Innovatie & Strategie

Security
richting

Nationale cybersecuritystrategie: op weg naar aanpak oorzaken

Lof op overheidsplannen, die misschien toch niet ver genoeg gaan.

17 oktober 2022

Lof op overheidsplannen, die misschien toch niet ver genoeg gaan.

De nieuwe nationale cybersecuritystrategie van Nederland krijgt lof en kanttekeningen van experts. De strategie verschuift focus van symptoombestrijding naar het aanpakken van oorzaken voor cybercrime, onveiligheid en andere kwesties die ICT-security aantasten of ronduit bedreigen. Maar het gaat sommigen nog niet ver genoeg daarin.

Dave Maasland, directeur van securityleverancier ESET, zegt positief verrast te zijn. “De kern van het verhaal is dat we toe moeten werken naar een systeemverandering. We moeten dingen écht anders aanpakken.” Liesbeth Holterman van Cyberveilig Nederland zegt dat het gelukkig niet alleen meer om cyberweerbaarheid gaat. “Daar was ik vooraf wat bang voor”, geeft ze toe. “Maar er is ook oog voor de bron van digitale dreigingen.”

Heilige huisjes omver

Maasland zegt dat de nieuwe overheidsstrategie het aandurft om bepaalde heilige huisjes omver te schoppen. “Zoals jullie zelf al schreven: de eeuwige focus op awareness, we moeten naar een digitaal veilig ecosysteem. En dat bereiken we niet door continu te benadrukken dat je niet op linkjes mag klikken - het internet werkt dankzij vreemde links.”

“Dit plan durft te zeggen: we hebben een snelweg, maak er gebruik van, je zou niet continu af moeten vragen of de vangrails wel sterk genoeg zijn of dat de stoplichten het wel doen.” Die bredere en meer volwassen benadering krijgt ook lof van andere experts. “Ja, we geraken uit de puberteit”, haakt Northwave-CEO Steve Dondorp aan op zijn eerdere inschatting over de cybersecurityplannen van de overheid.

Hij vertelt aan AG Connect dat het logisch lijkt om ontwikkeling telkens maar te zoeken in ‘meer’, maar dat volwassen doorontwikkeling juist moet zitten in keuzes, gebaseerd op ervaring. Zo’n focus “geeft een betere kwaliteit van leven”. Voor dat beter beveiligde leven (en werken) in de digitale wereld ziet Dondorp vier grote actuele ontwikkelingen in het landschap van cyberdreigingen. Deze bedreigen de economie, maar ook Nederland in bredere zin.

Vier digitale dreigingen

Ten eerste het huidige probleem van ransomware, waarvan Dondorp denkt dat het op de langere termijn kan verdwijnen of vervangen worden door een andere, grotere dreiging. Ten tweede het opkomende probleem van statelijke actoren als aanvallers. “En cybercriminelen die steeds meer massaal professionaliseren, krachtig gaan samenwerken, schaalbaarder worden.”

Ten derde het probleem van verschuivende cyberaanvalsvlakken. Die gaan van pure IT-aanvallen op computersystemen nu ook naar gemengde aanvallen op OT-omgevingen (operationele technologie, zoals voor infrastructuur en in fabrieken), geeft Dondorp aan. Sabotage is daarbij een krachtig middel.

Holterman van Cyberveilig Nederland noemt OT ook aan in haar reactie aan AG Connect. Zij ziet dat de overheid dit aanpakt, door het feit dat er in de cybersecuritystrategie input van en taken voor andere ministeries zijn. “OCW moet echt aan de bak, maar ook SZW, EZK, BZK, BuZa, I&W”, somt ze de diverse ministeries op. Cybersecurity is nu in 2022 “niet meer alleen een JenV-feestje”.

In Dondorps opsomming van digitale dreigingen is nummer vier nog een aparte. Deze is het ‘probleem’ dat niet alleen Nederland nu uit de pubertijd komt qua cybersecurity. “Heel Europa wordt ook steeds volwassener. Europese wetgeving op het gebied van Cybersecurity en Privacy wordt steeds duidelijker, kaderstellender en minder vrijblijvend.”

Niet beperkt tot Nederland

Dat laatste lijkt geen dreiging te zijn - in ieder geval niet in de traditionele zin van cybergevaren - maar het zal wel veel organisaties raken. Op dit gebied ziet de CEO van securityleverancier Northwave wat tekortkomingen in de nationale cybersecuritystrategie. “In de plannen van de Rijksoverheid zie ik bijvoorbeeld nog niet een directe koppeling op de Europese ontwikkelingen.” Hij geeft aan dat zijn bedrijf de securityproblemen en -uitdagingen van klanten over heel Europa ziet. Het valt dus niet te beperken tot Nederland alleen, zo betoogt de topman.

“Zaken als de NIS2-uitkristallisering gaan zeer grote impact hebben op ineens een zeer groot deel van het bedrijfsleven en organisaties in heel Europa en dus ook in Nederland.” De meeste van de organisaties die daardoor geraakt gaan worden, zijn zich nog helemaal niet bewust van die securityrichtlijn (NIB2 in het Nederlands), stelt hij. “Het zou mooi zijn geweest als de overheid in haar plannen daar op had voorgesorteerd om daar een functie in te hebben. Of bepaalde acties daarin wat had gestroomlijnd tot meerdere vliegen in één klap.”

Later bijstellen

Dondorp uit nog wel begrip voor deze nationaal gerichte blik. Die komt mogelijk ook voort uit de koppelingen met jaarlijkse rapportages van Nederlandse instanties als het NCSC (Nationaal Cyber Security Centrum) en de NCTV (Nationaal Coördinator Terrorismebestrijding en Veiligheid) en met bijvoorbeeld het Nationale Dreigingsbeeld. “Daardoor kunnen ontwikkelingen soms pas wat later volgen in dit soort beleidsstukken [op nationaal niveau - red.].”

Hij spreekt de verwachting uit dat de plannen nog updates krijgen, aangezien ze toch min of meer een levend document zijn. “Zoals het ook moet zijn in goed securitymanagement met continue PDCA-cyclus [Plan, Do, Check en Act - red.]. Dus ook voor een overheid.” Al met al spreekt Dondorp van “een vrij consequent beleid wat betreft structuur tot wat de overheid op dit moment heeft uitgebracht”.

‘Hier zijn keuzes gemaakt’

Op hoofdlijnen is ook Holterman van Cyberveilig Nederland positief gestemd. “Overall vind ik het heel goed dat we nu een strategie hebben. En niet een agenda, zoals vorige keer”, reageert Holterman. Het door haar aangestipte verschil tussen ‘strategie’ en ‘agenda’ lijkt op het eerste oog misschien slechts een woordenkwestie, maar het heeft wel degelijk impact.

De agenda die de Nederlandse overheid voorheen had voor wat betreft cybersecurity “was wat vrijblijvend”. Holterman trekt de vergelijking met “een menukaart van twintig pagina’s waar altijd wel wat voor je bijzit”. Dat is nu niet meer het geval, wat volgens haar nu de grote winst is. “Hier zijn keuzes gemaakt.”

Bovendien is er bij die keuzes niet alleen sprake van prioriteiten, maar daarbij ook van financiële onderbouwing ervoor. “Het is nog niet genoeg”, merkt Holterman gelijk op, “Maar het is in ieder geval meer.” Dat sentiment over ‘eindelijk serieus geld’ - zij het nog niet afdoende volgens onderbouwde rapporten - is eerder al geuit door security-experts. Dat was in reactie op de Miljoenennota 2023, toen de cybersecuritystrategie zelf nog niet was geopenbaard.

Meer crisissen te managen

Holterman nuanceert nu het ‘budgetgebrek’ met de opmerking dat het kabinet kampt met meer crisissen, waar het prioriteiten aan toekent. Naast de dreigende en mogelijk al sluimerend spelende cybersecuritycrisis staan nog de stikstofcrisis, de energiecrisis en meer. Over de gemaakte keuzes in de cybersecuritystrategie valt natuurlijk te discussiëren, maar er zijn nu tenminste keuzes gemaakt. “Je kunt daar wat van vinden”, erkent Holterman.

Dondorp gaat hier in mee. “Ik hoor mijn collega cyberspecialisten wel eens zeggen dat ze het nog niet ambitieus en concreet genoeg vinden en van alles missen. Maar daar ben ik het maar gedeeltelijk mee eens. Je moet namelijk ook een keuze maken in je beleid en je op een aantal zaken focussen wil je het goed kunnen uitvoeren.”

Fundamenten aanpakken?

Een voorbeeld daarvan waar ESET-directeur Maasland zegt zeer blij over te zijn is het hanteren van één document aan basismaatregelen. Dat fundament is dan iets “waar we het met iedereen in de industrie over eens zijn”. Hij ziet juist een goede integratie met de NIB2-richtlijn en is verheugd dat daarvoor al in 2023 een awareness campagne wordt opgezet.

Holterman is nog niet gelijk overtuigd van de ‘basis van security’, omdat er nog geen duidelijke definitie is. En wordt die wel periodiek, bijvoorbeeld elk jaar, herijkt? “Lopen de maatregelen nog wel in de pas met de dreigingen?” Maar grosso modo is ook Holterman positief gestemd over de nieuwe cybersecuritystrategie van Nederland.

Nog niet naar de bron

Het is namelijk niet meer domweg ‘zakkenrollers oppakken’ maar kijkt nu wat verder; naar omstandigheden en gelegenheid voor cybercrime. De blik gaat echter nog niet zo ver dat er ook gekeken wordt naar fundamentele oorzaken, zoals zeg maar het ontstaan van zakkenrollers. Daar spelen dan bredere, maatschappelijke en ook geopolitieke thema’s mee, zoals armoede, opleiding, ethiek, (cyber)diplomatie en meer.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.