Berichten

Het laatste nieuws van de Onderzoeksraad voor Veiligheid.

Fundamenteel ingrijpen is nodig voor Nederlandse digitale veiligheid

De Nederlandse aanpak van digitale veiligheid moet snel en fundamenteel veranderen om te voorkomen dat de maatschappij ontwricht raakt door cyberaanvallen. Dat concludeert de Onderzoeksraad voor Veiligheid in het vandaag gepubliceerde rapport ‘Kwetsbaar door software’. De Onderzoekraad onderzocht beveiligingslekken die ontstonden bij duizenden organisaties door kwetsbaarheden in software van Citrix. Jeroen Dijsselbloem, voorzitter van de Onderzoeksraad voor Veiligheid: “Uit dit voorval blijkt dat Nederlandse overheidsorganisaties en bedrijven zeer kwetsbaar zijn voor cyberaanvallen en dat er geen nationale structuur is waarbinnen alle potentiële slachtoffers van cyberaanvallen tijdig worden gewaarschuwd.”

Aanvallen via Citrix
Op 17 december 2019 maakte Citrix een kwetsbaarheid in zijn software bekend en nam het bedrijf tijdelijke maatregelen om de risico’s te beperken. Nog voordat de vele duizenden Citrix-gebruikende organisaties doordrongen waren van de acute risico’s en de tijdelijke maatregelen hadden geïnstalleerd, waren aanvallers binnengedrongen in systemen. Het Nationaal Cyber Security Centrum (NCSC) waarschuwde direct het deel van de Nederlandse gebruikers waarvoor zij zich verantwoordelijk achtte: overheidsdiensten en vitale organisaties. Andere organisaties werden door het NCSC niet gewaarschuwd. Aanvallers konden nog steeds op grote schaal digitale systemen binnendringen. Tot op de dag van vandaag hebben zij daarmee illegale toegang tot systemen en data in bedrijven en organisaties die zij op elk moment kunnen activeren met disruptieve effecten op bedrijfsprocessen, dienstverlening, privacy en veiligheid.

Verantwoordelijkheid fabrikanten
Veilige software is allereerst de verantwoordelijkheid van de fabrikant. De Onderzoeksraad stelt dat fabrikanten meer zouden moeten investeren om de veiligheid van software voortdurend te verbeteren. Fabrikanten overstelpen softwaregebruikers nu met patches en updates om gebreken in hun software te verhelpen zonder met structurele oplossingen te komen. Er zijn geen instrumenten die afnemers van software onafhankelijk inzicht bieden in de veiligheid van de software. Ook schiet de eigen kennis en positie van afnemers vaak tekort om zelf eisen te stellen aan fabrikanten en veiligere software af te dwingen, of zien zij daar het belang niet van in.

Beperkte overheidsaanpak
Veel organisaties die software gebruiken en potentieel slachtoffer zijn van cyberaanvallen worden nu niet gewaarschuwd. Het NCSC ziet voor zichzelf wettelijk geen mandaat om organisaties buiten de overheidsdiensten en vitale organisaties te waarschuwen. Het is volgens de Onderzoeksraad van groot belang dat er vanuit de overheid een centrale aanpak komt om dreigingen te signaleren en alle potentiële slachtoffers van cyberaanvallen zo snel en direct mogelijk te waarschuwen, met voldoende mandaat en wettelijke waarborgen.

Aanbevelingen van de Onderzoeksraad
De samenleving wordt namelijk steeds afhankelijker van digitale systemen. Fabrikanten, overheden en organisaties zullen samen tot een effectieve aanpak moeten komen om Nederland weerbaarder te maken tegen cybercriminaliteit. Dit vraagt van fabrikanten dat zij de veiligheid van hun software voortdurend en fundamenteel verbeteren. De Onderzoeksraad doet de aanbeveling om op Europees niveau kwaliteitseisen aan software te stellen om softwarefabrikanten te dwingen verantwoordelijkheid te nemen voor de veiligheid van hun product. De Onderzoeksraad adviseert overheden en het bedrijfsleven hun krachten te bundelen. Door samen te werken kunnen ze hun positie richting softwarefabrikanten versterken en hun schaarse expertise beter benutten.

Binnen de overheid kan de bewaking van de digitale veiligheid worden geregeld zoals de bewaking van het voeren van zorgvuldig begrotingsbeleid is vastgelegd in de Comptabiliteitswet. Dat vergt dat er één bewindspersoon en een centrale dienst komt die hierop toeziet, zo nodig kan ingrijpen en verantwoording aflegt. Ook beveelt de Raad aan dat grotere bedrijven en organisaties wettelijk worden verplicht om verantwoording af te leggen over de wijze waarop zij hun digitale veiligheid beheersen.

Het rapport en de aanbevelingen staan op de onderzoekspagina 'Kwetsbaar door software - Lessen naar aanleiding van beveiligingslekken door software van Citrix'.

18 november 2021

Uitsluitsel luchtwaardigheid landingsgestel PH-MBN, vliegtuigongeval Faro (1992)

Op verzoek van de minister van Infrastructuur en Waterstaat deed de Onderzoeksraad voor Veiligheid vervolgonderzoek naar het vliegtuigongeval in Faro in 1992. Het onderzoek richtte zich specifiek op het onderhoud van het landingsgestel van het vliegtuig PH-MBN. Tijdens het onderzoek zijn geen afwijkingen of overschrijdingen van de onderhoudstermijnen en inspecties vastgesteld. Het toestel voldeed aan alle onderhoudseisen en was bij vertrek uit Amsterdam voor de vlucht naar Faro luchtwaardig.

Verzoek minister

In het Portugese ongevalsonderzoek werd destijds reeds geconcludeerd dat het vliegtuig bij vertrek uit Amsterdam luchtwaardig was. Bij het ongeval was, volgens het Portugese onderzoek, bij de landing de impact op het landingsgestel zodanig groot dat het door overschrijding van de gebruikslimieten is bezweken. Naar aanleiding van een televisie-uitzending van het programma EenVandaag op 16 januari 2016 ontstond twijfel over het onderhoud aan het landingsgestel. Het toestel zou, door onterecht verleend uitstel van het verplicht wisselen van een landingsgestel, niet luchtwaardig zijn geweest. De toenmalige staatssecretaris van Infrastructuur en Milieu verzocht de Onderzoeksraad te onderzoeken of deze beweringen klopten. Op dat moment liep reeds een second-opinion onderzoek in opdracht van de Rechtbank in Den Haag. De Onderzoeksraad vond het op dat moment niet opportuun zelf een aanvullend onderzoek te starten. Dit second-opinion onderzoek bevestigde het Portugese onderzoek en concludeerde ook dat het toestel luchtwaardig was. Na de rechterlijke uitspraak in 2020 verzocht de minister van Infrastructuur en Waterstaat de Onderzoeksraad alsnog ook te onderzoeken of er sprake was van nieuwe feiten in de uitzending van EenVandaag in 2016.

Onderzoek afgerond

De Onderzoeksraad heeft daarop een onderzoek uitgevoerd specifiek naar het onderhoud van het landingsgestel van het verongelukte toestel. De onderzoekers bezochten hiervoor archieven in Nederland en Portugal en spraken met direct betrokkenen. Tijdens het onderzoek zijn geen afwijkingen of overschrijdingen van de onderhoudstermijnen en inspecties vastgesteld. Van enige noodzaak voor uitstel van het wisselen van het landingsgestel was dan ook geen sprake. Als eindconclusie is nogmaals bevestigd dat het toestel voldeed aan alle onderhoudseisen en bij vertrek uit Amsterdam luchtwaardig was.

Door de Covid-beperkingen bij de te bezoeken archieven in Nederland en het archief in Portugal is het onderzoek ruim een half jaar vertraagd. De minister van Infrastructuur en Waterstaat is per brief op de hoogte gesteld van de bevindingen.

Meer aandacht voor brandveiligheid woongebouwen nodig

In de nieuwjaarsnacht van 2020 leidde brand in een bankstel in de entreehal van een flat in Arnhem tot twee dodelijke slachtoffers en twee gewonden. Deze brand ontwikkelde zich zeer snel tot een grote brand waarbij veel giftige rook vrijkwam. Voor de bewoners was het onmogelijk het flatgebouw te ontvluchten doordat de brand woedde op de enige beschikbare vluchtroute. Dit concludeert de Onderzoeksraad voor Veiligheid in het vandaag gepubliceerde rapport ‘Fatale flatbrand in Arnhem- Lessen voor brandveiligheid’.

Jeroen Dijsselbloem, voorzitter van de Onderzoeksraad voor Veiligheid: ”Het onderzoek toont aan dat de brandveiligheid van meubilair en woongebouwen verder verbeterd dient te worden. Er worden in Nederland nog geen eisen gesteld aan de brandveiligheid van meubilair. Daarnaast gaat men bij woongebouwen uit van een veilige vluchtroute. De brand in Arnhem laat zien dat dit niet vanzelfsprekend is.”

Fatale brand

In de nieuwjaarsnacht van 2020 stapte een gezin met twee jonge kinderen in de lift van de flat aan het Gelderseplein in Arnhem. Zij waren zich op dat moment niet bewust van de brand die woedde in de entreehal op de begane grond. Toen het gezin daar aankwam werden zij direct geconfronteerd met een enorme hitte en veel giftige rook. Omdat ze onderweg naar beneden op de knop van de derde verdieping hadden gedrukt, sloot de lift zich weer en bracht hen daar naar toe. De brandweer trof hen daar later aan; voor twee van hen kwam hulp te laat. De brand in de entreehal werd veroorzaakt door licht vuurwerk dat was afgestoken op een bankstel dat daar tijdelijk was geplaatst door een bewoner.

Brandgevaarlijk meubilair

De meeste zitmeubels en matrassen zijn met kunststofschuim gevuld. Zo ook het bankstel dat in de entreehal van de flat in Arnhem was neergezet. Het kunststofschuim vat gemakkelijk vlam; de brand ontwikkelt zich vervolgens snel en veroorzaakt veel en giftige rook. Zitmeubilair en matrassen zijn daardoor zeer brandgevaarlijk. In een aantal Europese landen worden eisen gesteld aan de brandveiligheid van meubilair. De Onderzoeksraad voor Veiligheid roept de Nederlandse overheid op zich aan te sluiten bij deze landen en eisen te stellen aan de brandveiligheid van meubilair.

Brandveiligheid woongebouwen

In Nederland staan veel woongebouwen waarbij er slechts één vluchtroute is die naar buiten leidt. Wanneer op deze vluchtroute brand of rook ontstaat, vormt dit een groot risico voor de veiligheid van de bewoners. Het vrij en brandveilig houden van deze enige vluchtroute is daarmee van levensbelang. Gebouweigenaren zijn hiervoor verantwoordelijk, zij moeten meer doen om deze verantwoordelijkheid waar te maken. Ook gemeenten dienen hierop actief toezicht te houden. De Raad doet daarom de aanbeveling aan de minister van Binnenlandse Zaken om te zorgen voor een verbetering van het toezicht op brandveiligheid.

Bekijk hier de volledige onderzoekspagina 'Fatale flatbrand in Arnhem - Lessen voor brandveiligheid'.

Onderzoeksraad waarschuwt voor te snelle toelating nieuwe voertuigen

De Onderzoeksraad stelt vast dat het aangekondigde toelatingskader voor nieuwe licht elektrische voertuigen er nog steeds niet is. Wel is de BSO-bus reeds toegelaten tot de weg en liggen er aanvragen voor nieuwe bijzondere voertuigen. De voertuigen worden nog niet volgens het toekomstige toetsingskader beoordeeld en dat brengt veiligheidsrisico’s met zich mee.

De Raad publiceerde in 2019 het onderzoeksrapport Veilig toelaten op de weg - Lessen naar aanleiding van het ongeval met de Stint. Zoals wettelijk is vastgelegd reageerde de minister Infrastructuur en Waterstaat (IenW) aan de Onderzoeksraad in juli 2020 per brief met de terugkoppeling over de opvolging van de aanbevelingen uit het onderzoeksrapport. In de notitie die vandaag uitkomt reageert de Raad op deze terugkoppeling en de toelating van nieuwe voertuigen.

De minister belooft om, bij de toelating van licht elektrische voertuigen, veiligheid zwaarder mee te laten wegen. Zo schrijft zij in de reactiebrief. Voor deze voertuigen komt een nieuw toelatingskader met een strengere veiligheidskeuring voordat ze de weg op mogen. Het onafhankelijke oordeel van de Rijksdienst voor het Wegverkeer (RDW) wordt daarin leidend.

BSO-bus

Het nieuwe toelatingskader is er nog niet. Wel is, op aandringen van de Tweede Kamer, kinderopvangorganisaties en verenigingen van ouders, de BSO-bus toegelaten tot de weg. Voor de toelating van de BSO-bus heeft de minister een convenant gesloten met de kinderopvangbranche met afspraken over het gebruik van de BSO-bus. In dit convenant wordt echter afgeweken van het advies van de RDW en van de eigen beleidsregel van het ministerie. De RDW oordeelt dat de nieuwe BSO-bus technisch voldoet aan de eisen, maar dat er een veiligheidsrisico ontstaat wanneer het maximale gewicht wordt overschreden. De beleidsregel bepaalt dat meer dan acht kinderen niet is toegestaan in een dergelijk voertuig. De BSO-bus is echter van tien zitplaatsen voorzien en de minister staat in het convenant het vervoer van tien kinderen toe. Dit verhoogt de kans van overschrijding van het maximale gewicht. Daarnaast zijn de convenantafspraken veel minder verplichtend dan wettelijke voorschriften. Ook zijn niet alle kinderopvangorganisaties aangesloten bij de branchevereniging.

Besluitvorming onder druk

Deze gang van zaken lijkt op de oude werkwijze zoals de Raad in zijn rapport over de toelating van de Stint en andere licht gemotoriseerde voertuigen beschreef. Waarbij het advies en oordeel van een onafhankelijke instantie, zoals de RDW, niet wordt gevolgd na een politieke afweging. Ook staat de toelating van de BSO-bus haaks op de koers van het beloofde toekomstige toelatingskader, waarin veiligheid zwaarder gaat wegen. De Onderzoeksraad roept dan ook de minister, de Tweede Kamer en maatschappelijke organisaties op om consequent en consistent te zijn: laat alleen voertuigen toe tot de weg waarvan de veiligheid onafhankelijk getoetst en positief beoordeeld is.

Bekijk hier de volledige onderzoekspagina Veilig toelaten op de weg - Lessen naar aanleiding van het ongeval met de Stint.