Cybersecurity: er gebeurt bedroevend weinig
Sterker nog: de hele cybersecuritystrategie voor de Nederlandse vitale infrastructuur zou ‘proactief en collectief’ moeten worden aangepakt. Het probleem is alleen: we doen het niet!
Het Nationaal Cyber Security Centrum trekt al veel langer aan de bel om Nederland tot actie te manen. In het laatste Cybersecuritybeeld Nederland waarschuwde het NCSC opnieuw dat de weerbaarheid van Nederland achterblijft op de groeiende digitale dreiging. Tot veel merkbare actie heeft het niet geleid. Samenwerking is goed. Rapporten zijn belangrijk. Waarschuwen blijft nodig. Maar wanneer gaan we nu eindelijk eens wat doen?
Alarmerend
Er zijn meer dan voldoende alarmerende cijfers beschikbaar. Ik en iedere andere security-expert kunnen moeiteloos een lade opentrekken met cijfers die laten zien hoeveel miljoenen euro’s er in potentie verloren kunnen gaan voor de BV Nederland als we onze cybersecurity niet verbeteren. We kunnen inmiddels een hele stapel cases laten zien uit binnen- en buitenland waarin digitaal verkeer gecompromitteerd en gemanipuleerd werd, ten koste van (letterlijk) talloze mensen, bedrijven en overheden en we roepen er allemaal schande van. Maar er gebeurt bedroevend weinig.
Eindeloos praten over wat er zou moeten gebeuren en mooi geformuleerde goede intenties verspreiden na een incident, is net zoiets als je social-media-avatar een kleurtje geven als er weer eens wat gebeurd is in de wereld: de bedoeling is goed, maar het helpt niet. Het lijkt erop dat noch de kennisinstituten, noch de industrie, noch de overheid in staat zijn die intenties om te buigen in actief beleid. En zolang dat voort blijft duren zal het volgende cybersecuritybeeld nog weer somberder worden dan het vorige.
Gelukkig kan het ook anders. In defensiekringen is het nu al zo dat bedrijven die iets willen met een zogenaamd ‘Te Beschermen Belang’ (een TBB: materieel, goederen, objecten of gegevens die onder Defensie vallen) moeten voldoen aan een reeks zeer heldere en praktische regels, die zijn samengevat in de Algemene Eisen voor Defensieopdrachten (de ABDO). Sinds de ABDO 2017 staan daar tevens heel heldere eisen in over cybersecurity.
Defensie waakt over onze welzijn en welvaart. Vanuit dat perspectief vinden we het kennelijk normaal dat de overheid regels oplegt. Maar is het zo raar te denken dat we ook minimale eisen zouden moeten stellen aan de digitale wereld buiten Defensie? Is onze privacy geen ‘Te Beschermen Belang’? Valt onze vitale infrastructuur niet onder onze nationale welzijn en welvaart?
Om ons heen zijn diverse landen al veel verder in de eisen die ze stellen aan hun vitale infrastructuur. Nederland blijft achter. Zonder wetgeving lijkt het hier niet te lukken om de maatregelen te nemen die nodig zijn om digitaal Nederland te beschermen. Maar zonder die maatregelen komen onze welzijn en welvaart in gevaar. Het bedreigt onze burgers en hun privacy, en onze samenleving in de vorm van economische schade en aantasting van onze infrastructuur en besluitvorming.
Regels
De enige manier om die dreiging het hoofd te bieden is door in actie te komen. Dat vergt een investering in tijd en geld die we kennelijk alleen bereid zijn te doen als we centraal gedwongen worden aan bepaalde minimale normen te voldoen. De Algemene Verordening Gegevensbescherming dwingt ons nu minimale maatregelen te nemen om onze privacy te beschermen. Een maatregel als de ABDO, maar dan voor àlle initiatieven die raken aan ons collectieve belang, kan hetzelfde doen voor onze veiligheid in bredere zin. Als regels nodig zijn om Nederland in beweging te krijgen, laten we daar dan in vredesnaam snel werk van maken.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee