3min Security

Kabinet overweegt staatssteun voor ethische hackers van DIVD

Kabinet overweegt staatssteun voor ethische hackers van DIVD

Het kabinet gaat onderzoeken hoe vrijwilligersorganisatie Dutch Institute for Vulnerability Disclosure (DIVD) een rol kan spelen in de nationale aanpak van cyberveiligheid. Directeur Chris van ’t Hof hoopt op financiële steun.

DIVD bestaat uit ruim 100 vrijwilligers. De organisatie onderzoekt kwetsbaarheden en informeert bedrijven over kwetsbare systemen. In 2022 wees de organisatie 176.000 partijen op online risico’s. In hetzelfde jaar ontving DIVD een eenmalige subsidie van 192.000 euro, maar daarbuiten draait de organisatie op donaties.

Minister Dilan Yeşilgöz-Zegerius (Justitie) werd eind vorig jaar door de Tweede Kamer gevraagd om te onderzoeken hoe DIVD een grotere rol kan spelen in de nationale aanpak van cyberveiligheid. Kamerleden suggereerden bijvoorbeeld dat de organisatie kan fungeren als een overheidsorganisatie, vergelijkbaar met het Nationaal Cyber Security Centrum (NCSC).

Yeşilgöz-Zegerius ziet geen ruimte voor een overheidsorganisatie, aangezien DIVD in sommige gevallen systemen hackt — iets wat over het algemeen verboden is voor overheidsinstanties. Om desondanks aan het beroep te voldoen onderzoekt het kabinet voor de zomer of en hoe de overheid DIVD kan steunen.

DIVD hoopt op financiering

“Een grote erkenning”, zei directeur Chris van ’t Hof tegen het Financieele Dagblad in reactie op de politieke aandacht. Hij duimt op financiële steun, bijvoorbeeld voor het onderhoud van servers en het vergoeden van managers. “Natuurlijk: ook zonder enig geld gaan we heus door”, zei Van ’t Hof. “Maar dan wordt het wel een stuk lastiger om de continuïteit van onze organisatie te garanderen.” 

Wat financiering betreft valt de organisatie tussen schip en wal. Grootbedrijven en aanbieders van vitale infrastructuur ontvangen dreigingsinformatie van het NCSC. Zij hebben weinig belang bij DIVD, dus dragen zij niet of nauwelijks aan de organisatie bij. De bedrijven die DIVD helpt vallen niet onder vitale infrastructuur en hebben geen of weinig middelen voor cybersecurity. Dergelijke bedrijven zijn zelden in staat om te doneren.

Naamsbekendheid en vrijheid

Naast financiële steun hoopt Van ’t Hof dat de staat kan bijdragen aan naamsbekendheid. Hij legt uit dat bedrijven vaak afwijzend reageren wanneer ze door DIVD over een kwetsbaarheid worden geïnformeerd. “Het zou fijn zijn als iedereen weet: een mail van het DIVD, daar moeten we wat mee”, aldus de directeur.

Van ’t Hof gelooft niet dat een aanmerking als overheidsorganisatie DIVD vooruithelpt. Als particuliere organisatie mag DIVD binnendringen in computersystemen voor test- en veiligheidsdoeleinden. De meeste overheidsorganisaties mogen dit niet.

Het kabinet bepaalt tussen nu en de zomer wat DIVD kan betekenen voor de nationale cyberveiligheid, en wat de overheid kan betekenen voor DIVD. De vrijwilligersorganisatie publiceert actuele kwetsbaarheden en initiatieven op divd.nl.

Tip: Nederlandse securityexperts waarschuwden Kaseya in april voor fouten