Uit internationaal onderzoek van Intel Security en het Amerikaanse Center for Strategic and International Studies (CSIS) blijkt dat een tekort aan cybersecurityprofessionals organisaties en landen kwetsbaar maakt. Helaas is Nederland niet in dit onderzoek meegenomen. Wij vroegen ons af of dit in Nederland ook speelt en legden onze eigen securityexperts de onderwerpen uit het onderzoek voor. Uit deze rondvraag blijkt dat ook onze eigen securityexperts zich zorgen maken over het tekort aan cybersecurityspecialisten en de gevolgen voor organisaties, industrieën en het land.
Jeroen Renard, corporate security officer bij de Odin Groep, ziet in Nederland een tekort aan goed geschoold it-personeel met de juiste werkervaring. ‘Daarbinnen beschikken mensen niet altijd over (de juiste) kennis op het gebied van cybersecurity. Veel it-geschoold personeel wil nu iets in de securityhoek doen. Feitelijk moet het securityvraagstuk worden geïntegreerd in de normale operaties en dus binnen de reeds bestaande functies. Daarnaast is bij bedrijven vaak onvoldoende helder welke kennis op het gebied van cybersecurity nodig is en over welke vaardigheden professionals feitelijk beschikken.’
Meer inzicht in securityincidenten
André Koot, lead iam en securityconsultant bij Nixu, meent dat er momenteel in Nederland een tekort aan vrijwel alle disciplines is. ‘Pentesters, soc-/siem-analisten, secure developers, auditors, et cetera. Maar momenteel merk ik vooral een tekort aan soc-analisten. Dat is deels ontstaan doordat onder meer de overheid in het kader van regelgeving meer inzicht moet hebben in securityincidenten. Dat resulteert in diverse trajecten rondom het inrichten van een eigen security operations center (soc). In mijn optiek is dat, zeker als er geen sprake is van interne businessregels, er eigenlijk geen noodzaak is voor een eigen soc, zeker als er geen 24/7 diensten gedraaid kunnen worden bij gebrek aan voldoende ervaren analisten.’
Volgens Rob van der Veer, principal consultant bij de Software Improvement Group (SIG), moeten we de belangrijkste reden dat we in Nederland een tekort hebben aan securityvaardigheden zoeken in onze cultuur. ‘In ons land verdien je als technisch specialist of ontwikkelaar minder geld en aanzien dan een manager. Het gevolg is dat de handige techneuten uit de techniek promoveren en de technische opleidingen onvoldoende interesse krijgen. Vraag maar eens in een collegezaal informatica wie programmeur wil worden. Je zult maar een paar handen zien en misschien wel geen. De zogenaamde ‘security in een doos’ kan uitkomst bieden om dit tekort tegen te gaan, maar is ook een gevaar. Immers, productleveranciers willen ons maar al te graag laten geloven dat hun doos of hun tool alles oplost. De organisaties die dat aannemen zijn onbewust onvoldoende beschermd.’
Commerciële mensen springen in
Ad Koolen, overheidscryptospecialist bij Compumatica, ziet in Nederland een groot tekort aan cybersecurityvaardigheden, ‘het internet gaat harder dan de maatschappij… De cybersecurityvaardigheden waarin dan het minst wordt voorzien in Nederland zijn kennis van certificaten (pki) en kennis van hsm (host security modules). Vooral deze laatste modules zijn momenteel zeer hot en worden gezien als de basis voor veilig handelen in de digitale wereld, waarbij je moet denken aan eID, authenticatie, ben je wie je zegt dat je bent, zowel voor personen als voor machine-to-machine authenticatie. Het is zelfs soms zo dat commerciële mensen af en toe moeten inspringen op technische functies.’
Toch ziet niet iedereen een groot tekort aan cybersecurityvaardigheden in Nederland. Lex Borger, consultant information security bij i-to-i, vindt het moeilijk om te bepalen in hoeverre er een tekort is aan cybersecurityvaardigheden in Nederland. ‘Er is geen tekort merkbaar, maar dat is meer omdat het vakgebied niet expliciet bepaald is en men zich niet bewust is van het tekort. Hierdoor is cybersecurity niet een vastomlijnd gebied dat gemakkelijk in kaart te brengen is. Potentiële opdrachtgevers zullen zich wel bewust zijn. Ik denk dat grenzen tussen securityvaardigheden en andere it-activiteiten zullen vervagen. Daardoor zullen tekorten die er zijn universeel zijn. Behalve voor de vaardigheden op expertniveau; daar zullen tekorten ontstaan. Alle it-vaardigheden hebben hier last van. Technologie vervangt routineactiviteiten, maar experts blijven nodig. Hackers blijven inventief en creatief. Als er één gebied is waarvoor geldt dat stilstand achteruitgang is, dan is het cybersecurity.’
Vooruitkijken en aanvoelen
Jan van der Sluis, client security principal bij Hewlett Packard Enterprise ziet nog wel een tekort, maar markt dat het laatste jaar er grote stappen zijn gemaakt in de overheid en het bedrijfsleven. Het is de maturity van de vaardigheden waar nu aandacht aan gegeven moet worden. Veel klanten voorzien op dit moment in monitoring functies; security incident and event monitoring, kortweg siem. Echter, het ‘vooruitkijken’ en het ‘aanvoelen’ van kritieke bedreigingen (via threat intelligence) is een vaardigheid in ontwikkeling. Daarnaast ook het betere forensische speurwerk in bestaande systemen naar zogenaamde apt’s (advanced persistent threats) die wellicht over maanden, zo niet jaren, bedreigend kunnen zijn voor de hele bedrijfsvoering, burger of patiëntveiligheid. In verband met privacy voorzie ik ook een grote vlucht in het fenomeen versleuteling/encryptie van vitale gegevens van individuen. Dit wordt ingegeven door de GDPR of de Nederlandse variant hierop, de Meldplicht Datalekken. Men weet overigens van de wetgeving, maar weet nog niet voldoende hoe een privacylek te kunnen aangeven of te detecteren. Het ontbreekt nog aan eenduidige procedures.’
Het is vooral deze Meldplicht Datalekken die volgens de Computable-experts nog niet naar behoren functioneert in Nederland waardoor er op privacyvlak de nodige stappen gemaakt moeten worden. ‘Ik denk dat Nederlanders over de algemene zaken redelijk op de hoogte zijn, maar de details niet kennen’, meent Fred Streefland, it-securitymanager bij LeaseWeb. ‘Alleen de professionals zijn bekend met de privacydetails.’ Van der Veer denkt zelfs dat het lage niveau van cybersecurity een directe bedreiging is voor onze privacy en van de openbare orde. ‘Immers, datalekken zijn aan de orde van de dag en het wachten is op uitval van kritieke infrastructuur.’
Unieke combinatie in Nederland
Borger vindt dat iedereen de beginselen van dataprivacy moet kennen. ‘Hieronder versta ik het weten wat privacy inhoudt, wat je daar zelf aan kunt doen en wat je mag verwachten van partijen die met jouw privacygevoelige data omgaan.’ Wel vindt hij dat Nederland wereldwijd voorop loopt op het gebied van wet- en regelgeving rondom cybersecurity. ‘Dit zowel op het gebied van hacking als privacybewustzijn. Er is wetgeving (WBP), een privacywaakhond, (Autoriteit Persoonsgegevens) en een cybersecuritycentrum (NCSC). Die combinatie is uniek, er zijn landen die koplopen met hacking (Roemenië, Rusland, …), maar die hebben niet het bewustzijn bij de overheid.’
Koolen meent dat de wet op datalekken nog bij de meeste Nederlanders onbekend is. ‘Hierdoor reageren ze ook niet als ze bijvoorbeeld hun gegevens moeten achterlaten op websites (zelfs van gemeenten) via een onbeveiligde verbinding (ssl). De overheid moet hier veel harder ingaan.’ Toch vindt hij wel dat wet- en regelgeving rondom cybersecurity effectief in Nederland wordt ingezet? ‘Vooral de Autoriteit Persoonsgegevens probeert hier heel serieus mee om te gaan. Aan de andere kant ook weer niet omdat het nog steeds op zeer grote schaal voorkomt dat privacygevoelige informatie zoals persoonsgegevens, paspoortnummers, BSN’s, medische gegevens, et cetera. via normale e-mail met bijlagen over het internet wordt verstuurd. En ja, vooral de overheid maakt zich hier schuldig aan. Uiteraard zijn er uitzonderingen, onderdelen van de overheid die wél gebruik maken van e-mail encryptie en dit afdwingen bij hun geadresseerden.’
Nederland doet het zo slecht niet
Toch vindt Van der Veer dat de Autoriteit Persoonsgegevens nog te weinig haar tanden laat zien waardoor de kat nog uit de boom wordt gekeken. ‘Wie gaat het eerste echte voorbeeld zijn?’ Koolen kijkt liever internationaal en dan doet Nederland het volgens hem nog zo slecht niet. ‘Internationaal gezien hebben we een goede naam, bijvoorbeeld door ‘The Hague Security Delta’, HSD, onze technische universiteiten en de vermaarde DCWC (Dutch CyberWarfare Community), een zeer groot netwerk van cyberspecialisten die regelmatig bij elkaar komen. Naar buiten toe, internationaal, trekken we best wel een grote broek aan.’
Van der Sluis vindt de wet- en regelgeving voor wat betreft cybersecurity in Nederland redelijk vooruitstrevend. ‘Nederland als cyberland neemt zijn rol serieus en het NCSC speelt een belangrijke drijvende rol.’ Hij is niet helemaal overtuigd of diezelfde wet- en regelgeving ook effectief wordt ingezet. ‘Wellicht is dit het geval, maar sterker nog wordt misschien tijd om de ‘ethical hacker’ iets beter te beschermen omdat hij/zij nu de wet kan overtreden maar toch het goede doel dient.’
Nog steeds veel gaande
Volgens de verschillende experts doen we het internationaal best goed door de investering die Nederland doet in cybersecurity. ‘Ik vind dat de Nederlandse overheid tot nog toe voldoende investeert in cybersecurityvaardigheden’, meent Borger. ‘Ik hoop dat ze dit blijven doen, want er is nog steeds veel gaande in deze wereld. Om bij te blijven moet je de vaart erin blijven houden. Doorzetten van een initiatief als Dcypher is bijvoorbeeld cruciaal. Dit bevordert de hoeveelheid wetenschappelijk en praktijkgericht onderzoek op dit gebied.’
Koolen en Van der Sluis zijn het met Borger eens. Koolen prijst de investering van Defensie en Justitie in cybersecurity. Van der Sluis ziet dit gebeuren in de breed bij de Rijksoverheid en de organisaties die gelieerd zijn aan de Rijksoverheid. ‘Voor de lagere overheden (bijvoorbeeld gemeenten) denk ik dat de budgetten hiervoor verhoogd zouden moeten worden, mede door de groeiende overheveling van taken naar de gemeenten.’
Goed ingenieurschap
Fred Streefland vindt dat er niet voldoende door de overheid geïnvesteerd wordt en dat er veel meer kan/moet worden gedaan aan security awareness en opleidingen voor ‘gewone burgers’. Rob van der Veer is iets terughoudender en trekt de investeringsbereidheid breder. ‘Al die aandacht voor innovatie is mooi, maar leidt de aandacht af van goed ingenieurschap. Mooie nieuwe dingen bieden nieuwe kansen, maar ook nieuwe bedreigingen als ze gemaakt zijn van papier-maché en plakband.’
En hoe staat het dan met de ict-vaardigheden van de inwoners van Nederland en dan specifieker, hun kennis van cybersecurity? ‘De inwoners van Nederland hebben zeer goede ict-skills’, meent Gert Jan Timmerman, hoofd kenniscentrum bij Info Support. Dus dat is het probleem niet. Toch denk ik dat de meeste niet-it’ers in Nederland te weinig weten van cybersecurity. Dat ligt niet aan die mensen, maar aan het feit dat het te ingewikkeld is. Je kunt van een leek niet verwachten dat hij weet waar de risico’s zitten en waar niet. Neem alleen al het aantal sites waar de gemiddelde Nederlander accounts heeft. Als je het veilig aanpakt, moet je voor elk account een ander sterk wachtwoord gebruiken en dat ook nog regelmatig wijzigen. Die wachtwoorden mag je ook nergens opschrijven. Dat is niet te doen, voor niemand.’
Facebook en password-manager
De enige optie is dan volgens Timmerman om ofwel overal in te loggen met je Facebook-account, waardoor andere sites toegang krijgen tot allerlei persoonlijke informatie van je, ofwel om een password-manager te gebruiken. ‘In beide gevallen leg je daarmee al je eieren in één mandje: als je Facebook-account of je password-manager-credentials wordt gestolen, ben je ineens alles kwijt. Bovendien, hoe moet een willekeurige Nederlander beseffen welke informatie van Facebook gedeeld wordt als je je Facebook-credentials gebruikt om op een andere site in te loggen? En hoe moet je onderscheid maken tussen allerlei password-managers en weten wie te vertrouwen is? Misschien heeft een hacker wel een heel goede password-manager geschreven. Kortom, we hebben security op internet zo moeilijk gemaakt dat het bijna niet mogelijk is om hier op een vertrouwde manier mee om te gaan. Het is een kwestie van afwegen van nadelen en risico’s. Dat kun je van de gemiddelde Nederlander niet verwachten.’
Borger ziet Nederland het nog wel goed doen in vergelijking met de rest van de wereld sowieso in West-Europa. Ook Streefland is gematigd positief. ‘Ik denk ook dat de inwoners op een redelijk niveau zitten, omdat ze zelf ook hun eigen privé devices moeten beveiligen.’ Toch ziet hij een laag niveau van cybersecurity als een bedreiging ‘omdat het simpelweg onmogelijk is om iedereen op voldoende security maturity te krijgen. ‘Er is altijd wel een ‘zwakke schakel’ en de kwaadwillenden hebben maar één kwetsbaarheid nodig…’
Liever laag tarief
Toch denken niet alle Computable-experts eensgezind over de cybersecurityvaardigheden van Nederlanders. Van der Sluis meent dat er wantrouwen is over bedrijven en overheden. ‘Wellicht zou het helpen als er in de jaarverslagen zou worden opgenomen wat bedrijven allemaal doen om klant-/inwonerdata te beschermen, teneinde een deel van deze onzekerheid weg te nemen door een zekere openheid te betrachten.’ Koolen is pessimistischer: ‘De (gemiddelde) Nederlander vindt alleen belangrijk dat hij/zij een Samsung 6/iPhone 6 krijgt tegen een zo laag mogelijk tarief…’