Tijd voor een digitaal deltaplan
Die alarmerende boodschap is al tien jaar te vinden in het CSBN. In de opeenvolgende rapporten wordt steevast alarm geslagen over onze ‘digitale weerbaarheid’. Toch is er nog steeds een flinke mismatch tussen het sombere beeld en het daadwerkelijke overheidsbeleid.
Je zou daarom een digitaal Deltaplan verwachten. Maar in de praktijk komt het niet veel verder dan beleid en ondersteuning door het NCSC voor de overheid zelf en de klassieke vitale diensten. Voor het bedrijfsleven is er slechts voorlichting door het Digital Trust Center en wat kleine, matig gesubsidieerde publiek-private initiatieven. En dat staat haaks op de conclusie uit het CSBN.
Wat moet er dan wel gebeuren? Naar de stellige overtuiging van securityexperts zoals Victor Gevers en Jaya Baloo en recent ook Kamerlid Kees Verhoeven wordt het tijd voor een stevige, gerichte aanpak van kwetsbaarheden. Ik sluit me daar van harte bij aan. Recent onderzoek van Sophos laat zien dat IT-managers 75% van de problematiek toeschrijft aan het te laat of te weinig patchen en beschermen. De zwakke plekken zitten uiteindelijk in technische systemen waar de bad guys digitaal bij kunnen.
We moeten het dus anders aan gaan pakken. Niet nog meer voorlichting, maar actie. Wat de bad guys kunnen, kunnen wij ook: gaten opsporen. Om vervolgens de informatie op de juiste plekken af te leveren en de ontvangers aan te sporen om de zwakke plekken te dichten. Een bottom-up, techniek-gedreven aanpak, die alle bedrijven een concreet handelingsperspectief geeft.
Recente ervaring met publiek-private projecten voor online abuse- en botnetbestrijding hebben laten zien dat die aanpak uitermate succesvol is. De overheid hoeft alleen nog maar een flinke duw in de rug te geven. Door het samenbrengen van ethical hackers, organisaties met crawlers, en meldpunten. Door het steunen en ontsluiten van informatiebronnen over kwetsbaarheden. Door het zorgen voor de continuïteit van al die actoren en voor de inrichting van de benodigde informatie-sharing netwerken. En mét een serieus budget.
Kortom, de hoogste tijd voor een nationaal, privaat-publiek “vulnerability-management programma”. Als we het echt menen met die grote kans op ontwrichting dan kan dat toch geen grote moeite zijn.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee