De cyberveiligheid in het Europees Parlement is niet op orde. Dat is wat Bart Groothuis (VVD) heeft vastgesteld na 19 maanden in het Parlement rond gelopen te hebben. En Groothuis weet waar hij het over heeft. Hij was zeven jaar hoofd cybersecurity bij defensie.

Er zijn meerdere situaties die Groothuis lieten inzien dat de cyberveiligheid niet naar behoren functioneert. De druppel die de emmer liet overlopen was eerder deze week toen Groothuis met zijn devices verbinding wilde maken met het netwerk in het Europees Parlement.

Alarmbellen

 ‘Certificaat niet vertrouwd’ stond er op zijn mobiel. “Dus ik kijk naar het certificaat en zie dat het is uitgegeven door het parlement zelf. ‘EP private’ stond er. Dat certificaat versleutelt alle data die verstuurd wordt. De basis van alle veiligheid.”

Alle alarmbellen gaan rinkelen bij Groothuis. Hij gaat naar de IT-afdeling om uit te laten zoeken wat er aan de hand is. “I’m sorry, but this could be an attacker” is het eerste wat hij zegt tegen de man van de IT-afdeling.

Groothuis begint hard te lachen als hij vertelt hoe het verhaal af liep. “Weet je wat de man van de IT-afdeling doet? Hij pakt m’n telefoon en klikt op trust certificate. “Hij doet het weer” werd er gezegd en hij kreeg z’n telefoon terug.

“Het is hetzelfde als klikken op een potentiële phishing mail en dan zeggen ‘niks aan de hand, je telefoon werkt nog gewoon’,” zegt Groothuis. “Ik ben geduldig en heb geregeld incidenten aangekaart, maar er verandert onvoldoende”.

De cyberveiligheid in Europese instellingen functioneert volgens Groothuis nog niet volgens basis standaarden. “Ik kom uit de veiligheidshoek, dus ik heb wellicht hoge standaarden,” zegt Groothuis. “Maar ik ben niet van plan om die te veel naar beneden te stellen in een organisatie die doelwit is van bepaalde veiligheidsdiensten.”

Doelwit

Bij de IT-desk werden de zorgen van Groothuis niet gehoord. Met zijn kritische artikel in het Parliament Magazine hoopt hij meer te bereiken. Daarin roept hij de voorzitter op om te investeren in de veiligheid en beveiliging van het Parlement. “Wij zijn een doelwit voor bepaalde landen van buiten de EU. Ik kan mijn werk nu niet veilig doen,” zegt Groothuis. “Een security operations centre zou 24/7 de wacht moeten houden”.

Daarnaast hoopt Groothuis dat cybersecurity ook deel gaat uitmaken in de strijd om het voorzitterschap.

Als rapporteur van de NIS2, een cybersecuritywetgeving voor heel Europa, maakt Groothuis in de wet ook een punt. “In die wetgeving heb ik gezegd dat de NIS2 niet alleen van toepassing is op de 27 lidstaten, maar idealiter ook op Europese instellingen zelf. Het is of deze wetgeving vanuit het Europese Parlement, of de Europese Commissie moet met een eigen wet komen.”

Het kan zo niet langer

Ook is Groothuis voorstander van een eigen veiligheidsdienst in het Parlement die zorgt voor training, bewustwording en maatregelen. “Er zijn diverse voorbeelden van Russische medewerkers en stagiairs die banden hebben met inlichtingendiensten, zoals het nu gaat kan het niet langer. Er moet echt iets gebeuren.”

“Ik luid de alarmbel en gelukkig zijn invloedrijke collega’s het met mij eens. Dat geluid mag nog luider en breder.”