Beheer

Security

‘Nieuw kabinet moet meer werk maken van Cyberverdediging’

7 september 2012

Ronald Prins, directeur bij beveiliger Fox-IT

“Van groot belang is dat er een ingrijpende macht komt. Er moet een groep zijn met in elk geval mensen van de overheid erin die offensieve middelen en operationele mogelijkheden heeft.”

Prins vindt dat de overheid er voor moet zorgen dat ze de beschikking krijgt over kennis en expertise waarmee ze zelf kan optreden. “Dat moet niet alleen bij private ondernemingen zoals de onze zitten. Wat gebeurt er als die ondernemingen hun medewerking niet meer willen bieden aan de overheid?” Daarom moet de overheid veel sterker actief worden om mensen aan te nemen. “Mensen die echt achter die toetsenborden gezet kunnen worden om aan de slag te gaan.”

Prins vindt ook dat de juridische basis voor de bestrijding van cybercriminaliteit moet veranderen. “Bepaalde dingen mag je nu niet doen, waardoor je niet goed kunt ingrijpen bij cyberaanvallen. We hebben nieuwe juridische kaders nodig.”

Of het cyberleger dat nu wordt opgezet groot genoeg zal worden en of daar genoeg geld voor wordt uitgetrokken, kan Prins niet zeggen. “Het gaat er meer om dat je de goede mensen aantrekt. Dat hoeven er niet zo veel te zijn. Eenlingen weten tenslotte ook grote organisaties op hun knieën te brengen met cyberaanvallen.”

Prof. Herbert Bos, hoogleraar system & network security aan de Vrije Universiteit in Amsterdam

Of een cyberleger van dertig man groot genoeg is? “Hoeveel je er ook neerzet, het zijn er nooit genoeg om alle aanvallen tegen te houden. Maar het maakt wel uit dat je ze hebt. Het gaat erom dat er een groep is die snel kan reageren en aanvallers kan traceren.”

“Maak het cyberleger groter. Maar zorg er in elk geval voor dat het komt. Het zijn druppels op een gloeiende plaat, maar wel belangrijke druppels. Het wordt tijd dat Nederland ziet hoe afhankelijk het is van IT en hoe kwetsbaar het is. Er moet een discussie komen over wat geoorloofd is bij het aanpakken van cybercriminaliteit. Terugslaan door systemen van aanvallers plat te leggen mag nu bijna niet, maar is dat houdbaar?”

Studenten van Bos worden opgeleid in de edele kunst van het hacken. Bos beaamt dat je beter in de praktijk kunt oefenen omdat je dan dingen tegenkomt die in een lab niet gebeuren. “Maar hoe ver moet je daarin gaan? Het is heel goed als zo’n groep traint in het aanvallen van echte systemen, maar dat moet in een gecontroleerde omgeving.”

Marinus Kuivenhoven, senior ­security expert bij Sogeti

“De trend is dat de overheid op dit vlak meer doet. Maar het kan beter, zeker vergeleken met bepaalde bedrijfssectoren zoals de financiële sector. De overheid zou een voorbeeld moeten neerzetten.”

De verbeteringen moeten bij de basis beginnen: bij de manier waarop de overheid systemen laat bouwen. “Als het om IT gaat, werkt de overheid als een groep losse eilanden. Op papier wordt bij de overheid wel goed verwoord wat ze wil hebben, maar de implementatie wijkt nogal eens af door die eilanden. Zou dat worden aangepast, dan heb je al een grote slag gemaakt. Voordat je aan security denkt, moet je dat eerst verbeteren. Dan volgt de eerste slag in security bijna vanzelf.”

Beveiliging moet volledig embedded zijn in het proces, vindt hij. Een eerste vereiste hiervoor is dat de vraagstelling bij nieuwe systemen moet veranderen. “Niet: ‘wat kan een systeem’, maar ‘wat moet een systeem NIET kunnen’. En ‘welke andere functies haal je eruit?’ Dat alleen al verhoogt de kwaliteit van de veiligheid van de systemen.”

De overheid moet een voorbeeld zijn, vindt Kuivenhoven. “Maak je veilige systemen, dan straal je dat uit. Ook moet de overheid voorbeeldig zijn inde manier waarop ze met problemen op dit vlak omgaat.”

Marcel Snippe en Alfred Handgraaf van beveiliger RSA

“Er zijn nu drie duidelijke pijlers waarop het beleid rust: Defensie (dat als voorloper mag worden gezien), Economische Zaken, en opsporing en vervolging. Daarnaast staat het National Cyber Security Center dat fungeert als een spil tussen overheid en bedrijfsleven. Wat tot nu toe is geregeld, is veilig gedaan. Maar het moet veel efficiënter en handiger. Er moet nog veel meer gebeuren”, stelt Snippe. Evenals Prins van Fox-IT mist hij een centrale partij die het heft in handen kan nemen bij incidenten en snel kan ingrijpen. Snippe: “Het NCSC zal daar wel een deel van uitvoeren met feeds van de andere partijen. Maar het NCSC wordt nog opgezet en je mist nu bij aanvallen goede communicatie en verdeling van de informatie. Daar zullen nog forse bedragen in moeten worden geïnvesteerd.” Handgraaf valt hem bij. “De overheid is op de goede weg, maar moet echt afstappen van dat eilanddenken. Zorg dat je bij al die onderdelen één en hetzelfde beleid voert en weet van elkaar wat je doet. Stop met de poldergedachte dat iedereen kan doen wat hij wil en daarvoor ook nog eens de ruimte krijgt. Want dat zorgt ervoor dat je het niet goed kunt oplossen. Als iedereen maar doet wat hij wil, creëer je ingangen voor de aanvallers omdat niet alle gaten worden gedicht. Je moet een homogene oplossing hebben bij cyberaanvallen, en die krijg je zo niet.”

Wim van Campen, vicepresident van McAfee Nordics

Wat de Nederlandse overheid goed doet, is het stimuleren van internationale samenwerking, vindt Van Campen. En ook de oprichting begin dit jaar van het NCSC, waarin veel beveiligingsdiensten worden samengebracht, vindt hij van waarde. “Dan kunnen we als één stem optreden bij het aanpakken van dreigingen.”

Verbeteringen zijn ook nodig. “Voor de bescherming van kritieke infrastructuren moet de overheid een actievere rol spelen. Kijk maar naar die brug in Veere die zo makkelijk overgenomen kan worden.” Maar ook als gebruiker van IT kan de overheid beter. “Die lekke websites bij gemeenten laten zien dat daar nog erg nonchalant wordt omgesprongen met beveiliging.”

Ook moet de overheid zorgen voor een goed platform voor het uitwisselen van informatie tussen publieke en private partijen. “De overheid moet er met regelgeving voor zorgen dat er geen belemmeringen gevoeld worden om informatie te delen.”

Of het cyberleger dat nu wordt opgebouwd groot genoeg is, kan hij niet zeggen. “Het is een belangrijke eerste stap. Het laat andere landen ook zien dat je er geld in steekt. Bij internationale samenwerking kun je niet alleen maar een vragende partij zijn.”

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!