Cybercriminaliteit vormt een ernstige bedreiging voor onze welvaart. Hoewel alle seinen op rood staan, krijgt het onderwerp nauwelijks aandacht in de verkiezingscampagnes. Alsof de politiek de strijd tegen cybercrime niet serieus neemt.
Securityprofessionals waarschuwen al jaren voor de opkomst van cybercriminaliteit. Waar de traditionele criminaliteit terugloopt, zit cybercrime fors in de lift. Zo meldde het OM in januari dat het aantal digitale misdrijven in 2020 met 127 procent is gestegen ten opzichte van het jaar ervoor. Ruim een verdubbeling dus. Twee derde van de Nederlanders kwam het afgelopen jaar in aanraking met een cyberdreiging, aldus het OM.
Ook uit andere cijfers blijkt dat het de verkeerde kant opgaat. De Autoriteit Persoonsgegevens (AP) ontving in 2020 maar liefst 1.173 meldingen van datalekken waarbij hacking, malware of phishing werd ingezet om persoonsgegevens te stelen. Het aantal meldingen steeg op jaarbasis met een derde. De AP spreekt van een ‘explosieve toename’ en noemt dat ‘zeer verontrustend’.
Inmiddels zitten we op het punt dat cyberaanvallen bijna normaal zijn. De eerste maanden van 2021 bieden weinig perspectief op verbetering. Zo werden een onderzoeksfinancier en diverse onderwijsinstellingen getroffen door ransomware. Een andere onderwijsinstelling kreeg te maken met een ernstig datalek, waarna persoonsgegevens van tienduizenden medewerkers en studenten op een hackersforum te koop stonden.
Urgentie vanuit politiek ontbreekt
We mogen concluderen dat de overheid er vooralsnog niet in slaagt om cybercriminaliteit terug te dringen. Het is een complex probleem waarvoor geen makkelijke oplossing is. Wel ontbreekt al jaren een bepaalde urgentie vanuit de politiek. Cybercrime heeft een impact op ons bedrijfsleven, de burgers en de overheid zelf. De politiek zou zich meer moeten inspannen om dit onderwerp op de agenda te zetten.
Voor dit artikel heb ik me verdiept in de verkiezingsprogramma’s van de grote partijen. In sommige programma’s is wel wat meer aandacht voor cybersecurity, maar dan vaak in de context van defensie en het tegengaan van spionage door statelijke actoren. De gevestigde partijen presenteren geen langetermijnvisie om de informatiebeveiliging binnen Nederlandse organisaties structureel naar een hoger niveau te tillen.
Ik ben niet naïef en begrijp hoe de politiek werkt. In verkiezingstijd hebben politici het liefst over thema’s die leven bij de kiezers, zoals de aanpak van de coronacrisis en het woningtekort. Tot op zekere hoogte is dat begrijpelijk: dit zijn urgente problemen die we samen moeten oplossen. Maar de strijd tegen cybercriminaliteit mag hierdoor niet ondersneeuwen, en daarvan is nu sprake.
Overheid, geef het goede voorbeeld
De nieuwe regering moet de digitale weerbaarheid van Nederland tot speerpunt maken. De overheid kan bedrijven, ongeacht branche of grootte, veel meer faciliteren in het verbeteren van hun it-beveiliging. Bijvoorbeeld via subsidies voor essentiële securitymaatregelen. Het is bovendien belangrijk dat overheidsinstanties het goede voorbeeld geven. Het GGD-lek laat zien dat er nog veel werk aan de winkel is. Het is zorgwekkend dat dergelijke datalekken voorkomen bij de overheid.
De politieke partijen pleiten bijvoorbeeld voor een centrale cyberdivisie, een Nationale Cybersecurity Coördinator of een Cyberhub. Het is de vraag of we hiermee een brede gedragsverandering realiseren binnen de overheid. Overheidsinstanties moeten een verbeterslag maken op het gebied van informatiebeveiliging en privacy. Daarnaast hebben we meer politici nodig die de materie begrijpen, zodat ze de regering kritisch kunnen controleren.
Securitytrainingen voor politici
Zo’n verbeterslag begint bij het verhogen van het algehele kennisniveau. Eigenlijk zouden we alle politici, bestuurders en ambtenaren moeten trainen in hun it-kennis en het herkennen van digitale gevaren zoals phishing en malware. In de eerste plaats leidt dit tot een structurele verbetering van de cybersecurity binnen allerlei overheidsinstanties. Daarnaast maakt de overheid beter beleid als iedereen basiskennis van security heeft.
In het bedrijfsleven zijn dergelijke trainingen normaal, al heeft ons land een achterstand op andere ontwikkelde economieën. Bijna een op de vijf Nederlandse bedrijven biedt geen securitytrainingen aan, terwijl dit in andere landen slechts een procent is. Ook daarom is het wenselijk dat de overheid het voortouw neemt. Laat zien dat Nederland cybersecurity serieus neemt. Niet alleen met woorden, maar ook met daden.