Een gestructureerde aanpak moet de veiligheid op internet verbeteren. Dat zegt Jan van den Berg, hoogleraar cybersecurity aan de TU Delft. Hij pleit voor een aanpak waarin alle betrokkenen de handen ineenslaan en de risico's in kaart brengen, een Deltaplan voor internetveiligheid.
Van den Berg sprak tijdens zijn intreerede aan de TU Delft. ‘We leven van wake-up call naar wake-up call. Reacties op incidenten zijn tot nu toe altijd ad hoc geweest.’ De hoogleraar stelt dat niemand een beeld heeft van het totale internetgebruik en van de daaraan gekoppelde risico’s. ‘De drie miljard gebruikers niet, ook de hoogste autoriteiten en slimste denktanks niet. Het wordt daarom tijd dat we de risico’s van cyberspace serieus gaan nemen en structureel gaan aanpakken.’
Van den berg benadrukt in zijn rede dat internetbeveiligingsincidenten aan de orde van de dag zijn. Hij noemt bedreigingen van de privacy van burgers, zoals de onthullingen van Edward Snowden over inlichtingenbureaus als de NSA, maar ook aanvallen van staten op industriële processen (Stuxnet), creditcard-fraude, DDoS-aanvallen op banken en overheidsinstellingen, het platleggen van energiebedrijven, cyberpesten en kinderpornografie.
Volgens de hoogleraar wordt het tijd dat alle betrokkenen internetveiligheid serieus gaan nemen. ‘Er moet een gestructureerde aanpak komen, vergelijkbaar met het Deltaplan.’
Politiek
‘Het probleem van cybersecurity moeten we zien als een probleem van integraal risk management. De ultieme uitdaging is het terugbrengen van bestaande risico’s in allerlei subdomeinen van internetbeveiliging, zoals de veiligheidsrisico’s van kritieke infrastructuren terugbrengen tot acceptabele niveaus.’ Hij benadrukt dat het niet alleen een technologisch probleem is, maar ook een maatschappelijk probleem. ‘Er is kennis en bewustwording nodig op alle niveaus en er moeten politieke afspraken worden gemaakt over wat we acceptabele risico’s vinden.’
De hoogleraar pleit voor een concrete uitwerking van de cybersecurity-problematiek in subdomeinen van cyberspace; zowel op lokaal, regionaal, nationaal als internationaal niveau en op het gebied van transport, financiële diensten, energielevering, et cetera. Hij zegt: ‘Transparantie en het inbouwen van democratische controle zijn in dit proces essentieel. Onder meer om het vertrouwen in de overheid te behouden c.q. terug te winnen. Ook de eindgebruikers moeten zich realiseren dat op een laptop veiligheidssoftware hoort, zoals autogordels in een auto horen.’
Missie
Jan van den Berg is hoogleraar cybersecurity aan de TU Delft. Ook wordt hij per januari 2014 directeur van de Cybersecurity Academy in Den Haag, een nieuw initiatief van de Universiteit Leiden, de TU Delft en de Haagse Hogeschool. Daarnaast is hij trekker van het Center for Safety & Security onder de vlag van de strategische samenwerking tussen de Universiteit Leiden, de TU Delft en de Erasmus Universiteit Rotterdam.
Van den Berg is als wiskundige in het vakgebied van de cybersecurity terechtgekomen. Door de breedte van het vakgebied is hij werkzaam in twee faculteiten; de faculteit Techniek, Bestuur en Management en de faculteit Elektrotechniek, Wiskunde en Informatica.
De hoogleraar ziet het als zijn missie om samen met wetenschappers uit uiteenlopende vakgebieden en universiteiten, de onderwijswereld, overheden, bedrijven en NGO’s de veiligheidsrisico’s van cyberspace in kaart te brengen en cyberspace te maken tot een veilig leef- en werkdomein.
1. uit het artikel: Onder meer om het vertrouwen in de overheid te behouden c.q. terug te winnen……..
dat terugwinnen van vertrouwen heeft helemaal niets met cybersecurity te maken
2. Ook de eindgebruikers moeten zich realiseren dat op een laptop veiligheidssoftware hoort, zoals autogordels in een auto horen.’
autogordels zijn al 50 jaar oud, er is nadien wel vele malen meer aan beveiliging in autos gedaan, kortom als dat het beveiligingsgniveau in abstracte zin gaat worden voor een professorale leer stoel, blijft alleen het woord leren, leren en ngo eens leren over, kortom:
I am confused, but on a much higher level
Helder artikel, dank Jan van den Berg.
Het vertrouwen van de overheid.
Tja, één van de vele angels waar je een boom over op kunt zetten wellicht. Vertrouwen krijg je wanneer je weet, ziet, gedemonstreerd ziet, voelt dat er een overheid is die met kennis van zaken stappen zet. Daar mogen wat mij betreft ook ‘foutjes’ in zitten. Wanneer we het hebben over een overheid die mensen op plekken zet, die geen enkele ‘materie affiniteit’ bezitten, dan houd vertrouwen heel snel op.
Lees hier als voorbeelden van mijn eigen praktijk Ab Klink en het EPD en natuurlijk Donner en het Diginotar debacle. We hebben het dan ook nog niet eens over een overheid die zonder uw of mijn concrete toestemming, zomaar data aan vreemde entiteiten ter beschikking stelt.
Als groot voorstander en beschermer van persoonlijke vrijheden serveer ik een dergelijke overheid direkt af.
Het maken van politieke afspraken
Ook daar wil ik zeer kort in zijn. Met de politiek kun je geen concrete afspraken maken. Vele mitsen en maren, open deuren, slagen om de arm, maar concreet, neen. Wat je wel ziet zijn veel commerciele partijen die deel uit maken van de vele ‘fails en mishaps’ in IT implementatie waarvan je je af vraagt of men wel begrijpt wat basaal IT is.
Wat dan wel?
Ik denk dat het antwoord licht bij het bedrijfsleven zelf. Immers, het is de overheid die gebruik maakt van de middelen die een commercieel bedrijfsleven bied. Je mag, om even met Jan Peter Balkenende te spreken, vooral niet teveel van een overheid verwachten. Rutte continueert door met een nieuwe dooddoener te komen, Participatiemaatschappij’. Vooral opgezadeld worden met heel veel rekeningen en het vooral zelf maar uitzoeken.
Verdeel en heers
Een groter gevaar is het verdeel en heers. Het bedenken van heel veel nieuwe dingen, het stoppen van oude wijn in nieuwe zakken, en vooral commercieel kortzichtig hypen, dat het grootste gevaar aan het vormen is voor problemen zoals Jan hier schetst.
Veel van die bedenksels leiden zelden echt ergens toe, en de meesten zijn niet eens gestoeld op de meest basale waarden van IT. Ik weet het, ik roep dit wel vaker, maar ik denk dat je weer eens terug naar de basis zou moeten. Ik denk dat de grootste kracht hem blijft zitten in de eenvoud.
En daar heb je weer mensen voor nodig die voor twee zaken open staan.
1. De werking van materie IT en de wetmatigheden
2. Mensen die op eenvoudige wijze de vertaalslag maken van IT naar non IT.
Anders blijft ook dit uiteindelijk een vaag verhaal. En dat zou jammer zijn…..
@Numoquest,
wat ik nog mis in je betoog is de combinatie van het onderwerp en zoals jij het adresseert met de oprichting van een universitaire leerstoel…. 🙁
@ Maarten
Ik begrijp die van die ‘leerstoel’ niet helemaal.
Koppeling politiek en IT
Wanneer mensen de koppeling maken IT en politiek, word ik namelijk zeer argwanend. Dan vraag ik mij meteen af of de intentie en het doel wel de hoofdmoot betreft.
Sec gesteld;
Cyberterreur en sociaal/zakelijk gebruik
Het is sinds jaar en dag een probleem dat telkens weer tussen de oren van gebruikers moet worden gebracht. De hypes, verdeel en heers, de waan die telkens weer hoogtij aan het vieren is draagt hier niet toe bij. Ook mijn propageren dat een zeer eenvoudige ‘Do & Don’t boekje naast of bij elke IT peripheral, voor elke gebruiker, is blijkbaar te moeilijk voor alle spelers. (Het zou al een start zijn misschien….)
Cyberterreur zakelijk
Naast natuurlijk de genoemde voorbeelden in het artikel hebben we allerhande ‘hackertjes’ die aan het experimenteren zijn die zich klaarblijkelijk niet zo heel erg bezig houden met de juridische aspecten daarvan. Ook die brengen schade met zich mee en verdienen de nodige aandacht.
Het ‘uitfaseren van Senior door Junior/medior’
Het is prachtig telkens weer artikelen als deze te lezen. Daar staat tegenover dat de politiek te stom voor woorden is gebleken. Men heeft, zie Balkenende, Bos, Verhage, Rutte, Samsom, Asscher, Donner, Kamp, het bedrijfsleven breed gefaciliteerd om, met als dooddoener de economische stand van zaken, seniors in te wisselen tegen die niet vindbare junior/medior.
De consequenties
Als we alleen al de politieke impotentie en incompetentie nemen, tel daarbij even op de hausse van de hypes en recentelijker Ruttes ‘participatiesamenleving’, dan kunnen we ons niet aan de indruk onttrekken dat je alleen maar verder verwijderd zal raken van wat je zou willen beogen gezamenlijk.
We hebben het hier zakelijk gezien over een miljardenschade voor de NL economie die zijn weerga in de geschiedenis niet kent. We hebben het dan ook niet eens over de schade die in 2014 nog op ons af zal gaan komen.
Wil je een Deltaplan? Ik kan die in twintig minuten voor je uit tekenen. En geheel in de geest wat automatiseren voor staat, kost het niet eens geld, maar leverd het meteen besparingen op. Maar dan zullen alle betrokkenen er de noodzaak voor zichzelf en de NL economie van in willen zien, en niet weer beginnen met allerhander er niet toe doende discussies.
My 50c…. deze keer.
Ah de tegenpool van dhr Bart Jacobs in Nijmegen.
Het idee is lovenswaardig an sich. Alleen laten we onszelf nou eens niet langer voor de gek houden en verwachten dat de politiek met een deltaplan dé oplossing zou zijn.
Als er actie moet worden ondernomen is dat door ons zelf. De vele samenwerkingsverbanden die er zijn kunnen hiervoor worden gebruikt en indien nodig zelfs worden uitgebreid.
Bijv een Nederlandse cloud waar de rest van Europa ook baat bij kan hebben. Samen werken aan veilige oplossingen en vooral ook het stimuleren van opdoen van kennis in zowel onderzoek als mede onderwijs.
Er is duidelijk behoefte aan dus zou ik het beschouwen als een uitgesproken kans om deze business opportunity met beide handen aan te pakken.
Het artikel citeert:
‘We leven van wake-up call naar wake-up call. Reacties op incidenten zijn tot nu toe altijd ad hoc geweest.’
Dat is wel erg kort door de bocht, misschien moet de leerstoel veilig worden gesteld, want het leven van incident naar incident is allang niet meer zo. Wat ik wel onderstreep is dat managers soms een incident nodig hebben om weer even wakker te worden… Maar incidenten zijn er echt genoeg en er wordt ook genoeg aan gedaan om de algehele informatieveiligheid te verbeteren. Maar het kan altijd beter.
Die laptop met virusscanner vergelijken met een auto met autogordels is natuurlijk niet juist. Die auto komt van één leverancier, die laptop en de software niet. Maar misschien kan regelgeving zoals bij auto veiligheid hier wel bij helpen.
@Numoquest:
Een leerstoel is in het academisch spraakgebruik een hoogleraarspost, bekleed door een gewoon of een buitengewoon hoogleraar. De hoogleraar bekleedt een leerstoel met een bepaalde leeropdracht, het onderwerp of vak waarin hij of zij geacht wordt onderwijs te geven en onderzoek te doen.
dit uit wikipedia…
@ Maarten
;O)
De intentie en connotaties voor een leerstoel zijn mij helder. Maar net zoals Donner pretenderen volkomen in control te zijn geweest in het hele falende Diginotar debacle, Opstelten in het hele C2000 debacle of Ab Klink in EPD.
Een leerstoel in de praktijk word te vaak misbruikt om er mensen op te zetten zonder kennis van zaken of zonder intrinsieke kennis van zaken. Maar je hebt gelijk. Misschien iets voor Rutte? Samsom? Ascher?
Het is niet de technische infrastructuur die faalt, het zijn de mensen die falen.
Blijf vooral doorgaan met het aanpassen van je infrastructuur en strategie. Elke kenner weet dat je alleen door ervaring op te doen echt kennis krijgt van een systeem. Als je elke paar maanden je dingen verandert wordt het niet secure.
Security checks kunnen ook gedaan worden met behulp van een pc van 10 jaar oud. En daar hebben je werknemers wel ervaring mee.
Mijn security tip? Niet zo veel met social media bezig zijn.