De Nederlandse overheid komt met een tweede versie van zijn Nationale Cyber Security Strategie. Hierin wordt vooral ingezet op een privaat-publieke participatie. Ongeveer honderdvijftig partijen waren betrokken bij de totstandkoming van de nieuwe strategie. Ook de Cyber Security Raad, bestaande uit vertegenwoordigers van publieke en private partijen evenals de wetenschap, heeft geadviseerd over de koers van de nieuwe strategie.
Nederland zet samen met partners in op een veilig digitaal domein waarin kansen van digitalisering worden benut, dreigingen het hoofd worden geboden en fundamentele rechten worden beschermd. Daarbij zal er worden gezocht naar een goede wisselwerking tussen veiligheid, vrijheid en maatschappelijke groei met de ambitie om Nederland bij de wereldtop te houden op het terrein van cyber security. Dat schrijft minister Opstelten van Veiligheid en Justitie vandaag namens het kabinet aan de Tweede Kamer.
Privaat-publieke participatie
Er ligt hier een belangrijke taak voor private partners. Waar de eerste strategie bijvoorbeeld nog uitging van publiek-private samenwerking, wordt in de nieuwe strategie de beweging ingezet naar privaat-publieke participatie. Het cyberdomein omvat immers veel partijen en actoren die in toenemende mate met elkaar verbonden en van elkaar afhankelijk zijn. Om veilig te handelen in het cyberdomein betekent dit dat burgers, bedrijven, organisaties en overheden actief participeren op grond van een heldere rolverdeling. Het uitgangspunt is dat verantwoordelijkheden die in het fysieke domein gelden, ook in het digitale domein genomen moeten worden.
Om deze beweging naar een nieuw volwassenheidsniveau van cyber security mogelijk te maken moet de overheid sturend op kunnen treden. Daarbij kunnen regels, normen of standaarden worden vastgesteld, bijvoorbeeld voor de vitale infrastructuur. Van consumenten wordt een zekere basisbekwaamheid verwacht als zij ict gebruiken, maar ook ligt er een verantwoordelijkheid voor ict-leveranciers en -producenten. Security en privacy by design zijn daarbij standaard ontwerpbeginselen.
Maatregelen
De overheid zet daarom onder meer in op de versterking van de eigen capaciteiten op het terrein van cyber security. Het Nationaal Cyber Security Centrum was al een computer emergency respons-team en wordt doorontwikkeld tot een security operations center ten behoeve van alle samenwerkende partijen. Die versterking moet onder meer leiden tot betere risicoanalyses en hogere veiligheidseisen en tot het beter delen van cruciale informatie. Daarbij wordt niet langer over vitale sectoren gesproken, maar wordt gekeken naar welke ict-afhankelijke systemen, diensten en processen vitaal zijn. Dat maakt het overzichtelijker en meer gefocust op wat daadwerkelijk van belang is.
Via de Taskforce Cyber Security Onderwijs en de Nederlandse Organisatie voor Wetenschappelijk Onderzoek wordt daarnaast geïnvesteerd in onderwijs en onderzoek op het terrein van cyber security. Verder zal de overheid ook meer sturend gaan optreden.
Cyber Security Raad
De Cyber Security Raad verwelkomt de tweede Nationale Cyber Security Strategie. Wel pleit de raad voor onderzoek naar een tweede internet. Dit nieuwe internet wordt alleen gebruikt voor het veilig afwikkelen van vitale diensten, zoals internetbankieren, nutsvoorzieningen en bedrijfkritische processen.
De raad heeft in dit kader het kabinet geadviseerd maatregelen te nemen om de belangrijkste ontwikkelingen in het digitale domein het hoofd te bieden. Via een gescheiden, veilige infrastructuur kunnen vitale diensten dan onafhankelijk van het open internet functioneren.
Nederland ICT
Branchevereniging Nederland ICT is tevreden dat veel aandachtspunten van de ict-branche opgenomen zijn in de strategie. Zo is er aandacht voor de risico’s in vitale sectoren en bij de overheid. Deze worden inzichtelijk gemaakt en aangepakt. Ook wordt de aanpak van cybercrime sterk gericht op internationaal samenwerken. Nederland ICT betwijfelt of er voldoende middelen zijn om ambities waar te maken en roept vanwege de grote belangen op tot een discussie hierover.
Nederland ICT is blij met de internationale insteek van de nieuwe strategie. Volgens de branchevereniging ligt de oplossing voor de ontwikkeling van cyber security-standaarden en het delen van best practices in internationale samenwerking. Ook de aanpak van cybercriminaliteit is alleen effectief als er internationale spelregels zijn over het achterhalen van de daders, het veilig stellen van bewijsmateriaal en het vervolgen van cybercriminelen. Tegelijk ziet Nederland ICT ook een roep om meer zekerheid, bijvoorbeeld over de veiligheid van hardware en software en van clouddiensten.
Ik heb eerdere verrichtingen van het NCSS met argusogen gevolgd en voorzag een stap als deze ruim twee jaar geleden al.
Gebrek aan kennis van materie
Het was twee jaar geleden al bijzonder helder dat er binnen de overheid vrij weinig tot geen inhoudelijke kennis aanwezig is m.b.t. cybercrime, security en al weinig tot geen visie om tot een heldere beeld bepaling te kunnen komen.
Uiteraard ben ik in eerdere uitspraken al van weerwoord voorzien maar nog steeds is dat gevoel bij mij gebleven.
Commercie
Dus moet de overheid een beroep gaan doen op…. commerciële partijen. Daar begint dus het gezanik weer want je vraagt een commerciële slager het vlees te keuren wat of zij net hebben verkocht of gaan adviseren welk vlees men nu het beste morgen zou kunnen gaan eten.
Nederland ICT
Deze brancheorganisatie staat voor en met commerciële partijen die uiteraard de beste intenties hebben maar uiteraard nog steeds niet geheel onafhankelijk zijn. Immers, er is een commercieel belang die de toon zet wat dat betreft. Dus met een commercieel oog is er hier de koppeling met de overheid die word gemaakt waar belangenverstrengeling om de hoek ligt.
‘…beweging naar een nieuw volwassenheidsniveau..’
Deze stelling is verbazingwekkend. De commerciele ICT loopt al zeker en cyclus van twintig jaar en hier laat men zien dat men in die twintig jaar geen enkele concrete stap heeft gezet om te komen tot een regie rol. Men heeft niet eens een heldere blauwdruk op weten te leveren die als basis zou kunnen diene voor het NSCC.
Ook deze constatering zal uiteraard met hand en tand worden bestreden maar elke IT professional zal zich nu dus af moieten vragen hoe je denkt sturend te kunnen optreden als je niet eens de kennis, ervaring en expertise in huis hebt dit te kunnen optuigen.
Het is met recht de slager laten bepalen wat ik morgenavond zal gaan eten en mij daarvoor dan ook een gepeperde rekening presenteren.
we zullen in de nabije toekomst dan ook zeker zien dat gesjeesde oudpolitici plaats zullen gaan nemen in de raden en besturen van deze commerciële participanten van Nederland ICT.
Functioneel en operationeel, gezien de complexe materie die cybercrime behelst, een volkomen onzinnige en heilloze excercitie, die neer zal komen op professionele commerciële partijen.
Let the games begin….