niet precies de ernst en de omvang van de dreiging kennen. Misschien speelde er meer dan we nu weten. Ten tweede omdat ik begrijp dat bestuurders geen risico willen lopen. Mocht het fout gaan, dan zijn de rapen immers gaar. Maar dat neemt niet weg dat ik het lastig vind dat van een in de aard technisch probleem een bestuurlijke zaak is gemaakt.
Voorop gesteld, ik verwijt niemand iets, nou ja, hooguit Citrix. Het is niet erg verstandig om een kwetsbaarheid te melden, als er nog geen of slechts een halve patch is. Het is de kat op het spek binden. Niet vreemd dus dat aanvallers actief de aanval openden op Citrix-servers, iets waarvan de NCSC op 9 januari melding maakte, waarop vijf dagen later bestuurlijk Nederland in blinde paniek de servers uitschakelde. Een (media-)hype was geboren. Op zich was ik best blij met alle aandacht, het probleem staat nu stevig op de kaart, niet alleen in Nederland, maar ook in Europa. Ook opvallend is dat mede naar aanleiding van deze gebeurtenis steeds meer bedrijven graag door IBD (Informatiebeveiligingsdienst) en NCSC tijdig ingelicht willen worden over mogelijke aanvallen. Kennelijk doen deze organisaties hun werk goed, een geruststellend gevoel.
Toch knaagt er iets. Het NCSC-advies de zaak op slot te gooien was een soort bom die iedereen raakte, ook de organisaties die, nadat op 24 december werd gemeld dat het lek ernstig was, meteen de juiste maatregelen hadden getroffen. Was een precisie-bombardement niet verstandiger geweest, nadat eerst met betrokken partijen de zaak grondig was geïnventariseerd, inclusief de mogelijke effecten van het preventieve advies om alle Citrix-omgevingen dicht te zetten? Die tijd was er.
Nogmaals, het is geen verwijt, eerder het aftasten van wat mogelijk bij een volgende keer beter kan. Wellicht is een meer afgewogen advies denkbaar. Dan zou de mediastorm, die maakte dat beslissers weinig andere keuze hadden dan de zaak op slot te draaien, wellicht niet zijn opgestoken. Niet alle dienstverlening zou dan misschien platgelegd zijn als gevolg van dit besluit. Iets meer rust, iets meer overleg, iets meer maatwerk, kan ik mij voorstellen. En waak ervoor dat een technisch probleem te snel op het bord van bestuurders belandt. Tenzij, zoals iemand opperde, de boardrooms worden bevolkt door millennials. Die raken over het algemeen wat minder snel in paniek van een hack of een lek.
Het originele blog verscheen op 27 januari op iBestuur.nl
terug naar overzicht