Er wordt steeds meer gesproken over de rol van overheden bij de aanpak van cyberterrorisme. Belangrijk is dat de overheid haar toezichthoudende en faciliterende rol op cybersecurity-gebied uitbreidt. De Meldplicht datalekken is een goed begin om iets dwingender op te gaan treden, maar men moet ervoor waken dat het voor veel administratieve rompslomp gaat zorgen en bedrijven niet echt veiliger zal maken. Laten we ons daarom meer richten op het verhogen van de security zelf.
Over deze blogger
Matthijs Ros (34) is hoofd cybersecurity binnen Capgemini Nederland. Hij is gespecialiseerd in de domeinen cybersecurity, intelligence en risk management. Matthijs adviseert organisaties op strategisch niveau over cybersecurity en leidt de digitale transformatie van bedrijven en organisaties in veilige banen. Matthijs is getrouwd en heeft twee kinderen. Hij woont in Amsterdam.
Iedereen is zich in meer of mindere mate bewust van de huidige security-bedreigingen, zeker wanneer IS dreigt met haar Cyber-kalifaat. Dat houdt de gemoederen wel bezig. Als je de huidige aanvallen bekijkt, worden er tot dusver gelukkig vooral standaard hacktools gebruikt die ze op de zwarte markt kopen. Daar kunnen we ons relatief eenvoudig tegen beschermen. De kans is zeker aanwezig dat ze op een gegeven moment zelf dingen gaan ontwikkelen, bijvoorbeeld door hackers te rekruteren. Het goede nieuws is dat met name het Amerikaanse leger hier bovenop zit. Er zijn inmiddels al diverse voorbeelden van westerse hackers die overstapten naar IS en kort daarna met een drone werden uitgeschakeld. Dit neemt niet weg dat het belangrijker dan ooit is om de security in ons land op een hoger niveau te brengen. Bedrijven moeten hun intellectueel eigendom veiligstellen, persoonsgegevens en privacy moeten beter beschermd worden en ook onze kritische infrastructuur loopt risico. Ik ben alleen bang dat we er niet gaan komen met slechts meer regelgeving en politieke inmenging.
Administratieve last
Onlangs stelde Hillary Clinton nog dat de Amerikaanse overheid meer samenwerking zou moeten zoeken met Silicon Valley in de strijd tegen IS. Dat klinkt mooi, maar wat dit in de praktijk zou moeten inhouden, is onduidelijk. De afgelopen jaren is meer dan duidelijk geworden dat dit soort samenwerkingen in veel gevallen enkel geleid hebben tot backdoors in internetinfrastructuur, software en netwerkapparatuur. Dit maakt surveillance makkelijker, maar onze wereld wordt er niet per se veiliger door. In Nederland heeft de overheid altijd een voortrekkersrol gehad bij cybersecurity, maar die was vooral faciliterend en informerend. Momenteel worstelt de overheid met zijn rol als toezichthouder. De Meldplicht datalekken is eigenlijk pas de eerste echte compliancy-regel die met security te maken heeft. Dat is een stap in de goede richting, maar ik vrees dat deze regeling in de praktijk voor veel administratieve last gaat zorgen. Inherent aan compliancy is dat bedrijven vaak alleen het hoogst noodzakelijke doen om aan de regels te voldoen en een vinkje te kunnen zetten. Bij de Meldplicht datalekken kan het zijn dat bedrijven zich ook vooral op het basisniveau zullen gaan richten, maar zich niet zullen inzetten om hun systemen echt veiliger te maken.
MKB en veiligheid
De grootste security-risico’s voor de toekomst bevinden zich nog in het MKB. Als men kijkt naar de Meldplicht datalekken, dan valt op hoe weinig dit met name bij MKB-bedrijven op de agenda staat. Grote organisaties hebben er meestal wel actie op genomen, omdat zij mensen en budget vrij kunnen maken voor dit soort zaken. Maar voor het groot MKB en alles eronder geldt dit niet. Je kunt je dus afvragen welk effect de wetgeving gaat hebben als zo’n groot deel van de Nederlandse bedrijven er eigenlijk niets mee doet. Ik verwacht zelfs dat veel van deze MKB-bedrijven uit angst voor sancties in 2016 elk klein informatielek zullen gaan melden, omdat ze dan minder aansprakelijk zijn. Dit zou dus een hausse aan meldingen kunnen opleveren voor de Autoriteit persoonsgegevens. Die moeten vervolgens veel tijd steken in onderzoek naar de aard van de schade en of er sprake is van nalatigheid, met aan het eind misschien een waarschuwing of boete. Heel veel moeite dus voor een beleid dat er op is gericht om betere security af te dwingen. We moeten elkaar niet gek maken met de Meldplicht datalekken. Het lijkt er nu op dat we vooral bezig zijn met het optuigen van allerlei administratieve processen en elkaar bang maken. Het onderliggende doel van de wet is dat we veiliger omgaan met de gegevens van derden, waar we niet primair eigenaar van zijn. Bedrijven zouden zich moeten bezighouden met het daadwerkelijk verbeteren van hun informatiebeveiliging, niet met administratieve processen die slechts een basisniveau vereisen.
