Nationale IT-beveiliging vereist inzet van overheid èn bedrijven

Er zijn drie kernpunten waarop zij dient te faciliteren en de samenwerking moet zoeken.

1. Multi-soevereine security-oplossingen

Europa zou niet afhankelijk moeten zijn van andere werelddelen voor security-oplossingen. Een belangrijk aspect daarin is encryptie. We kunnen bijvoorbeeld gerust gebruikmaken van buitenlandse cloudoplossingen, mits de data versleuteld is en verzekerd is dat overheden de sleutel niet kunnen bemachtigen als het securitybedrijf dat de encryptie-oplossing levert, onder hun jurisdictie valt.

Voor Nederland is de uitdaging om een businesscase te creëren die het aantrekkelijk maakt om lokale security-oplossingen te ontwikkelen. Overheden kunnen een rol spelen door die ontwikkeling te financieren. Bijvoorbeeld met een Europees investeringsfonds, waarmee kleinere landen kunnen investeren in de ontwikkeling van zogenaamde multi-soevereine security-oplossingen die lokaal soeverein te maken zijn (bijvoorbeeld een encryptie-oplossing waarop ieder land zijn eigen algoritmes kan zetten).

Daarnaast moeten aanbestedingsregels die een hoge drempel voor lokale technologiebedrijven opwerpen, aangepast worden. Overheden zouden eerst een bedrijf moeten kunnen selecteren om vervolgens gezamenlijk oplossingen te ontwerpen en ontwikkelen. Tenslotte kan de accreditatie van deze oplossingen, buiten het land van oorsprong, gemakkelijker. Bijvoorbeeld door te steunen op de accreditatie van het land van oorsprong.

2. Informatie delen

Bedrijven zijn voorzichtig met het delen van informatie om hun reputatie te beschermen of omdat dit kan leiden tot boetes, bijvoorbeeld wanneer het gaat over informatielekken. De overheid beschikt over dreigingsinformatie die zij niet altijd kunnen delen omdat wetgeving dat in de weg staat of om bronnen en methoden te beschermen. De angst voor lekken bestaat, maar geheime informatie kan ook offensief ingezet worden. Er zou wetgeving moeten komen die het veilig delen van informatie tussen de overheid en het bedrijfsleven regelt. Niet ondenkbaar is een meldplicht die securitybedrijven, de overheid en inlichtingendiensten verplicht om informatie over dreigingen te delen. Daarbij is een platform nodig waarop informatie gedeeld en gebruikt kan worden en de bescherming van de herkomst en veiligheid ervan waarborgt.

3. Nationale cyberoefeningen

Je kunt wachten tot het oorlog is, maar je kunt ook preventief oefenen voor een aanval. Met Red Teaming simuleer je aanvallen en leren we de weerbaarheid te testen, te verhogen en daarin samen te werken. Neem bijvoorbeeld TIBER (Threat Intelligence Based Redteaming) programma van De Nederlandse Bank. Die oefent daarmee om toezicht te houden op de beveiliging van financiële instellingen. Dergelijke programma’s zouden uitgerold kunnen worden bij bedrijven en overheidsorganisaties die een rol spelen in de verdediging in het vijfde domein. Niet alleen om vast te stellen of het op orde is, maar vooral om hiervan te leren.