Cybercrime, -spionage en -sabotage vormen een groot risico voor onze economie en samenleving, stelt Patricia Zorko. 'Het is noodzakelijk dat we hier een krachtig antwoord op hebben, zodat we een ‘safe place to do business’ blijven. Nederland moet de volgende stap zetten om in het digitale tijdperk mee te blijven komen en dat kan alleen als overheid en bedrijfsleven samen optrekken.'
Een belangrijke rol bij de publiek-private samenwerking heeft het Nationaal Cyber Security Centrum (NCSC), onderdeel van de NCTV.
Nederland acteert internationaal op topniveau in het digitale domein en heeft de afgelopen jaren een goede basis voor cybersecurity opgebouwd. Tegelijkertijd blijkt uit het ‘Cybersecuritybeeld Nederland 2016’ van de NCTV dat er sprake is van toenemende dreigingen in het cyberdomein.
Zorko: ‘Soms denken mensen dat cyberdreiging een ver-van-mijn-bedshow is. Maar niets is minder waar. Bij de verkiezingen hebben we gezien dat dit een serieus probleem kan zijn. Journalisten konden twitteraccounts van politici overnemen en stemwijzers werden onbereikbaar door aanvallen. Dit lijkt misschien niet zo groot, maar dezelfde ‘aanvalsmethode’ wordt ook gebruikt door hackers om binnen te dringen bij bedrijven of publieke organisaties. Vervolgens stelen ze belangrijke informatie, verspreiden ze desinformatie of zetten ze de harddrive op slot met ransomware. Of ze saboteren systemen in vitale sectoren waar we als samenleving van afhankelijk zijn, zoals onze energie- of watervoorziening. Laat dergelijke voorbeelden en alle nieuwsartikelen over cybercrime en cyberaanvallen een wake-up call zijn. We kunnen onze ogen niet sluiten en doen alsof we geen gevaar lopen. We zien een toenemende en reële dreiging vanuit beroepscriminelen en buitenlandse inlichtingendiensten en het is belangrijk als Nederland dat onze inzet hiermee in de pas blijft lopen.’
Samenwerken om wat te bereiken
Zorko vindt dat er daarbij parallellen zijn te trekken tussen de fysieke wereld en de digitale wereld.
‘De overheid komt geen slot op je voordeur zetten; laat staan dat een ambtenaar het elke avond voor je op slot draait. Dan moet je ook niet verwachten dat de overheid dit digitaal wel doet. Zo ben je bijvoorbeeld zelf verantwoordelijk voor het veilig gebruik van wachtwoorden, moet je je software regelmatig updaten en back-ups maken. Dat is de basis die iedereen zelf voor elkaar moet hebben. Een andere parallel zie ik met samenwerkingsverbanden tussen overheid, bedrijfsleven en wetenschap om Nederland veilig te houden. De overheid kan het niet alleen. Dat is ook digitaal het geval. Het overgrote deel van de digitale infrastructuur in ons land is in handen van de private sector. We moeten dus wel met elkaar samenwerken om wat te bereiken.’
‘De publiek-privaat-wetenschappelijke samenwerking in Nederland is uniek, zelfs de hacking community doet mee’, aldus de directeur Cyber Security. ‘Wij zijn gewend om te polderen, elkaar op te zoeken om een gezamenlijk resultaat te boeken. Je ziet dat ook terug in het NCSC. Daarin werken publieke en private partijen zij aan zij om Nederland digitaal veilig te houden. Dat doet een ander land ons niet zo snel na. Zo hebben we in Nederland veertien Information Sharing and Analysis Centres (ISAC’s) opgericht, om de weerbaarheid van vitale sectoren tegen cyberdreigingen te versterken. Het gaat dan bijvoorbeeld om de financiële sector en bedrijven in de telecom of energievoorziening. In een vertrouwde omgeving wisselen organisaties in een vitale sector informatie en ervaringen uit en kunnen zij elkaar bijstand verlenen bij problemen. Het NCSC informeert de deelnemende organisaties over kwetsbaarheiden en voorziet hen van advies. Deze samenwerkingsverbanden maken het mogelijk om complexe aanvallen het hoofd te bieden, wat voor individuele bedrijven vaak niet haalbaar is.’
Bedrijven onvoldoende op de hoogte
Cybersecurity staat bij steeds meer organisaties op de agenda, aldus Zorko. Tegelijkertijd constateerde de Cyber Security Raad (CSR), een publiek-privaat adviesorgaan van het kabinet, recent dat het Nederlandse bedrijfsleven nog te weinig doet aan digitale veiligheid. ‘De CSR geeft terecht aan dat bedrijven volgens de huidige wet- en regelgeving nu al de plicht hebben om te zorgen voor een adequate digitale beveiliging. Maar in de praktijk blijkt dat bedrijven hier onvoldoende van op de hoogte zijn. Dat kan er bijvoorbeeld toe leiden dat bedrijven hun systemen onvoldoende beveiligen en er producten op de markt worden gebracht die onvoldoende tegen hacken zijn beveiligd. Bedrijven en burgers zijn zich daar niet altijd van bewust. Door nieuwe technologische ontwikkelingen, zoals Internet of Things en eHealth, neemt het risico op digitale én fysieke schade daarbij ook nog eens sterk toe.’
Zorko wijst erop dat het NCSC regelmatig beveiligingsadviezen afgeeft, die voor een ieder op de site te vinden zijn en aangeven welke maatregelen organisaties moeten nemen om digitaal veilig te blijven. Het voordeel van deze adviezen is dat het NCSC geen commerciële belangen daarbij heeft, in tegenstelling tot de leveranciers van ict-producten en -diensten.
Ook andere vormen van samenwerking zijn volgens Zorko van belang, bijvoorbeeld als het gaat om ketenveiligheid. ‘Grotere bedrijven zijn vaak voor hun digitale veiligheid afhankelijk van kleinere bedrijven. We zien nu dat bijvoorbeeld bedrijven als de Rotterdamse haven en luchthaven Schiphol de kleinere bedrijven in hun keten helpen om de cybersecurity op orde te brengen. Dat zijn mooie initiatieven. Waar nodig kan ook de overheid hier een helpende hand toesteken, in gezamenlijke coalitie met het bedrijfsleven. Verder moet de overheid het voortouw nemen als het gaat om de bestrijding en preventie van bijvoorbeeld zware cybercriminaliteit en economische spionage. Deze onderwerpen zijn grensoverschrijdend en pakken we gezamenlijk aan binnen de Europese Unie. En als het om regelgeving gaat, is het onze taak om deze zoveel mogelijk te harmoniseren.’
Het melden van digitale veiligheidsincidenten
Op het terrein van nieuwe wet- en regelgeving gaat er de komende periode het een en ander veranderen: zo ligt momenteel bij de Eerste Kamer het wetsvoorstel Gegevensverwerking en Meldplicht Cybersecurity voor. ‘Dit wetsvoorstel regelt de wettelijke taken van het NCSC op het terrein van cybersecurity en de randvoorwaarden voor publiek-private samenwerking. Het schept de kaders voor informatie-uitwisseling met het NCSC en de spelregels als het gaat om vertrouwelijkheid. Een deel van de organisaties binnen vitale sectoren en Rijksoverheid wordt daarnaast verplicht om ernstige digitale veiligheidsincidenten te melden bij het NCSC. Zo heeft het NCSC zicht op risico’s voor de samenleving en kan er advies en hulp worden geboden. Tijdige melding maakt immers een effectievere aanpak van dit soort incidenten mogelijk. Zodoende kunnen we maatschappelijke ontwrichting voorkomen of beperken,’ aldus Zorko.
Deze wet is een belangrijke stap op weg naar de Europese richtlijn voor Netwerk- en Informatiebeveiliging (NIB), die gericht is op het creëren van een gemeenschappelijk niveau van netwerk- en informatiebeveiliging binnen Europa.
Via het actieprogramma van de tweede Nationale Cybersecurity Strategie zijn de afgelopen jaren nog andere stappen gezet. ‘Zo wordt de aanschaf van veilige software gestimuleerd. Publiekscampagnes zoals Alert Online vergroten het bewustzijn bij bedrijven en burgers. Ook wordt geïnvesteerd in innovatie en onderwijs, zo is bijvoorbeeld het kennisplatform Dcypher opgezet. Bovendien heeft Nederland het initiatief genomen tijdens het EU-voorzitterschap om cybersecurity internationaal goed op de agenda te zetten. Het kabinet heeft verder extra investeringen gedaan in de aanpak van cybercrime en het Nationaal Detectie Netwerk, waarbij overheid en bedrijven elkaar informeren over actuele dreigingen. ‘
Wet van de remmende voorsprong
Er gebeurt dus een hoop, maar dat is volgens Zorko geen reden om achterover te leunen. ‘Andere landen maken ook een cyberstrategie en investeren flink. Het lijkt erop dat we last hebben van de wet van de remmende voorsprong. Daar moeten we niet in blijven hangen. Zo concludeert het wetenschappelijk Rathenau Instituut in een recent rapport dat in de strijd tegen de steeds professionelere methoden van cybercriminelen en cyberspionnen extra maatregelen nodig zijn. Als Nederland echt een digitale ‘safe place to do business’ wil blijven, dan is het belangrijk dat zowel overheid als bedrijfsleven de komende jaren hier extra in investeren. En we ons allemaal – in de Tweede Kamer, in de bestuurskamer van bedrijf of publieke organisatie plus in de huiskamer – veel meer in het onderwerp cybersecurity verdiepen. Hoe blijven we veilig, zeker nu steeds meer van onze apparaten aan het internet gekoppeld worden? We kunnen het ons niet meer veroorloven om naïef te zijn. In het rapport Nederland digitaal droge voeten dat CEO PostNL Herna Verhagen in opdracht van de CSR heeft opgesteld geeft zij het advies om tien procent van het ICT-budget te reserveren voor cybersecurity. Dat lijkt me een goede stelregel voor iedereen om serieus te investeren in de eigen digitale veiligheid en die van Nederland. Ook moeten we meer investeren in onderwijs: in de basiskennis over cybersecurity en in het opleiden van cybersecurity specialisten om in de toekomst aan de groeiende vraag te kunnen blijven voldoen.’
Er is dus nog veel werk te doen om digitaal veilig te blijven. ‘Het is belangrijk om te kijken waar vernieuwing nodig is en waar de innovaties zitten om ons land vooruit te helpen. En dus zowel de kansen die digitalisering ons biedt blijven benutten als de dreigingen aanpakken. Overheid en bedrijfsleven moeten samen de handen ineenslaan om te investeren in cybersecurity en ook voor de toekomst de digitale dijkbewaking van Nederland op orde te houden!’
Profiel
Patricia Zorko is sinds 1 november 2015 plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en directeur Cyber Security. Hiervoor werkte zij 34 jaar bij de politie, als laatste in de functie van politiechef van de Landelijke Eenheid. Zorko heeft in haar functies steeds een bijdrage geleverd aan meer veiligheid in Nederland en in internationaal verband en zich daarbij vooral de laatste jaren verdiept in vraagstukken rond cybersecurity en terrorisme.
Dit artikel is ook te lezen in GOV magazine nummer 12 van Atos.
