Beheer

Security
Beveiliging

Hoe maken we Nederland digitaal weerbaarder?

Vraag om digitale 'brandweer' is groot.

© Pixabay - CCO Stevebp
13 september 2019

Vraag om digitale 'brandweer' is groot.

De Wetenschappelijke Raad voor het Regeringsbeleid (WRR) kwam begin september met een belangrijke waarschuwing: Nederland is erg kwetsbaar voor digitale ontwrichting. De bescherming tegen digitale aanvallen moet dus beter. Maar hoe dan, en wat doen we al?

"Voor verstoringen in de fysieke wereld bestaan professionele crisisorganisaties en uitgebreide wet- en regelgeving. De voorbereiding op een digitale ontwrichting krijgt echter nauwelijks tot geen aandacht”, stelt de WRR in zijn advies.

Toch blijkt dit niet geheel waar. De overheid heeft de afgelopen jaren meer aandacht besteed aan cybersecurity. De vraag is met name of het genoeg is. Want hoe moet Nederland eigenlijk beschermd worden? Daar lijken de overheid, experts, de WRR en andere adviesorganen wel een mening over te hebben, die soms meer overeenkomt dan op het eerste oog doet voorkomen.

Brandweer voor cyberaanvallen

Hetgeen wat het meest in het oog springt in het rapport van de WRR, is de roep om digitale hulptroepen. Is er brand, dan komt de brandweer. Heb je een ongeluk gehad, dan komt een ambulance. Maar wie komt er als je digitaal wordt aangevallen? En wat mag de hulpdienst allemaal doen? En over wie krijgen zij bevoegdheid?

Het zijn vragen die dringen beantwoord moeten worden, stelt de WRR. Allereerst moet er een hulpdienst komen, maar de bevoegdheden moeten ook duidelijk worden gemaakt. “Organisaties en bedrijven kunnen de digitale hulpdiensten buiten de deur kunnen houden bij de aanpak van digitale verstoringen en prioriteiten kunnen stellen die strijdig zijn met het publiek belang. Wanneer organisaties en bedrijven bovendien niet behoren tot de vitale infrastructuur staat de overheid min of meer machteloos.”

Dit advies is opvallend, omdat het kabinet al eerder geadviseerd is om een “cybercommissaris” of een ‘hoge functionaris’ in te stellen. Diegene moet “de regie in Nederland in handen nemen als het gaat om cybersecurity”, adviseerde de Cyber Security Raad in 2017 al. “Er wordt nu te versnipperd gewerkt. Zo is voor mij niet duidelijk welke rol de drie hoofdspelers Defensie, Veiligheid en Justitie, en Economische Zaken op dit thema hebben”, zei TNO-topman Paul de Krom toen.

Voormalig directeur van Fox-IT en beveiligingsexpert Ronald Prins kwam rond die tijd met eenzelfde soort advies. Hij vond dat er een persoon moet rondlopen die budget heeft en een “doorzettingsmacht”, net zoals de Deltacommissaris. Die Commissaris kan “dwars door alle ministeries heen kan beuken om bijvoorbeeld snel de dijken te verhogen.”

De Cyber Security Raad heeft zijn advies in juni dit jaar nog eens herhaald. "Alleen dan (met een cybercommissaris of hoge functionarios, red.) komt er voldoende aandacht voor de samenhang der dingen en kan er op alle fronten daadkrachtig worden opgetreden.”

Wat is vitale infrastructuur?

Een andere vraag die niet goed beantwoord is, is: “wat is de vitale infrastructuur?” We hebben in Nederland wel een lijst met vitale infrastructuur, maar daarin staan mogelijk niet alle bedrijven en organisaties die echt van belang zijn. Digitale processen die van groot belang zijn, staan er bijvoorbeeld niet allemaal op.

Willen we Nederland goed beschermen, dan moet die lijst aangepast worden, vindt de WRR. Eén van de redenen daarvoor is het “sterk toegenomen belang van digitale processen”, die lang niet allemaal op de lijst staan. “Een aantal van deze processen is de afgelopen jaren reeds toegevoegd aan de lijst met vitale infrastructuur maar de vraag is of dit voldoende is.”

Daarnaast vraagt de WRR zich af of we vitale processen nog wel aan individuele aanbieders moeten koppelen. Veel diensten zijn namelijk niet meer afhankelijk van één partij, maar van meerdere. En al die partijen zijn op hun beurt ook weer afhankelijk van andere bedrijven. “Dit inzicht kan ertoe leiden dat ook andere partijen dan de aanbieders van vitale processen onder de vitale infrastructuur dienen te vallen.”

Wie is afhankelijk van wie?

De overheid lijkt dit echter ook door te hebben. In de Cybersecurity Agenda uit 2018, waarin ambities van het kabinet voor cybersecurity staan, staat bijvoorbeeld dat er opnieuw gekeken wordt of de sectoren transport over spoor en transport over de weg als vitaal moeten worden aangemerkt. Daarnaast is er een onderzoek uitgevoerd naar welke “intersectorale afhankelijkheden” er zijn. “Zo wordt bijvoorbeeld aangegeven dat vitale processen in hoge mate afhankelijk zijn van de elektriciteitsvoorziening en datacommunicatie.”

Ook wil het kabinet meer doen om goed voorbereid te zijn op grootschalige incidenten met onderlinge afhankelijkheden. Daarom wordt dit najaar het vernieuwd “Nationaal Crisisplan ICT” opgeleverd. Dat plan wordt ook in de praktijk getest bij de cyberoefening ISIDOOR III, in samenwerking met private partijen.

Maar er is natuurlijk meer dan alleen de vitale infrastructuur. Daarom moet niet alleen de overheid een zogenaamd ‘Cyberafhankelijkheidsbeeld’ opstellen - waarin staat van welke partijen en processen de vitale infrastructuur afhankelijk is - maar het bedrijfsleven ook. “Zeker wanneer zij een belangrijke functie in de samenleving vervullen, zoals ziekenhuizen, pakketdiensten (denk aan medicijnen) of betalingsplatforms.”

De Cyber Security Raad zegt in een eerste reactie het daarmee eens te zijn. “Alles is nu met alles verbonden en dat moet ook gelden voor onze aanpak. We moeten partijen samenbrengen die in staat zijn om beweging te creëren waarmee we het tempo ook daadwerkelijk kunnen verhogen. De samenwerking tussen publieke, private partijen (nationaal, regionaal en lokaal) alsook de wetenschap moet hierin centraal staan waarbij een ieder zijn verantwoordelijkheden neemt.”

De overheid is dan ook al actief bezig om bedrijven buiten de vitale sector te benaderen. “Zo is in april 2019 begonnen met het aanwijzen van organisaties waaraan onder bepaalde voorwaarden door het NCSC informatie kan worden verstrekt om hun doelgroep te informeren over digitale kwetsbaarheden en dreigingen.”

Wat doen we bij een aanval?

Als de adviezen van de WRR en andere organisaties en experts gevolgd worden, hebben we straks dus een digitale brandweer die de macht heeft om ernstige problemen op te lossen en weten we ook bij wie dat als eerste moet gebeuren. Maar een brand blussen kost tijd. Wat doen we in de tussentijd, als bijvoorbeeld alle elektriciteit is uitgevallen door een hack? En in hoeverre mag de overheid zich eigenlijk met onze beveiliging bemoeien?

Die vragen hebben nog niet echt een antwoord, constateert de WRR. Daar is ook een duidelijke reden voor: cybersecurity krijgt te weinig aandacht. Het feit dat de Cybersecurity Raad in 2017 al met vergelijkbare adviezen kwam, onderschrijft dat natuurlijk alleen maar.

Dat terwijl een publiek debat over digitale veiligheid juist wel nodig is. “Welke balans tussen de voor- en nadelen willen we nastreven? En als het onverhoopt misgaat, welke terugvalopties dienen er dan te zijn? Hoe lang mag een verstoring duren en wat vinden we een acceptabele hersteltijd?”

De grens over

Bij het beschermen van ons land moeten we echter ook onze ogen op de wereld buiten onze grenzen houden. Het internet heeft immers geen landsgrenzen. “Talloze incidenten tonen dat verstoringen vrijwel tegelijkertijd in meerdere landen tot ontwrichtende situaties kunnen leiden”, aldus de WRR. Een goed voorbeeld is WannaCry, dat in 2017 400.000 machines in 150 landen besmette.

De WRR dringt dan ook aan op Europese samenwerkingen. “De voorbereiding op digitale ontwrichting zal een combinatie moeten zijn van nationale maatregelen en internationale samenwerking en sturing.” Dat begint volgens de WRR met het uitwisselen van incidentdata, die ook beter benut moet worden. “En realiseer een effectieve terugkoppeling naar de betrokken partijen om het collectieve leervermogen te versterken.”

Ook de Cyber Security Raad ziet graag dat beveiliging in EU-verband wordt aangepakt. “De raad pleit in dit kader voor intensieve samenwerking met andere landen om gezamenlijk een front te vormen tegen statelijke actoren, hackers en cybercriminelen om incidenten op het vlak van cybersecurity te voorkomen.”

Het kabinet heeft in de Cybersecurity Agenda eenzelfde soort punt aangestipt. Het wil gaan onderzoeken of “aanvullende (Europese of internationale) maatregelen nodig zijn om de impact bij verstoring van de dienstverlening van een beperkt aantal buitenlandse aanbieders van digitale infrastructuur, waar veel Nederlandse organisaties van afhankelijk zijn, te beperken”. Het is echter onduidelijk of dat onderzoek al loopt.

We doen veel, maar nog niet genoeg

Uit het rapport van de WRR en de Cybersecurity Agenda van het kabinet is dus op te maken dat er in Nederland weldegelijk aandacht besteed wordt aan digitale veiligheid, maar dat het vooral nog niet genoeg is.

Het meest belangrijke is echter misschien wel dat we nooit stil mogen en kunnen staan, omdat ontwikkelingen dat ook niet doen. Een digitale brandweer moet altijd op de hoogte blijven van de dreigingen die er zijn. Een lijst met vitale infrastructuur of ketens moet up-to-date worden gemaakt als er weer nieuwe diensten en processen van onschatbaar belang ontstaan. En wat we nu acceptabele hersteltijden vinden, kan in de toekomst weer veranderen.

“Het verhogen van de cyberweerbaarheid moet meer in de pas lopen met de technologische ontwikkelingen; het tempo moet omhoog”, stelt de Cyber Security Raad dan ook.

De WRR lijkt met zijn rapport met name voor ogen te hebben dat de basis in orde is. Dat er gezorgd wordt dát er iemand is die kan helpen bij problemen, dát duidelijk is wat de hoogste prioriteit heeft en dát we weten wat de doelstellingen zijn als er toch wat gebeurd. En dan is het een kwestie van de ontwikkelingen bijbenen.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.