Recent onderzoek van de Onderzoekraad voor Veiligheid (OVV) had een duidelijke conclusie: Nederland is kwetsbaar voor cyberaanvallen. De grote hacks die het afgelopen jaar de krantenkoppen domineerden, hebben dat allang blootgelegd. De oplossing? Als het aan de OVV ligt moet de aanpak hier snel fundamenteel veranderen.
Bijvoorbeeld door nationale richtlijnen vast te stellen met kwaliteitseisen voor software of via een nationaal alarmeringssysteem van potentiële slachtoffers via de overheid. Hoewel ik in principe elke ontwikkeling om de cyberbeveiliging van Nederland beter te maken aanmoedig, zie ik voor een nationaal alarmeringssysteem praktische bezwaren.
Alwetende overheid als nieuw doelwit
Een nationaal alarmeringssysteem dat bedrijven tijdig op de hoogte moet brengen vóórdat ze het slachtoffer worden van cybercriminaliteit lijkt verstandig. De belangrijkste vraag hierbij is waar je de grens trekt. Zo’n alarmeringssysteem vereist dat de overheid van elke Nederlandse organisatie op de hoogte moet zijn van de software en systemen die er draaien. Anders kun je niet gericht waarschuwen en wordt het een generiek en daarmee ver-van-mijn-bed-show-waarschuwingssysteem. Maar een overheid die van elke Nederlandse organisatie informatie heeft over de draaiende software, druist niet alleen in tegen de privacy van die organisaties, maar brengt ook een groot nieuw gevaar met zich mee. Al die informatie over organisaties is an sich weer een goudmijn voor cybercriminelen om in handen te krijgen en vormt daarmee een nieuw doelwit.
Schijnveiligheid
Voor vele organisaties klinkt een nationaal waarschuwingssysteem als muziek in de oren. Een centraal orgaan dat hierop toeziet neemt verantwoordelijkheid uit handen. Je kunt er dan immers op vertrouwen dat je wordt ingelicht als er sprake is van een dreiging voor een cyberaanval in de software die je gebruikt. Maar kun je daar écht op vertrouwen?
Zo’n waarschuwingssysteem staat mogelijk gelijk aan een gevoel van schijnveiligheid, met name voor organisaties die minder volwassen zijn op het gebied van cybersecurity of hier minder kennis over in huis hebben. Voor een orgaan als de overheid of het Nationaal Cyber Security Centrum (NCSC) is het niet haalbaar om álle organisaties in Nederland te monitoren en zicht te hebben op elke cyberaanval die plaatsvindt. Daar is simpelweg onvoldoende mankracht voor. Dus organisaties compleet laten vertrouwen op zo’n waarschuwingssysteem is geen oplossing om ze weerbaarder te maken tegen cyberaanvallen.
Potentie in uitbreiding van NCSC
Waar meer potentie in zit, zijn de richtlijnen voor de kwaliteitseisen voor de software die bedrijven gebruiken voor hun beveiliging en een groei van het NCSC in diens rol bij dit probleem. Het is per branche verschillend hoeveel er in cybersecurity geïnvesteerd wordt. Zo staat cybersecurity bij banken en verzekeraars hoog op de agenda. In de zorg en het onderwijs daarentegen, gaat logischerwijs vaak meer geld naar zorg aan het bed of naar leraren dan naar cyberbeveiliging. Deze sectoren liggen daarom soms achter in hun cyberbeveiliging in vergelijking met andere organisaties.
Algemene richtlijnen voor software zouden waardevol kunnen zijn om de cyberbeveiliging van Nederlandse organisaties meer op één lijn te trekken. Hier kan het NCSC een belangrijke rol bij spelen, mits er wordt gezorgd voor een structurele groei van het NCSC in bijbehorende mankracht en organisaties die ze mogen inlichten. Nu zijn ze alleen bevoegd om overheidsdiensten en vitale organisaties te waarschuwen. Daar zit een hoop potentie in om Nederland weerbaarder te maken tegen cyberaanvallen.
Beveiliging begint in de organisatie
Het is natuurlijk alleen maar goed dat het (nationaal) bewustzijn en besef toeneemt dat de cyberbeveiliging van onze organisaties iets is dat we serieus moeten nemen. Elke organisatie kan het volgende slachtoffer zijn. Cyberbeveiliging op nationaal niveau is dan ook iets wat ik zeker aanmoedig, maar een waarschuwingssysteem waarbij potentiële slachtoffers van cyberaanvallen tijdig worden gewaarschuwd is onrealistisch en eerder een utopie. Weerbaarheid tegen cyberaanvallen begint in de organisaties zelf met bewustzijn en de juiste bescherming.
(Auteur Ronald Pool is cybersecurityspecialist bij CrowdStrike.)
