Cybersecuritywet: uitvoerbaar?

Het lijkt een kwestie van tijd voor onze intelligente koelkast zichzelf vult met ongeautoriseerde bestellingen of onze zelfrijdende auto ons op verzoek van een hacker tegen een boom parkeert.

Het vervelende van dat soort verhalen is dat het ons aan de ene kant angst aanjaagt, en aan de andere kant afstompt, apathisch maakt. Alle spookverhalen ten spijt gaan de IT-ontwikkelingen nog steeds volle kracht vooruit en omdat we nauwelijks kunnen bevatten wat dat ons allemaal gaat brengen, staren we ons blind op allerhande doemscenario’s. Het gevolg is dat er veel wordt gepraat, maar schrikbarend weinig gebeurt.

Deels komt dat doordat we focussen op de verkeerde dingen. We maken ons druk om de relatief onschuldige dreiging van hackers die zich toegang verschaffen tot slimme meters en online koffiepotten, terwijl onze bedrijven en organisaties zo lek zijn als mandjes. We praten over afschrik wekken en digitale vergelding, terwijl we de meest basale beveiligingsmaatregelen nog niet eens op orde hebben.

Discussies

Het beveiligingsniveau van de meeste bedrijven, maar ook onze industrie en vitale infrastructuur (nutsbedrijven, bruggen of sluizen) is nog steeds te laag. Het overgrote deel van de Nederlandse bedrijven heeft nog steeds niet zorgvuldig in kaart gebracht welke processen, systemen en apparaten er allemaal in de organisatie worden gebruikt, waar alle data zich bevinden, hoe de datastromen lopen en wie op welke manier toegang krijgt tot al die informatie. Laat staan dat ze dit alles permanent controleren op verdacht of ongewenst gedrag. We blijven hangen in discussies over preventie, terwijl we het met zijn allen zouden moeten hebben over detectie en remediation, of zelfs het voorkomen van aanvallen.

Grapperhaus

Het is goed dat minister Grapperhaus onlangs een kabinetsbrede Nederlandse Cybersecurity Agenda heeft gepresenteerd. Maar het succes van zo’n agenda staat of valt bij de uitvoerbaarheid en vooral de effectiviteit van de voorgestelde maatregelen. De huidige agenda geeft een goede beschrijving van waar we met zijn allen naartoe moeten, maar schrijft niet voor hoe we daar moeten komen. Dat is jammer, want dat wordt een complex traject waar Nederlandse organisaties zeker nog begeleiding bij nodig zullen hebben.

Het kabinet kijkt bijvoorbeeld naar standaarden en certificeringen die de veiligheid van soft- en hardware moeten garanderen. Dat is heel verstandig, maar tegelijk ook een uitdaging. Voor cybersecurity is security by design bijvoorbeeld niet voldoende: met iedere patch en update kan een product van aard veranderen. Met name in safetygereguleerde sectoren brengt dit serieuze uitdagingen met zich mee. Bovendien staat de IT-wereld niet stil. De vraag hoe je de waarde van een certificering gedurende de hele levenscyclus van een product kunt garanderen, is nog niet beantwoord.

Specialistisch

Daar komt nog bij dat we, naast de te certificeren producten, in toenemende mate te maken krijgen met securityservices. De kennis van cybersecurity is zo specialistisch geworden, en de beschikbare specialisten zo schaars en duur, dat steeds meer bedrijven aangewezen zijn op externe experts en services om de veiligheid van de organisatie te garanderen. Maar gaan we de kwaliteit van die dienstverlening op waarde schatten? Frankrijk heeft een speciaal bureau voor de veiligheid van informatiesystemen (ANSSI) dat een veiligheidskeurmerk (PDIS) uitgeeft voor partijen die cybersecuritydetectiediensten leveren. In Nederland zijn we nog lang niet zo ver.

De stappen die nu genomen moeten worden om de digitale veiligheid van ons land naar een hoger niveau te krijgen, moeten vooral snel, realistisch en pragmatisch zijn. Wat we nodig hebben is een solide basisniveau van cybersecurity. Pas als we dat hebben, kunnen we bouwen aan een cybersecuritymodel dat aan de ene kant een goed functionerende digitale samenleving mogelijk maakt, en aan de andere kant in staat is pogingen tot misbruik snel te detecteren en op een effectieve manier te stoppen vóórdat er grote (economische) schade optreedt. De nieuwe cybersecuritywet en de agenda spreken daarover goede intenties uit, maar schrijven weinig voor over hoe we die intenties in de praktijk moeten brengen.

Model

Het enige wat minister Grapperhaus hoeft te doen om daar stappen in te nemen, is even langs gaan bij zijn collega van Defensie. Voor zulke praktische eisen bestaat namelijk al een model: de Algemene Eisen voor Defensieopdrachten (ABDO). Er staat de overheid weinig in de weg om dezelfde eisen die we nu al stellen aan leveranciers die zakendoen met Defensie, uit te breiden naar andere overheden en kritieke infrastructuren.

Het idee dat Nederland zich op korte termijn digitaal kan meten met de Russen, Amerikanen, Chinezen en Noord-Koreanen, moeten we misschien maar even loslaten. Het zou al heel wat zijn als het Nederland lukt een cybersecuritybeleid te voeren dat gelijke tred houdt met de ons omringende landen. Nederland moet daarvoor snel een minimaal basisniveau van cybersecurity weten te realiseren. De zwakste broeders in de unie zijn de aantrekkelijkste prooien voor cybercrime.