Het Cybersecuritybeeld Nederland 2021 is glashelder: ransomware bedreigt onze staatsveiligheid. Dat is na de REvil-aanval voor iedereen wel duidelijk. Tegelijkertijd is de weerbaarheid ondermaats. Een ander recent rapport, dat van de Cybersecurityraad (CSR), schetst eenzelfde beeld. Wie de rapporten over elkaar heen legt, ziet aanknopingspunten voor actie.
Vertrouwen in de keten
Organisaties zijn voor hun it in toenemende mate afhankelijk van partners. Steeds meer technologie is ‘as a service’ beschikbaar. Corona heeft die ontwikkeling bovendien flink versneld. Dat biedt allerlei kansen en mogelijkheden, maar brengt ook risico’s met zich mee.
We zagen in het eerste weekend van juli de schaduwkant van die afhankelijkheid. Een enkele hack van door serviceproviders veelgebruikte software zorgde bij tal van managed service providers (msp’s) voor een ransomwarebesmetting, waarvan uiteindelijk veel organisaties de dupe werden.
Die onderlinge afhankelijkheid vraagt om een kritische houding naar ketenpartners. We moeten elkaar blijven bevragen over de staat van de security. Voldoe je niet aan de securitystandaarden? Dan doe ik geen zaken met je. Maar ook: wat is jullie beleid als het misgaat, en welke consequenties heeft dat voor mijn data?
CSR-rapport
De conclusies in het CSR-adviesrapport ‘Integrale aanpak cyberweerbaarheid’ vertoont opmerkelijke parallellen met die van de NCTV. Zo onderkennen beide rapporten dat de digitale veiligheid en autonomie van Nederland onder druk staan. Beide rapporten herkennen dat onder andere corona de digitalisering heeft versterkt, en dat daarmee ook de cyberrisico’s zijn gegroeid. Het CSR koppelt daar nog een extra conclusie aan vast: om dat te veranderen, moet het kabinet ingrijpen.
Het CSR adviseert een overheidsinvestering in de komende kabinetsperiode van 833 miljoen euro, bovenop de huidige uitgaven en budgetten voor cyberweerbaarheid. Voor met name het mkb is financiële steun cruciaal. Security is voor een belangrijk deel risicomanagement. Niemand kan alle risico’s afdekken. Die ene aanval komt ondanks alle goede bedoelingen en investeringen ooit succesvol door de barrières, hoe gehard ook.
Financiële afweging
Security draait dus om keuzes: wat beveilig ik, en welke risico’s vind ik acceptabel? Dat risicomanagement is – zeker voor het mkb – vooral een financiële afweging: weegt deze security-investering op tegen de mogelijke gevolgschade van een hack? Te vaak is het antwoord nee. Zeker niet in een tijd waarin corona bij veel organisaties toch al een hap heeft genomen uit de budgetten. Met als gevolg dat grote risico’s blijven bestaan.
Een veiliger digitaal Nederland vraagt om inspanning van ons allemaal. Om investeringen vanuit de overheid, jazeker. Om een kritische houding naar ketenpartners. Om samenwerking tussen de publieke en private sector. Maar ook om solidariteit, om het uitwisselen van kennis. We hebben de maatschappelijke en historische plicht de rest van Europa te laten zien dat wij dit kunnen. We zijn immers een kenniseconomie, een kennisland.
Blauwdruk voor Europa
Nederland kan binnen Europa een gidsland worden. Een blauwdruk van hoe samenwerking tussen de private en publieke sector kan leiden tot een veilig cyberklimaat. En daarmee een veiligere maatschappij.
Laten we daarmee starten. Niet morgen, maar vandaag nog.
Betreffende solidariteit in het uitwisselen van kennis is samenwerking tussen de private en publieke sector in Nederland hoogst dubieus, NCSC deelt haar inzichten niet met iedereen zoals de heer Doorenspleet heel goed weet. En de opmerking dat steeds meer organisaties afhankelijk zijn van partners kent een oorzaak zoals ik 7 jaar geleden in een opinie al uiteen zette. Met het uitbesteden van m.n. de technische IT middels het model van Looijen ontstond een grote afhankelijkheid aangaande de beveiliging terwijl sommige partijen zich hierin niet als de meest ’trustworthy’ partner bewezen hebben.
Weet u, dat met die risico’s, zolang de ‘rekening’ van een security drama verwaterd en verdeelt wordt over de klanten van een bedrijf, wordt er ook niet goed ingeschat. Het kan heel goed zijn dat een bedrijf vindt dat verdere maatregelen niet nodig zijn omdat een groot deel van het risico van bijvoorbeeld identiteitsfraude niet voor rekening van dat bedrijf zijn. Het wordt een ander spel als bedrijven ook aansprakelijk gesteld kan worden hiervoor! Als dat dan tot gevolg heeft dat vele bedrijven ietsje minder die ‘digidrang’ zullen hebben, dan denk ik zaken beter in balans voor NL gaan komen. Veelal is namelijk die ‘digidrang’ alleen een winst voor de bedrijven en hebben klanten geen opties meer; denk aan banken! Belgie heeft daar afgelopen week zinnige stappen in genomen. In NL verwacht ik die wijsheid niet zo vlug omdat het de bottom line kan raken en in NL heerst veel meer die ‘over de schutting’ mentaliteit!
@SWA Wat bedoel je met ‘Belgie heeft daar afgelopen week zinnige stappen in genomen’?
Goede security betekent niet per se goede business.
Slechte security betekent steeds vaker geen business.
Platgeslagen security = business en dus business=security.
Een hoge risk appetite -dat buzzwoord miste ik nog in het artikel- is sowieso een slecht idee. En vertrouwen in de keten is inderdaad een heet hangijzer gezien de supply chain attacks.
Nu de VS steeds agressiever worden komen steeds meer boefjes naar Europa toe. Winter is coming…
@rik, https://www.security.nl/posting/713017/Belgische+banken+komen+met+universele+bankdienst+voor+niet-digitale+klanten
@henri, maar wat nu als je je (data al dan niet encrypted) in Azure hebt en MS maakt die om de een of andere manier onbeschikbaar voor een tijd? vanuit informatie management oogpunt gezien heb je dan een DOS te pakken en ik wens je dan success met het voor de rechter dagen van MS. Lees ook https://www.computable.nl/artikel/nieuws/cloud-computing/7218922/250449/veiligheid-cloudnetwerken-vaker-op-de-proef-gesteld.html
SWA, universele bankdienst?
@SWA dank voor de tip, we hebben er inmiddels aandacht aan besteed.