Cybersecurity moet – en kan – beter

Als Nederland koploper wil worden in de digitale Europese economie, moeten we dringend op zoek naar betere manieren om onze weerbaarheid te verhogen. Voor een solide Nederlandse cybersecurityreputatie moeten we terug naar de basis.

We leven in een wereld waarin relatief kleine groepen mensen met een beperkt budget grote schade kunnen aanrichten op plaatsen en aan bedrijven die voorheen voor criminelen volstrekt oninteressant of onbereikbaar leken. Van Smart Cities tot kerncentrales en van ziekenhuizen tot de bakker op de hoek: niemand lijkt nog veilig voor cybercrime. Door de groeiende complexiteit van IT en het gebrek aan goed geschoolde cybersecurityspecialisten lijkt een oplossing ver weg. Als we daar iets aan willen veranderen, is het hoog tijd dat we op een andere manier gaan nadenken over cyber­security.

Impact van nieuwe technologie

De afgelopen decennia hebben we snelle en ingrijpende technologische veranderingen gezien. Het aantal verbonden apparaten (het Internet of Things) groeit met grote sprongen. We zien kleine sensoren opduiken in allerlei apparaten, van stoplichten tot ijskasten en van schoenen tot sproei-installaties.
We zien ook hoe bestaande industriële machines, van SCADA-systemen tot robotarmen, bruggen en vliegtuigen, worden aange­sloten op het wereldwijde netwerk. En al die nieuwe apparaten en verbindingen moeten worden beschermd tegen misbruik.

Daar zal niemand het mee oneens zijn. Toch zien we voortdurend hoe de implicaties van deze ontwikkelingen worden onderschat. Een voorbeeld is cloud computing. Bij de opkomst van de cloud maakte iedereen zich druk om de beveiliging van de cloudtechnologie: de datacenters en de netwerken waar ‘de cloud’ op draait. Inmiddels heeft de cloudindustrie ons er grotendeels van overtuigd dat hun apparatuur veilig genoeg is – maar daarmee zijn we er nog niet. De combinatie van vele verschillende diensten en leveranciers die de ‘multicloud’ zo flexibel en krachtig maakt, zorgt er ook voor dat het steeds moeilijker wordt alle datastromen van een organisatie nog te controleren.
De cloud zelf mag dan veilig zijn, veilig gebruik van de cloud is nog lang geen vanzelfsprekendheid.

Grote moeite

Organisaties blijken grote moeite te hebben om de complexe implicaties van het gebruik van nieuwe technologie te overzien. Daarbij helpt het niet dat de kennisontwikkeling die daarvoor nodig is, het tempo van de technologie niet kan bijhouden. Ons scholingssysteem is daar simpelweg niet op ingericht. Goede mensen zijn schaars en dus duur, en daarmee in feite buiten bereik van alle partijen die cybersecurity niet tot hun corebusiness hebben gemaakt.

De gevolgen van dat gebrek aan kennis zien we overal terug. Organisaties ontdekken vaak te laat dat ze cruciale aspecten van hun cybersecuritystrategie over het hoofd hebben gezien. Dat geldt niet alleen voor de implicaties van cloud computing en andere technologie, maar bijvoorbeeld ook voor aanbestedingen. Gebrek aan kennis leidt tot onrealistische eisen en verwachtingen, zoals het idee dat welke partij dan ook absolute garanties kan afgeven over cybersecurity. Het gevolg is soms dat realistische plannen het afleggen tegen loze beloften en goedkope praatjes. Als er onvoldoende kennis en inzicht aan tafel zit, is het erg moeilijk om goed beleid te voeren.

Realistische oplossingen

De combinatie van steeds geavan­ceerdere dreigingen, de stijgende (potentiële) impact op onze samenleving en economie, het uitdijend aanvalsvlak door opkomende technologieën en de groeiende schaarste aan talent, betekent dat een aantal zaken moet veranderen. Om te beginnen moeten we het idee loslaten dat cybersecurity iets is dat je alleen kunt doen. De enige manier om een vuist te maken tegen cybercrime die heel gericht en met beperkte middelen overal kan toeslaan, is door gezamenlijk op te trekken. Wissel kennis uit, maak gebruik van de specialisaties van anderen, deel ervaringen. In plaats van zelf elk wiel opnieuw te willen uitvinden, moeten we zorgen voor groeiend vertrouwen in de kennis van externe experts. Laat meer cloudproviders bijvoorbeeld samen­werken met cybersecurityspecialisten; door die kennis al in een vroeg stadium op te nemen in een cloudstrategie, voorkom je dat klanten achteraf hun roadmap moeten aanpassen op kwetsbaarheden die ze niet hadden voorzien.

Niveau moet omhoog

Het tweede dat moet gebeuren, is dat we zo snel mogelijk het basisniveau van cybersecurity in Nederland omhoog brengen. Het heeft weinig zin te praten over grootse strategieën en high-tech cyberthreats als bedrijven massaal de meest fundamentele beveiligings­maatregelen niet op orde hebben, zoals ook de Nationaal Coördinator Terrorismebestrijding en Veiligheid dit jaar opnieuw constateerde in het Cybersecuritybeeld Nederland 2018.

De Europese Commissie plaatste Nederland dit jaar op de vierde plek van ‘meest digitale landen van Europa’
(The Digital Economy and Society Index 2018). Dat is een uitstekend uitgangs­punt om met onze kenniseconomie een centrale positie in te nemen in de nieuwe digitale economie van Europa. Maar als we werkelijk de digitale koploper van Europa willen worden, zoals het kabinet heeft geroepen in de Nederlandse Digitaliseringsstrategie, dan zullen we onze samenleving moeten helpen.

Terug naar de basis

Nederland doet veel dingen goed op het gebied van digitalisering en cyber­security. Toch bleven onze overheid, onze gezondheidszorg en onze industrie in de afgelopen jaren met bedroevende regelmaat het nieuws halen, wegens datalekken en andere beveiligings­problemen die voorkomen hadden kunnen worden. Klaarblijkelijk hebben schandalen, voorlichting en uitgebreide standaarden als ISO/IEC 27001/27002, ETSI, COBIT of NIST onvoldoende effect gehad. Het lijkt erop dat het voor veel organisaties simpelweg te veel en te complex is om aan te beginnen.

Daarom pleit ik ervoor een stap terug te doen en te beginnen bij de basis. Vanuit onze ervaring met defensie zijn wij gewend te werken met ABDO, de Algemene Beveiligingseisen Defensie Opdrachten: een set bijzonder praktisch opgestelde vereisten, waar alle organisaties die met Defensie willen samenwerken aan moeten voldoen. Sinds 2017 bevat de ABDO ook een zeer helder en pragmatisch cybersecurity­component. Als ik een ding mag meegeven aan alle bedrijven die hun cybersecurity serieus nemen, dan is het dat ze die richtlijnen downloaden van Defensie.nl en stap voor stap controleren of ze deze basismaatregelen hebben genomen.

Natuurlijk bestaat een cybersecurity roadmap op hoog niveau uit veel meer maatregelen die een organisatie kan en soms ook moet nemen. Maar als iedereen nu alvast de richtlijnen uit de ABDO kan gaan volgen, weet ik zeker dat we de reputatie van Nederland op cybersecuritygebied al heel snel en eenvoudig naar een veel hoger niveau kunnen brengen.

René van Buuren is directeur Cybersecurity bij Thales Nederland

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.