De digitale monocultuur, waarbij groot aantal bedrijven en instellingen afhankelijk zijn van een klein aantal hard- en softwareleveranciers, vormt een extra bedreiging voor de cyberveiligheid. Sommige aanbieders hebben zo’n dominante positie dat als het ergens misgaat de gevolgen verstrekkend zijn. Dat stelt de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) vast.
Het ‘Cybersecuritybeeld Nederland 2024‘ wijst op het gevaar van een te grote machtsconcentratie in de security-sector. De NCTV, die deze jaarlijkse rapportage opstelde, is vooral geschrokken van de wereldwijde storing als gevolg van de blunders die het securitybedrijf CrowdStrike afgelopen zomer maakte bij een update.
Digitale processen zijn in hoge mate met elkaar verweven en vormen zo een breder digitaal ecosysteem. Een incident bij een leverancier zoals CrowdStrike kan doorwerken naar vele andere organisaties. Ook de softwarefout op een netwerk van Defensie demonstreerde dit. Verder stelt de NCTV dat niet-vitale organisaties voor kwaadwillenden een aantrekkelijke springplank kunnen zijn naar vitale organisaties.
Ook grootschalige concentratie bij de grote cloud-aanbieders AWS, Microsoft en Google vormt een risico voor digitale veiligheid. Verder kan schaarse cybercapaciteit de digitale weerbaarheid in het geding brengen. Betekent daarnaast de ontwikkeling van een krachtige quantumcomputer nu al een risico, ook de mondiale online-datahandel geeft op grote schaal inzage in persoonsgevoelige data en bedreigt daarmee de nationale veiligheid.
Turbulente tijden
Genoemd rapport is een jaarlijks terugkerende analyse die sinds 2012 wordt gepubliceerd. De subtitel is dit jaar ‘Turbulente tijden, onvoorziene effecten’. Complexe en sterk verweren netwerk- en informatiesystemen kunnen leiden tot brede en onvoorspelbare uitval. De kans op verstoring neemt daarnaast nog steeds toe, niet alleen door technische problemen maar ook door de huidige geopolitieke spanningen. Zo voeren statelijke actoren cyberaanvallen uit om politieke, economische en militaire doelen te bereiken. Ook ziet de NCTV wereldwijd opererende en steeds geavanceerdere criminelen die grof geld verdienen aan cybercriminaliteit. Het kabinet focust de komende periode in het bijzonder op het bestrijden van de digitale criminaliteit en de weerbaarheid tegen militaire en hybride dreigingen.
Cybersec Netherlands 2024
Op de vakbeurs Cybersec Netherlands is vanzelfsprekend volop aandacht voor cyberveiligheid. De beurs grijpt plaats op 6 en 7 november in Jaarbeurs Utrecht. Meld je hier voor het programmaoverzicht en een gratis toegangskaart. Een impressie? Bekijk hier de video-opnames van de editie van vorig jaar.
Crowdstrike was een wekker die om het vertrouwen in de keten ging, niet getest maar toch uitgerold trapt NCTV dan ook een open deur open. Een deur die overheid grotendeels zelf open heeft gezet met een beleid van uitbestedingen omdat er nog een groot geloof in de economy of scale is. Als het alles mag zijn als het maar Windows is dan verlies je digitale soevereiniteit door afhankelijkheid in het patch beleid. Geen geld, geen Zwitsers lijkt me ondertussen van toepassing als we kijken naar de huurlingen van inhuur en uitbesteding met een slechte controle op de motivatie van de inzet. Want terug naar het vertrouwen komt de constatering over met name Amerikaanse invloed wat laat als we kijken naar een klokkenluider zoals Edward Snowden.
Wat betreft de statelijke actoren komt ook Brenno de Winter een verhaaltje voor het slapen gaan vertellen, de praatjesmaker had 22 januari 2013 een slap praatje over ‘‘Das Leben der Anderen’ omdat de overheid cyberweerbaarheid exclusief maakte vanuit een belang. De klokkenluider vertelde ons toen over de open deuren die open bleven staan omdat er geen dwang & drang was om een pandemie aan kwetsbaarheden op te lossen. Titel van praatje was: “Fundamentele bezwaren bij de cybersecuritystrategie” met als ondertitel de noodzaak van bronbescherming bij openbaring waarmee Brenno voor de spreekbuis was van de white hat hackers die kwetsbaarheden hadden gevonden waar niks aan gedaan werd. Feiten die hier terug te lezen zijn want een archief kan ook tegen je gaan werken.
Wat betreft de rol van NCTV in desinformatie campagne als statelijke actor is controle beter dan vertrouwen want er ontstond een vertrouwenscrisis toen bleek dat coordinator buiten de bevoegdheden had geopereerd in het verzamelen van informatie over het leven van anderen. Er is grote scepsis over de privacybescherming van een organisatie die nog weleens tot oordelen komt zonder de onafhankelijke juridische toetsing waardoor de waarschuwingen meer om de marketing van angst gaan. Grof geld verdienen aan vertrouwen is nu eenmaal de basis van een ruilmodel, de mondiale online-datahandel gaat tenslotte meer om de privacy dan een digitale monocultuur.
Wat betreft een gebrek aan culturele diversiteit zullen we de deur maar niet open zetten voor een filosofische discussie over de ongekozen leiders die op het schild gehesen worden. Of moet ik vanuit een vooruitziende blik over ‘geschoven’ spreken? Tenslotte zijn machtsconcentratie niet per definitie fout als de controle erop maar goed geregeld is want in reden en resonantie volgens de retoriek van Cicero liggen er veel lessen besloten in de geschiedenis. Want hominem te memento lijkt de nationale veiligheid me niet afhankelijk van inzage in persoonsgevoelige data als de personen om wie het gaat niet af te persen zijn met blunders uit hun verleden.