Overheid: security niet langer neerleggen bij individu

Om die toenemende cyberdreiging het hoofd te bieden is actie nodig, vinden de betrokken bewindslieden. Security-experts maar ook adviesorganen zoals de Cyber Security Raad (CSR), de Algemene Rekenkamer en de Wetenschappelijke Raad voor het Regeringsbeleid (WRR). Die - en vele andere organisaties - hebben de afgelopen jaren herhaaldelijk gewaarschuwd voor de toename van cyberdreigingen die in combinatie met de grotere maatschappelijke en economische afhankelijkheid van ICT de cyberweerbaarheid aantast en daarmee Nederland kwetsbaar maakt. Tegenmaatregelen, overheidsbeleid en honderden miljoenen euro's zijn nodig.

Vandaag is het kabinet Rutte IV met de langverwachte nationale cybersecuritystrategie gekomen, voor 2022-2028. Dit plan is gepresenteerd door minister Yeşilgöz-Zegerius (Justitie en Veiligheid en coördinerend bewindspersoon cybersecurity), samen met minister Adriaansens (Economische Zaken en Klimaat) en staatssecretaris Van Huffelen (Koninkrijksrelaties en Digitalisering). Bij deze nieuwe strategie hoort ook een actieplan met concrete acties om Nederland digitaal veiliger te maken.

'Doodlopende weg'

De betrokken bewindslieden willen meer verantwoordelijkheid neerleggen bij de overheid en bij specifieke sectoren. De nadruk op "eenzijdige verantwoordelijkheid van het individu" zien ze als "een doodlopende weg". Onder vitale sectoren vallen bijvoorbeeld de stroom- en drinkwatervoorziening. De reikwijdte van de Nederlandse cybersecuritystrategie gaat nu verder dan alleen het relatief kleine segment van vitale en kritieke sectoren. Het kabinet gaat er bij allerlei bedrijven en organisaties, waaronder ook de zorg, op aandringen meer aandacht te besteden aan cybersecurity, bijvoorbeeld door noodplannen te maken en crisisteams in te richten.

Ook scholen moeten veel meer aandacht gaan besteden aan informatiebeveiliging en privacy, bijvoorbeeld door dit te behandelen in hun jaarverslagen en door crisisoefeningen te doen. De noodzaak voor cyberoefeningen en noodscenario's is eind 2019 al eens aangestipt door de WRR. Naast kritieke bedrijven en overheidsorganisaties betreft dit ook 'gewoon' onderwijsinstellingen. Dat die organisaties een interessant doelwit voor criminelen kunnen zijn, bleek begin dit jaar bijvoorbeeld toen de Universiteit van Amsterdam en de Hogeschool van Amsterdam doelwit werden van een grote cyberaanval. Eind 2019 werd Maastricht University met zogeheten ransomware aangevallen door cybercriminelen. Daarbij heeft die universiteit er toen voor gekozen om de digitale afpersers te betalen, zodat kostbare wetenschappelijke data niet verloren zouden gaan.

Waardevol ecosysteem beter beschermen

Het kabinet wil de komende jaren onder meer investeren in mensen en systemen die "scherper zicht geven op de herkomst van dreigingen". Ook moeten meer specialisten op het gebied van cybersecurity worden opgeleid en worden diverse diensten samengevoegd tot een centrale cyberautoriteit, het Cyber Security Incident Response Team (CSIRT). Begin 2017 heeft de CSR al het dringende advies gegeven dat er een digitaal deltaplan moet komen. Het adviesorgaan luidde toen de noodklok over het (lage) niveau van cybersecurity in Nederland.

Nu gaat het huidige kabinet van premier Mark Rutte dit aanpakken. In de nationale cybersecuritystrategie wordt uitgelegd: "Het digitale ecosysteem is inmiddels zo verknoopt en complex, dat het voor individuele organisaties en personen ingewikkeld zo niet onmogelijk is om het geheel te doorgronden, terwijl juist dit ecosysteem ons moderne leven, en onze economie en samenleving als geheel mogelijk maakt."

'Vrijblijvendheid is voorbij'

"Criminelen maar ook kwaadwillende staten misbruiken deze complexiteit door zich ongezien op te houden en via digitale kwetsbaarheden onze publieke waarden aan te tasten." Ontwrichting en ondermijning van economie, maatschappij, democratie en meer in Nederland is al jaren waar experts voor waarschuwen. Het heeft enkele jaren geduurd doordat de overheid ook stappen zet op dit gebied, maar nu is dat officieel gebeurd. Het kabinet verklaart dat er wet- en regelgeving komt "die helder en toetsbaar is waardoor vrijblijvendheid voor het treffen van maatregelen verleden tijd wordt." Verder worden er in Europees verband nu eisen voor veilige hard- en software opgesteld.