De dijkbewaking in de Nederlandse cybergemeenschap lijkt eindelijk te functioneren. Prettig om te weten. Want lange tijd leek er niets van te deugen. Kostbare informatie over beveiligingslekken bereikte de slachtoffers niet. Daardoor werden vorig jaar bij honderden bedrijven de inlognamen en wachtwoorden ontvreemd, en was de gemeente Hof van Twente digitaal uitgeschakeld.
Deze slachtoffers hádden op tijd kunnen ingrijpen. De informatie wás aanwezig bij de digitale waakhond van Nederland, het Nationaal Cyber Security Centrum (NCSC). Maar die informeerde alleen wat uitverkoren partijen, zoals banken en energiebedrijven. De rest, die niet hoorde bij de zogeheten 'vitale infrastructuur' van Nederland, kreeg de informatie niet, of alleen via een andere weg. En meestal te laat.
Maar afgelopen week liep alles zoals het zou moeten. In de hele wereld schalde het 'code rood' door de ether, van de Amerikaanse Cybersecurity and Infrastructure Security Agency tot het Duitse Bundesamt für Sicherheit in der Informationstechnik. En de NCSC in Den Haag. Duizenden bedrijven en gemeenten tegelijk werden bijgepraat over een ernstig veiligheidslek. In Nederland lijken nog geen slachtoffers te zijn.
Code Rood was bepaald niet overdreven. Het was geen doorsneelek. Het ging om een onderdeel van de software van Apache, die bij ontelbaar veel organisaties in gebruik is om te registreren wie toegang vraagt tot een webserver of een programma. Via dit onderdeel, Log4j, konden ook hackers binnenwandelen. Cryptominers, bijvoorbeeld, probeerden zich op deze manier te nestelen in krachtige computersystemen, zodat ze ongezien cryptovaluta's konden gaan delven.
Wat ging er goed, deze keer, dat eerder niet goed ging? De waarschuwingen werden snel en massaal gegeven, ook via sociale media en traditionele media. De NCSC informeerde rechtstreeks de eigen 'achterban' van banken, energie- en telecombedrijven. De rest van Nederland kreeg het te horen via een nieuw alarmsysteem, dat toevallig nét een dag voor het nieuws in gebruik was genomen: het Nederlands Security Meldpunt.
Maar het ging verder dan alleen een alarm. De NCSC en vele honderden bedrijven en gemeenten bespraken ook welke software wel en niet kwetsbaar is, en hoe een organisatie kan ontdekken of die software ergens in het eigen labyrint van servers en programma's zit. Dit hele informatiesysteem is geruisloos opgezet door particuliere bedrijven en de overheid. Zo kan het ook.