Hoewel de samenleving en vrijwel alle beroepen direct of indirect afhankelijk zijn van it-systemen, is die nadrukkelijke aanwezigheid van it en bijbehorende digitale veiligheid niet terug te vinden in het Nederlandse onderwijs. Sterker nog, het blinkt uit in afwezigheid. Dat signaleerden de deelnemers aan de ronde tafel Cyber Security Onderwijs. Cyber security moet volgens hen verweven worden in alle opleidingen, op alle niveaus. En een ministerie van Digitalisering moet er voor zorgen dat dit thema door de hele samenleving verweven raakt.
De Ronde Tafel Cyber Security is een initiatief van de Cyber Security Raad. Dit adviesorgaan van de regering signaleert een nijpend gebrek aan bewustzijn rondom digitale veiligheid in de samenleving en de noodzaak die er is om via onderwijs dit tij te keren. Ook baart het de Raad zorgen dat er te weinig professionals worden opgeleid op het gebied van cyber security en dat het Nederlandse onderwijs op dit vlak dreigt stil te vallen.
Daarom heeft de Cyber Security Raad onderwijsorganisaties, ondernemers, brancheverenigingen en -platformen, wetenschappelijke instellingen, politici en beleidsambtenaren bij elkaar gebracht om gezamenlijk het probleem te definiëren en een oplossingsrichting te formuleren. De Cyber Security Raad zal zijn advies aan het kabinet over dit thema mede baseren op de resultaten van deze Ronde Tafel Cyber Security.
Verandering van denken
De manier van denken over digitale veiligheid in Nederland moet veranderen, stellen de deelnemers aan de discussie. Het ligt nu vaak op het bordje van specialisten. Meestal gaat het dan om informatiebeveiliging. Maar dat is niet langer voldoende. Vrijwel alle producten en diensten in de samenleving zijn afhankelijk van it.
We hebben als samenleving een vijfde domein gecreeerd – cyberspace, naast lucht, land, water en ruimte – waar we grip op moeten zien te krijgen. Alle systemen zijn in cyberspace met elkaar verbonden, met alle risico’s van dien. Daarom is het belangrijk niet te focussen op it, maar er boven te hangen en vast te stellen waar it de business en de samenleving raakt. Want uiteindelijk gaat het om de continuering daarvan.
Social tech risk
De start van het nieuwe denken zou daarom social tech risk management moeten zijn. In dit denken gaat het om de risico’s die veroorzaakt worden doordat technologie mensen, maatschappij en business raakt. Als die in beeld zijn, kan een discussie plaatsvinden over wat we als samenleving acceptabele risico’s vinden en wat niet.
Daar kunnen overheden, bedrijven en burgers dan hun maatregelen op nemen. Dit gaat veel verder dan de klassieke informatiebeveiliging door specialisten. In dit nieuwe denken heeft iedereen een rol. Het richt zich op het grotere geheel van een genetwerkte samenleving.
Digitaal veilig
In die genetwerkte samenleving is het een collectieve verantwoordelijkheid om digitaal veilig te zijn. Net zoals we afspraken hebben gemaakt over het deelnemen aan het verkeer, zouden we ook afspraken kunnen maken over deelname aan cyberspace. Waarom wel een rijbewijs, maar geen cyberrijbewijs? Waarom wel verkeersregels om ieders veiligheid te waarborgen, en geen cyberregels? Net als in het verkeer hebben deelnemers aan cyberspace invloed op elkaars veiligheid. Mensen moeten zich daar meer bewust van zijn en daarin worden opgevoed en opgeleid.
Ook bedrijven zouden een actievere rol moeten vervullen in het cyber secure aanbieden van producten en diensten. Vaak staan nu de processen centraal. Procesengineers ontwerpen een fabriek en voegen processsen kosteneffectief samen. Maar is dat ook veilig?
De deelnemers vinden dat bedrijven hun procesontwerp, maar ook hun producten en diensten, verplicht moeten laten toetsen op digitale veiligheid. Vanaf het begin moet veiligheid mee-ontworpen worden. De overheid zou hierin een sturende rol kunnen vervullen, via regelgeving en aanbestedingsregels. Ook zien de deelnemers een rol weggelegd voor verzekeraars. Als zij eisen stellen voor deelname aan een cyberverzekering, gaan bedrijven nadenken over de risico’s van hun producten en diensten. De overheid zou zo’n verzekering vervolgens verplicht kunnen stellen voor al zijn leveranciers.
Nederland nog niet veilig
De deelnemers aan de Ronde Tafel Cyber Security stellen dat Nederland nog niet digitaal veilig is. Dat is ons als samenleving overkomen. Iedereen ziet de voordelen in van de digitale wereld en maakt er dankbaar gebruik van. De risico’s zijn lange tijd niet onderkend. Het is nu tijd om daar aandacht aan te geven en de samenleving in te richten op cyber secure handelen.
Het onderwijs speelt daarin een belangrijke rol. Van basisschool tot universiteit moet basiskennis over cyber security worden aangeleerd. Dat kan als module ingericht worden, maar zeker bij beroepsopleidingen moet het een geintegreerd onderdeel gaan vormen van het curriculum. Net als statistieken moet cyber security een vast onderdeel zijn van iedere opleiding. Want iedereen heeft in zijn beroep direct of indirect te maken met it-systemen of producten en diensten die gebruik maken van it. Die koppeling tussen de beroepspraktijk, it en cybersecurity wordt door de deelnemers node gemist.
Probleem daarbij is dat het onderwijssysteem in Nederland lastig te veranderen is. Het ministerie van Onderwijs, Cultuur en Wetenschappen laat het aan scholen en de beroepspraktijk over wat de inhoud van het onderwijsaanbod moet zijn. Daarom adviseren de deelnemers om als overheid te gaan sturen op kern- en leerdoelen op het gebied van cyber security, waar alle scholen op alle niveaus aan moeten voldoen.
It weer sexy
Cyber security maakt het mogelijk it weer sexy te maken. Als het gaat om hacken en het tegengaan van cyberaanvallen, reageren studenten enthousiast: een dergelijke opleidingsrichting is cool. Dat wordt nog eens versterkt als bedrijven en onderwijsinstellingen samen een curriculum ontwikkelen en bedrijven gastlessen verzorgen. De praktijk trekt studenten over de streep.
De onderwijsrichting cyber security moet dan wel aansluiten op de nog gezamenlijk te ontwikkelen compententieprofielen voor cyber security specialisten. Door in publiek-private samenwerking onderwijs te ontwikkelen, sluit de inhoud aan op de beroepspraktijk en is het mogelijk toekomstgericht onderwijs te geven. Door het huidige gebrek aan kennis over dit thema in het onderwijs, lopen onderwijsinstellingen het risico dat zij gaan opleiden voor problemen van gisteren of vandaag, terwijl er behoefte is aan opleidingen die de problemen van morgen aanpakken. Dat kan volgens de deelnemers gerealiseerd worden door als onderwijsinstellingen en bedrijfsleven nauw op te trekken en samen inhoud te geven aan opleidingen.
Daarnaast zou de overheid een overkoepelende visie voor cyber security onderwijs moeten formuleren. Dit biedt de mogelijkheid om als overheid ondersteunende maatregelen te nemen ten behoeve van partijen die actie ondernemen om die nationale visie te verwezenlijken. De herinrichting van de Nederlandse samenleving en het Nederlandse onderwijs biedt grote kansen voor de BV Nederland. Een ministerie van Digitalisering zou hierin een stimulererde functie kunnen vervullen en ervoor kunnen zorgdragen dat dit thema in de hele samenleving verweven raakt.
Martin Bobeldijk, communicatieadviseur Cyber Security Raad
Goed stuk, met terechte constatering dat veiligheid niet meer “iets erbij” is. Wanneer je cyberspace ziet als 5e domein naast lucht, land, water en ruimte klinkt het best logisch als de overheid daar een meer sturende rol in zou krijgen. Daarbij doemen bij mij wel meteen een paar beren op de weg op. “Overheid”” + “cyber” roept, met dank aan de NSA, regelmatig negatieve associaties op; in cyberspace is het lastig hekjes om je eigen domein plaatsen en is goede samenwerking en vertrouwen tussen veel partijen noodzakelijk; je zult als overheid weer zeggenschap moeten heroveren op de vrije markt clubs die nu, al dan niet officieel, flink kunnen sturen. Volop uitdagingen dus, maar je hebt gelijk: het lijkt best veel op de niet-digitale wereld….
En hoever zitten we nog verwijderd van een digitale politiestaat? Want ondertussen worden de claims van de overheden op het internet steeds stringenter.
Kansloos. Als we het internet veiliger willen maken, dan moeten we alle oude troep eens gaan vervangen. Te beginnen met e-mail. Dat protocol is nooit ontworpen voor het huidige gebruik. Vervang SMTP voor een veiliger protocol en alle spam, phishing en malware via e-mail is dan zo goed als verdwenen.
De computer is een complex apparaat en internet criminelen weten er 100x meer van dan je er een gemiddelde thuisgebruiker over kan uitleggen. Security awareness training is net zoiets als de pensioenadviseur die bij een bedrijf langskomt en dan verwachten dat mensen elke dag met hun pensioen bezig zijn. Niet dus.
Het internet krijg je niet veilig met training als de technische basis brak en onveilig is.
Op zich een aardig stuk al heb ik bij een aantal opmerkingen mijn bedenkingen.
-Zo is het bijvoorbeeld zeker zo zaak dat IT-vaklieden vanuit hun opleiding doordrongen moeten zijn aangaande beveiliging van systemen die zij bouwen of uitleveren.
Dit houdt automatisch in dat IT-opleidingen meer aandacht moeten besteden aan de basis en daarmee terug op een significant hoger niveau terecht moeten komen.
Het lijkt me echter zwaar overdreven dit soort specialisaties te verwachten van mensen die aan een basisschool les geven (of onderwijs volgen kom op zeg waar ben je mee bezig !!!)
-Ook zie ik werkelijk niet in waarom een vakgebied sexy moet zijn !
Ik denk dat ICT een serieus vak is dat ook eens door alle partijen serieus genomen moet worden in plaats van er allerlij populistische onzin over te roepen.
Daar heeft een sexy uitstraling dus werkelijk niets mee te maken.
?Kansloos
Niets doen is geen optie. Ja bewustwording is stap 1 maar er zijn legio mogelijkheden om beveiliging naar een hoger bewustwordingsniveau te trekken dan een cursus.
De overheid zou een eigen kern authenticatie hub moeten opzetten voor ambtenaren. Dit centraliseren in plaats van ieder voor zich en hopen dat het beter wordt.
Citaat uit het artikel
“Verandering van denken
De manier van denken over digitale veiligheid in Nederland moet veranderen, stellen de deelnemers aan de discussie. Het ligt nu vaak op het bordje van specialisten. Meestal gaat het dan om informatiebeveiliging. Maar dat is niet langer voldoende. Vrijwel alle producten en diensten in de samenleving zijn afhankelijk van it”
Laten wij, als UITGANGSPUNTEN van ons denken, ons eerst afvragen:
1) Wie is de EIGENAAR van bepaalde processen en/of gegevens?
Antwoord:
In ieder geval NIET de security specialist.
Ook NIET een betrokken project of IT manager.
Conform de VIR 2007 is dat WEL een LIJN manager
2) Of er nog meer is dan Cyber (van buiten naar binnen)security?
Antwoord: Ja:
1)Ook van binnen naar buiten (oneigenlijk gebruik, misbruik, fraude.
2)Voor wat de totale inhoud van een Informatiesysteem is, zie
opnieuw de VIR ( samenhangend geheel van gegevensverzamelingen, en de
daarbij behorende personen, procedures, processen en programmatuur
alsmede de voor het informatiesysteem getroffen voorzieningen voor
opslag, verwerking en communicatie.)
3)Naast veiligheid OOK beschikbaarheid en integriteit.
De uitgangspunten (fundament) helder te krijgen bij al de betrokken partijen en helder te houden is op zich al een hele uitdaging en zal door velen een “Verandering van denken” zijn.
Eerst het fundament (de basis) op orde en op orde houden (PDCA). Daarna de diverse bouwstenen toevoegen.
Norman : 1) Wie is de eigenaar van een proces en of gegevens?
Daar zit hem nu net de eerste crux
Is dat de opdrachtgever, of is dat de uitvoerende organisatie e.g. is de PTT eigenaar van haar website en is deze ook schuld als de site klantgegevens lekt ?
Of is de site eigendom van Sjaakies webdesign en is Sjaakie de klos als de site lek is? Of is het de schuld van WordPress? Of de schuld van MicroSoft ?
Als het maar NIET mijn schuld is, want ik kan er toch niets aan doen !!!
Het hele security probleem dus in een notedop.
Absoluut kansloos.
De Cyber Security Raad is een tandeloos weekdier vergeleken met sommige hackers die ik ken. Het aloude probleem van de overheid in een notedop is: een schrijnend gebrek aan competentie, talent en middelen.
De rode draad in dit soort initiatieven zijn altijd weer de alpha’s in de (semi)overheid met het (subsidie)geld en de budgetten die proberen wat argeloze beta’s voor hun karretjes te spannen.
Zolang je als techneut bij de overheid maximaal schaal 12 kan verdienen is elk voorstel op dit gebied gedoemd te mislukken. Want waarom zou je als getalenteerde, (jonge) ethische hacker gaan werken voor de rijksoverheid als je in het bedrijfsleven enkele veelvouden kan verdienen als zelfstandige ? En welke gepokt en gemazelde security expert die op de hoogte is van de meest recente security bedreigingen en de bijbehorende werkende mitigatiemethoden is bereid om hierin lessen te gaan geven ?
Ik weet dat geld wellicht ook niet alles is, maar anderzijds hebben we het hier niet over een organisatie met de dynamiek en innovatie van Google of Apple.
De bestrijding van computermisdaad vraagt om een uiterst actieve betrokkenheid bij het vakgebied, een compromisloze houding ten opzichte van patchmanagement, verregaande mitigatiemaatregelen en continue inspanningen om de infrastructuur veilig te houden. Dit zijn helaas allemaal zaken waarmee de overheid geen enkele ervaring heeft.
De overheid is slechts geïnteresseerd in haar eigen voortbestaan en dat hangt er vervolgens weer af of er een (door de belastingbetaler gesponsorde) rol gespeeld kan worden in de bestrijding van nieuwe, actuele problemen als cybercrime.
Affaires zoals rond DigiNotar, DigID, OV-Chipkaart alsook de talloze gefaalde ICt projecten laten zien dat de overheid geen enkele aanspraak kan maken op een rol als autoriteit op dit gebied, laat staan in een positie is om regelgeving te maken voor bedrijven die hun zaakjes meestal beter op orde hebben dan die overheid zelf.
Een ministerie van Digitalisering (wat een 70-jaren term trouwens) is dan ook een idee waarop men slechts hoofdschuddend en met gepaste meewarigheid kan reageren.