Cybercriminelen richten enorme schade aan, zowel in het bedrijfsleven als bij de overheid. Er moet iets veranderen, maar wat? Neem om te beginnen de volgende vijf maatregelen op in het nieuwe regeerakkoord.
De coronapandemie fungeert als een katalysator voor digitalisering. Thuiswerken werd opeens de norm. It-afdelingen moesten dit van de ene op de andere dag faciliteren, wat niet altijd op een veilige manier gebeurde. Tegelijkertijd nam het aantal cyberincidenten schrikbarend toe. Zo ontving de politie in het eerste kwartaal van 2021 bijna twee keer zoveel meldingen van cybercrime als in dezelfde periode een jaar eerder. Van phishing en WhatsApp-fraude tot ransomware en ddos-aanvallen: het gaat de verkeerde kant op.
Het is nog niet te laat. De volgende maatregelen zijn een goed startpunt voor de nieuwe regering.
- Installeer ministerie voor Cybersecurity
De aanpak van cybercriminaliteit is in Nederland te versnipperd. We hebben bijvoorbeeld het Team High Tech Crime van de politie, de AIVD en de MIVD, het NCSC en verschillende publiek-private samenwerkingen. Elk hebben ze hun eigen taak of doelstellingen. Maar wie heeft nu eigenlijk de regie? En bij wie rust de eindverantwoordelijkheid? We kunnen ervoor kiezen om dit te centraliseren in een ministerie voor Cybersecurity. Met een cyberminister die het structureel verbeteren van de digitale weerbaarheid als kerntaak heeft.
Overigens doen de genoemde partijen prima werk, vaak met beperkte middelen en budget. Wel kan de onderlinge coördinatie beter. Een cyberminister met het juiste profiel en een krachtig mandaat kan de silo’s doorbreken. Ook zou deze minister kritisch mee moeten kijken bij belangrijke it-projecten van de overheid. Met een apart ministerie geeft de regering ook een duidelijke boodschap af aan het bedrijfsleven: cybersecurity is voor ons topprioriteit.
- Eisen aan én subsidies voor basisbeveiliging
Basisbeveiliging moeten we voor elke organisatie standaard verplicht gaan stellen. Er kan natuurlijk altijd een nieuwe kwetsbaarheid of aanvalsmethode opduiken waar niemand op voorbereid is. Maar in de praktijk gaat het mis doordat organisaties de basis niet op orde hebben. Denk aan een strikt patchbeleid, het maken van meerdere back-ups, security-awarenesstrainingen en technische oplossingen zoals firewalls en e-mailbeveiliging.
De nieuwe cyberminister moet de exacte eisen gaan bepalen die voor elke organisatie gelden – en deze regels ook handhaven. In nauwe samenwerking met brancheorganisaties en toezichthouders kunnen daar sectorspecifieke eisen aan worden toegevoegd. DNB verricht op dit punt al goed werk in de financiële sector, nu nog in elke branche.
Handhaven betekent ook boetes uitdelen. In eerste instantie moet daar niet de focus op leggen. Veel bedrijven hebben het al moeilijk genoeg door corona. Wat dan wel? Ruimhartige subsidieregelingen. De drempel om te investeren in cybersecurity moet omlaag. Geld mag geen excuus meer zijn. Pas als bedrijven die kans niet grijpen en het dan (onvermijdelijk) misgaat, zijn sancties op hun plaats.
- Verbied betalen van losgeld
Dit is een controversieel standpunt. De overheid zegt altijd: we onderhandelen niet met terroristen. Maar er zijn altijd situaties waarin dat toch geoorloofd is. Dat geldt ook voor ransomware. Alles wordt vloeibaar onder druk. Als uw organisatie wordt afgeperst en jaren werk dreigt te verliezen, of de gegevens van klanten of patiënten mogelijk op straat komen te liggen, kan het verleidelijk zijn om toch aan de eisen van de criminelen te voldoen.
Toch moeten we iets doen om de status quo te doorbreken. Vorig jaar riep minister Grapperhaus (Veiligheid en Justitie) verzekeraars al op losgeldbetalingen niet te vergoeden. We moeten een stap verder en het simpelweg verbieden om losgeld te betalen – of hierover te onderhandelen namens een slachtoffer. In de VS is dat sinds vorig jaar officieel beleid. Kiest u er toch voor het losgeld te betalen? Dat kan, maar dan komt er wel een boete bovenop.
- Verbeter informatievoorziening aan alle bedrijven
De NCSC is verantwoordelijk voor de informatievoorziening aan de vitale infrastructuur. Daarmee valt een groot deel van het bedrijfsleven buiten de boot. Het NCSC, maar ook partijen zoals de AIVD, het Digital Trust Center en het Team High Tech Crime, weten wat er op ons afkomt. Deze informatie, zoals indicators of compromise, zou veel sneller en breder beschikbaar moeten zijn. In principe zou de overheid alle bedrijven proactief moeten informeren over belangrijke ontwikkelingen in het dreigingslandschap.
Bedrijven moeten uiteraard wel aan bepaalde eisen voldoen en zich aan strikte regels houden om hiervoor in aanmerking te komen. Het gaat immers vaak om gevoelige informatie. Het laatste wat we willen is dat deze in verkeerde handen valt. Sommige informatie is nu eenmaal niet te delen, maar een groot deel wel. Dat zou Nederland significant veiliger maken. Ook hier ligt een taak voor de nieuwe cyberminister.
- Investeer in Nederlandse cybersecuritysector
Nederland is een welvarend land met een uitmuntende digitale infrastructuur en een hoogopgeleide beroepsbevolking. Kortom, een vruchtbare voedingsbodem voor innovatieve technologie. Toch zijn we voor onze cybersecurity sterk afhankelijk van securityoplossingen uit het buitenland. Moeten we in Nederland (en in Europees verband) niet veel meer investeren in de eigen cybersecurityindustrie?
Denk aan groeisubsidies voor Nederlandse securitypartijen, in combinatie met maatregelen om te voorkomen dat deze bedrijven in buitenlandse handen komen. Zo pakken we de regie terug. Via dergelijke investeringen in de branche houden we bovendien waardevolle expertise en kennis op het gebied van cybersecurity in Nederland. Met de juiste mensen en eigen technologie zal het algehele securityniveau op termijn groeien.
Ook economisch is dit een slimme zet. Elke ontwikkelde economie kampt met dezelfde digitale uitdagingen. Nederland is goed gepositioneerd om hiervan te profiteren. We zijn al een digitale koploper en we kunnen ons ook profileren als koploper in cybersecurity.
Geld
Ja, al deze maatregelen kosten veel geld. Geld dat er misschien niet is, nu Nederland alle zeilen bij moet zetten om te herstellen van de coronacrisis. De nieuwe regering moet moeilijke keuzes maken. Het is begrijpelijk dat de focus nu elders ligt. Tegelijkertijd mogen we deze ernstige problematiek niet negeren, anders zijn we over vier jaar nog verder van huis.
Het lijkt mij goed om zo snel mogelijk te komen tot, liefst wereldwijde, afspraken over opsporing en uitlevering van cybercriminelen en hele hoge straffen.