Security-strategie is ‘onbewust onveilig’

De meeste Nederlandse bedrijven zijn onbewust onveilig als het gaat om cybersecurity. Dat zegt zegt ir. Eric Luiijf, principal consultant bij TNO, tijdens een interview met Computable. Luiijf verzorgt op 18 juni tijdens de Black Hat Sessions de keynote over hoe veilig (it in) Nederland is. Wij vroegen Luiijf naar de meest opvallende cybersecurity-mythes en de beste manier om cybersecurity te verbeteren.

‘De meest voorkomende cybersecurity-strategie die door Nederlandse bedrijven wordt gebruikt, is dat van onbewust onveilig’, zegt Luiijf. ‘Alleen bij internetbankieren wordt waarschijnlijk even goed of slecht opgelet als de gemiddelde Nederlander dat doet.’ Dat deze bedrijven onbewust onveilig zijn, heeft onder andere te maken met het feit dat veel organisaties volgens Luiijf geloven dat risicoanalyse voldoende is om cybersecurity goed te regelen. ‘Dit is echter slechts een analyse op één moment in de tijd.’

Daarnaast noemt hij de vertaling van de niet-geaccepteerde risicofactoren naar een verzameling van maatregelen nog steeds een kunst en een kunde, zegt hij. ‘Of de mix aan maatregelen ook robuust is en tegenwicht biedt aan de eerstvolgende nieuwe dreiging, is nog steeds voor het grootste deel gebaseerd op een onderbuik gevoel dan op bewezen ‘cyber security engineering’ kunde.’

Luiijf hoopt dat bedrijven nu echt gaan leren van de cybersecurity-fouten die gedurende de afgelopen ict-golven zijn gesignaleerd. Volgens hem moeten bedrijven bewuster omgaan met de ict-veiligheid bij het vervangen van lang bestaande functionaliteiten. Deze bestaande functies, zoals gebouw- en brandbeveiligingssystemen en de industriële controlesystemen die de vitale infrastructuren regelen, bevatten tegenwoordig ook ict, zegt hij. ‘Hiermee wordt ict ineens via de achterdeur naar binnen gebracht, zonder dat iemand zich druk maakt over de ict-beveiliging.’

Volgens Luiijf komt ict daarmee in handen van onbewust onveilig handelende personen die verantwoordelijk zijn voor de ‘functie’. ‘Want hoe (on)veilig is de laptop van de lift- en gebouwklimaattechnici of de laptop waarmee de monteur aan jouw auto? Zij hebben zeker geen cyber security training gehad. En waarom laten we dergelijke functionaliteiten eigenlijk programmeren door personen zonder enige kennis over cybersecurity? Dat is dweilen met de kraan open.’

Proactief risico inperken

Luiijf roept dan ook op om voortaan naar voren te kijken met de kennis van gisteren. ‘Onze wet- en regelgeving probeert altijd achteraf correcties aan te brengen na ondervonden problemen, maar kijk nou eens vooruit.’ Volgens Luiijf moet je ervan uit gaan dat de volgende veiligheids- en privacy-problemen komen van een bedrijf of een sector dat nu nog bekend staat als leverancier van vitale ict.

Dat risico zou volgens hem proactief ingeperkt kunnen worden. ‘Bijvoorbeeld door invoering van software-aansprakelijkheid en privacy-richtsnoeren. Anders moeten de mantelzorgers van de toekomst worden opgeleid om de ‘Internet of Functions’, zoals de de thermostaat, koelkast, insulinepomp, pacemaker en scootmobiel, op dagelijkse basis te patchen en privacy-veilig te maken.’

Nederland loopt voor bij security-samenwerking

Wat betreft de samenwerking van het hele Nederlandse cybersecurity ecosysteem van overheid, bedrijven, kennisinstellingen en de wetenschap, loopt Nederland voorop ten opzichte van veel andere landen, zegt Luiijf. ‘We weten elkaar te vinden, maar moeten echter niet achterover leunen. Soms duurt het polderend erg lang voordat we iets werkelijk tot stand brengen. Terwijl daar in andere landen, zoals Estland, op ‘Rotterdamse wijze’ wordt doorgepakt.’ Dat is dan ook een punt waarop Nederland verbetering in aan kan brengen, denkt Luiijf. Volgens hem kunnen we ons namelijk geen traagheid veroorloven in het supersnelle cyberspace-time continuüm. ‘Anders worden onze cyber security kwetsbaarheden uitgebuit door onverlaten die beter beschermde ruimten links laten liggen.’