De Nederlandse overheid ziet het belang van cyberbeveiliging niet genoeg in. Om haar wakker te schudden, willen diverse partijen uit de it-securitysector, met medewerking van Cyberveilig Nederland, een brandbrief naar de politiek sturen. Dit met het doel om vanuit één stem een oproep te doen aan de overheid om in actie te komen.
Het idee voor de brandbrief komt voort uit de Nationale Security Dialoog, die plaatsvond in het Computable Café tijdens de gecombineerde ict-beurzen Infosecurity.nl en Data & Cloud Expo. Deelnemers aan het gesprek waren onder meer Petra Oldengarm, directeur van Cyberveilig Nederland, Inge Bryan, directeur cyber bij Deloitte, Bryan Beekhof, technical lead in security bij Telindus, Dave Maasland, algemeen directeur Eset Nederland, Fokko Mellema, initiatiefnemer van Cyberwerf.nl, Pieter Jansen, ceo van Cybersprint, Hartger Ruijs, ceo van Computest en Fred Streefland, chief security officer bij Palo Alto Networks.
Dave Maasland (Eset) reageert: ‘De sector ziet in dat cyberveiligheid belangrijk is, maar de politiek niet. Hierdoor staat onze nationale veiligheid staat op het spel. Cybersecurity moet onderdeel worden van het centrale veiligheidsbeleid van Nederland. Het is onze taak als sector de urgentie over cyberveiligheid aan de overheid duidelijk te maken. Dit kunnen we doen door ons als één stem te laten horen.’
Brandbrief
Volgens Fred Streefland, cso Palo Alto Networks, kan die urgentie worden onderstreept worden door als sector een brandbrief naar de politiek te sturen. Hierin moet staan dat de overheid haar verantwoordelijkheid moet nemen om ook de cyberveiligheid op te nemen in haar landelijke beveiligingsstrategie.
Alle deelnemers aan de Nationale Security Dialoog willen zich hier gezamenlijk hard voor maken. Zo ook Inge Philips-Bryan (Deloitte). Volgens haar zijn er veel cybersecurity-initiatieven in Nederland, maar daar ligt juist ook het probleem. ‘Er zijn in het afgelopen jaar negentien cybersecurity-strategieën geschreven. Iedereen doet goede dingen. Maar al deze initiatieven zijn versnipperd en er wordt niet naar de grote gemene deler gekeken. Nu is het tijd om minder te kletsen en meer in actie te komen. Er is coördinatie nodig om de vele initiatieven efficiënter te maken.’
Eén persoon, één stem
Petra Oldengarm, directeur van Cyberveilig Nederland, pleit er voor om als sector een agenda te creëren met een aantal onderwerpen die aangepakt moeten worden. Het is vervolgens nog belangrijker om vervolgens de verantwoordelijkheid te nemen en de plannen ook daadwerkelijk uit te voeren. ‘We moeten de best practises in de praktijk brengen. Binnen de overheid zien we graag dat één persoon wordt aangesteld die het cybersecurity-dossier coördineert en alle losse agenda’s en initiatieven bij elkaar brengt. Als Cyberveilig Nederland vormen wij één stem namens de sector waarmee we de verschillende onderwerpen bij elkaar kunnen brengen.’
De deelnemers aan de Nationale Security Dialoog zijn inmiddels een groeps-chat gestart om door te pakken en verder te werken aan de realisatie van de beoogde brandbrief voor de Nederlandse politiek.
Richt een nationaal IT veiligheidscollectief op, met een beperkte startsubsidie. Dit collectief bestaat uit security experts, hackers zo u wilt, en heeft als taak om voortdurend te speuren naar veiligheidsgaten bij (semi)overheidsinstellingen. Wanneer ze een gat vinden wordt het orgaan op de hoogte gesteld, vergezeld van een rekening voor de ‘ontdekkingskosten’. Deze rekening is verplicht te betalen. Zo kan het collectief zichzelf financieren. Wanneer gaten niet binnen redelijke tijd worden gedicht wordt een dwangsom geheven.
De hoogte van de rekening is afhankelijk van de ernst van het gat. Een ombudscommissie is behulpzaam bij het oplossen van conflicten over de vaststelling van de ernst.
Het speuren naar veiligheidsgaten hoeft niet beperkt te blijven tot het IT-domein. Ook staf en procedures kunnen worden beproefd, met bijvoorbeeld social engineering en phishing mails. Uiteindelijk zou zelfs het testen van fysieke beveiliging kunnen worden toegevoegd aan het takenpakket van dit collectief.