Cyber defense: geen schandpaal maar leerproces

Roel van Rijsewijk

Roel van Rijsewijk, Directeur Cyber Defense, Thales

Minister Ferd Grapperhaus van Justitie en Veiligheid heeft in het Financieele Dagblad laten weten dat de overheid in zou moeten kunnen grijpen bij bedrijven die hun digitale veiligheid niet op orde hebben. Deze uitspraak deed hij naar aanleiding van een onderzoek van de Volkskrant, waaruit bleek dat veel Nederlandse bedrijven een kwetsbaarheid maandenlang niet hadden gedicht.

Wie aangeeft geen tijd of geld te hebben om zijn beveiliging helemaal op orde te hebben, is volgens de minister ‘een oliebol’. In het specifieke geval van de kwetsbaarheid uit het Volkskrant-onderzoek, waarbij veel bedrijven te laat waren met het updaten van de VPN die de kwetsbaarheid bevatte, kun je je inderdaad afvragen of deze niet eerder gedicht had kunnen worden. Maar willen we dit soort bewoordingen echt gebruiken wanneer bedrijven slachtoffer worden van cybercrime? Is vingerwijzen naar de slachtoffers de beste manier om cybercrime in de toekomst te voorkomen?

Het antwoord daarop is nee, dat is het niet. Dat weet de minister zelf ook, want Grapperhaus moest na zijn uitspraken bekennen dat zijn eigen ministerie dezelfde fout had gemaakt. In het huidige complexe IT-landschap, dat ook nog eens continu in beweging is, is het onmogelijk alle gaten altijd te dichten. Bovendien kun je vandaag alles gedicht hebben, maar morgen weer worden blootgesteld aan een nieuw lek. Wanneer bedrijven zich daar bewust van zijn, zullen ze zich beter voorbereiden op toekomstige aanvallen. Dat is beter dan je veilig voelen terwijl je dat eigenlijk niet bent.

Door bedrijven aan de schandpaal te nagelen, of, zoals Grapperhaus wil, te bestraffen of beboeten, verdwijnen details over cyberaanvallen naar de achtergrond. Bedrijven maken niet meer bekend tegen welke cyber defense problemen zij aanlopen, waardoor andere organisaties niet meer kunnen leren van hun ‘best practices’. Daar komt nog bij dat regulering door de overheid zou verzanden in een lijst van eisen waar bedrijven aan moeten voldoen. Wanneer ze deze lijst op orde hebben, wordt een schijnveiligheid gecreëerd die niets zegt over het daadwerkelijke securityniveau.

In plaats van in harde bewoordingen te roepen wat hij van deze bedrijven vindt en zich te beraden op onhaalbare straffen, zou ik de minister willen adviseren beter te kijken naar organisaties die cyber defense wél succesvol op de agenda zetten, zoals De Nederlandsche Bank. Het door DNB opgezette testraamwerk TIBER (Threat Intelligence Based Ethical Red Teaming) wordt internationaal geprezen. Binnen het TIBER-programma huren deelnemende instellingen gespecialiseerde bedrijven in, die op basis van de meest actuele dreigingsinformatie met een ‘red team’ gecontroleerde aanvallen uitvoeren op kritieke systemen. Informatie uit deze testaanvallen wordt vervolgens (op een veilige manier) met elkaar uitgewisseld, zodat iedere instelling de leerpunten direct kan verwerken in het eigen securitybeleid.

Met het TIBER-programma worden financiële instellingen gemotiveerd hun eigen security onder de loep te nemen, waarna waardevolle inzichten binnen de branche worden gedeeld. De minister zou er goed aan doen geen schuldigen aan te wijzen: cyber defense is een probleem van ons allemaal. Hij zou er verstandiger aan doen te kijken naar een breed overheidsprogramma waarbij bedrijven hun cyber defense op voorhand kunnen testen, zodat ze bij een volgend onderzoek niet door de mand vallen. En als dat dan toch gebeurt, dan hebben ze daarvan geleerd en kunnen ze die informatie beter met andere bedrijven delen dan boetes betalen of hun excuses aanbieden.