Na drie jaar lijkt het Digital Trust Center zijn draai te hebben gevonden. Dit onderdeel van het ministerie van Economische Zaken en Klimaat (EZK) waarschuwt bedrijven bij een ernstige cyberdreiging. Dat deed het DTC dit jaar al bijna driehonderd keer. Het alarmerings- en voorlichtingscentrum krijgt 2,5 miljoen euro per jaar. Is het al dit geld wel waard?
Het DTC begon in 2018 als een tijdelijk programma om het bedrijfsleven te helpen de cyberweerbaarheid te verbeteren. Bij gebleken succes zou het programma worden gecontinueerd. Het centrum kwam echter moeizaam op gang, onder meer door een stroeve samenwerking met het Nationaal Cyber Security Centrum (NCSC). Het NCSC, dat onder het ministerie van Justitie en Veiligheid (J&V) valt, gaf weinig informatie over cyberdreigingen door omdat het DTC ontbrak aan een goede wettelijke grondslag om persoonsgegevens te mogen verwerken.
Tot voor kort bleef de doelgroep van 1,8 miljoen niet-vitale bedrijven daardoor verstoken van waarschuwingen, ook al wist de overheid dat bepaalde bedrijven gevaar liepen. Maar dit jaar zijn de knelpunten opgelost en is de informatiestroom richting het niet-vitale bedrijfsleven op gang gekomen, met zo’n driehonderd waarschuwingen tot nu toe.
Het DTC krijgt voor zijn activiteiten zo’n 2,5 miljoen per jaar van EZK. Is dat het waard? Uit recent onderzoek van cyberbeveiliger Mimecast blijkt dat Nederlandse organisaties gemiddeld 96.000 euro betalen om na een ransomwarebesmetting weer toegang te krijgen tot gegijzelde gegevens. Een snelle rekensom (300 x 96.000 euro) leert dat als DTC met zijn waarschuwingen inderdaad ransomware-aanvallen zou hebben voorkomen, dat 28,8 miljoen euro aan financiële schade heeft gescheeld.
Nu is dit een aanname en is het uiteindelijk lastig te bepalen wat precies het effect is van zo’n club. Wat vindt u? Is het DTC een nuttig overheidsinstrument? Of kun je dat beter aan de markt overlaten? Niet voor niets kondigde eind september een groot aantal internetgerelateerde organisaties, verenigd in het Anti Abuse Netwerk (AAN), aan een gezamenlijk platform op te richten dat het bedrijfsleven waarschuwt bij cyberkwetsbaarheden. Reden? Het duurt de initiatiefnemers te lang eer de overheid de informatiedeling hierover goed heeft geregeld.
Aan activiteiten van de overheid zitten altijd twee kanten: aan de ene kant is wat door de overheid georganiseerd wordt, vaak trager en duurder dan wat vanuit particuliere initiatieven komt. Dat heeft niet zozeer te maken met onvermogen van de overheid, maar vooral met het feit dat de overheid aan allerlei regels gebonden is en zich daar niet zomaar vanaf kan maken. Aan de andere kant is het een taak van de overheid om voor veiligheid te zorgen, zowel op vitale als voor niet-vitale organisaties. Temeer daar de overheid via het NCSC al heel veel informatie over dreigingen verzamelt, ligt het voor de hand die rest van de maatschappij (niet-vitaal) daar van mee te laten profiteren. Het aantal aanvallen dat plaatsvindt, spreekt voor zich. Niet elke organisatie is in staat zich hiertegen voldoende te wapenen, dus een dreigingsmelding kan heel effectief zijn om (op het allerlaatste moment) een aanval af te kunnen slaan of de gevolgen te verzachten.
Zelfs als het bedrag niet volledig terugverdiend wordt met uitgespaarde kosten (losgeld of herstelkosten), heeft het zijn nut, omdat aanvallen ook gepaard gaan met heel veel niet-materiele schade.
Alle initiatieven die de weerbaarheid van de Nederlandse economie en haar belangen trachten te verbeteren zijn zeer nuttig en kunnen veel schade voorkomen en beperken. 2,5 miljoen is een bijna een fooi voor wat hiermee kan worden voorkomen.
Een dergelijk systeem van waarschuwen en adviseren in een snel veranderende en complexe werkelijkheid kan nooit werken als iedere stakeholder zijn eigen clubje gaat vormen. De grote vendors in het bezit van de laatste technologische vulnerabilities en bedreigingen zoals Microsoft zullen ook niet staan te springen om al die clubjes afzonderlijk te gaan voorzien van (dezelfde of misschien wel specifieke?) informatie.
Daar komt bij dat als je gericht partijen wil informeren en dan ook nog eens met privacy data aan de slag moet elke stap tussen de verschillende eilandjes een bijna niet te nemen horde is.
Ik pleit hierbij voor een “ministerie van digitalisering” waarin gericht op IT vlak kan worden gemanaged. Hierin moet ook cybersecurity en de NCSC gecentraliseerd zijn, alle (schaarse) knappe koppen bijelkaar en korte lijnen.
De markt kan dit ook natuurlijk oppakken maar dan moet er wel een verdienmodel zijn en de controle, consistentie van informatie en doelgroep die je als staat wil bereiken zal dan ook lastig zijn te bewerkstelligen.