De VVD wil dat het Dutch Institute for Vulnerability Disclosure (DIVD) een grotere, formelere rol krijgt in het digitaal beschermen van Nederland door het scannen van netwerken. De partij heeft daarvoor vandaag een motie ingediend. Minister Yesilgöz van Justitie en Veiligheid ziet dit niet meteen zitten. Het DIVD bestaat uit beveiligingsonderzoekers die op internet naar kwetsbare systemen scannen zodat betrokken organisaties vervolgens kunnen worden gewaarschuwd. Daarnaast doet het beveiligingsonderzoek.
Volgens VVD-Kamerlid Rajkowski kunnen met het scannen op kwetsbaarheden bij aanbieders veel cyberaanvallen tijdig worden voorkomen. Aangezien het DIVD dit met allerlei beveiligingslekken doet zou de organisatie mogelijk een grotere, formelere rol moeten krijgen in het digitaal beschermen van Nederland in samenwerking met het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC), aldus Rajkowski.
Het VVD-Kamerlid vindt dat het oppakken en doorspelen van de informatie over dreigingen die het DIVD ontdekt een structurelere vorm moet krijgen. “Voor deze groep hackers is het namelijk ook niet altijd duidelijk. Als ze informatie aan de rijksoverheid geven, komt die niet altijd bij die bedrijven terecht. En wie gaat die bedrijven dan helpen om verder door te groeien met die informatie? Ik merk dat de schoen daar nog wringt. Wij zijn er in die zin voor dat het een formelere organisatie wordt. Het moet geen rijksoverheidsorganisatie worden, maar wat zij doen mag nog wel iets meer richting en serieusheid krijgen”, liet ze vandaag weten tijdens een debat voor de vaste commissie voor Digitale Zaken.
Rajkowski diende hiertoe een motie in. “Constaterende dat het Dutch Institute for Vulnerability Disclosure op grotendeels vrijwillige basis het internet proactief scant op kwetsbaarheden en deze meldt bij relevante aanbieders; verzoekt de regering te onderzoeken op welke wijze het Dutch Institute for Vulnerability Disclosure een grotere, formele rol kan gaan spelen in het digitaal veilig houden van Nederland in samenwerking met het NCSC en het DTC.”
Tijdens het debat stelde minister Yesilgöz dat het DIVD op dit moment, in beginsel, door te scannen kan binnendringen in een geautomatiseerd netwerk zonder dat daartegen een strafrechtelijk onderzoek wordt ingesteld. “Het moet zich dan wel houden aan de richtlijn van het Openbaar Ministerie met betrekking tot Coordinated Vulnerability Disclosure”, voegde de minister toe.
“Rijksoverheidsorganisaties moeten een wettelijke grondslag hebben of toestemming krijgen van de betrokken organisatie om binnen te mogen treden in geautomatiseerde netwerken, anders is er sprake van strafbaar handelen. Dat is dus best wel een verschil. Een formele rol voor deze organisatie, het DIVD, of een samenvoeging met het Nationaal Cyber Security Centrum zorgt niet voor meer mogelijkheden voor het scannen op kwetsbaarheden”, ging Yesilgöz verder.
Ze merkte op dat het scannen van netwerken vanuit de overheid alleen maar kan op basis van een wettelijke grondslag. Voor die reden wil de minister dat niet bij elkaar voegen. “Maar zoals gezegd levert het DIVD wel regelmatig informatie over mogelijk kwetsbare, geïnfecteerde en, natuurlijk, gehackte systemen aan het NCSC. Het NCSC informeert vervolgens organisaties binnen hun doelgroep. Er is dus al een goede samenwerking. Wat ons betreft zullen we altijd blijven zoeken naar een betere samenwerking, want ze hebben natuurlijk wel een hele belangrijke functie.”
Bron: Security.nl