Het gat in onze cyberverdediging

Maar voor individuele bedrijven en overheidsorganisaties blijft de prikkel voor bedrijven om zich tegen statelijke actoren te verdedigen beperkt, want directe schade is meestal gering of zelfs afwezig, in tegenstelling tot beveiliging tegen cybercrime zoals ransomware. Een solide businesscase ontbreekt en dat vraagt dringend om een andere aanpak van onze digitale verdediging.

In de fysieke wereld is het duidelijk. Daar wordt oorlog gevoerd met fysieke middelen: raketten, drones, tanks, etc. Voor de verdediging van ons fysieke territorium hebben we onze reguliere defensie. In de digitale wereld is er geen grondgebied en ligt de verdediging van onze digitale samenleving bij onze bedrijven en overheidsorganisaties. Zij doen dat ook, maar tot op zekere hoogte, ingegeven door financiële en reputatierisico’s en door wetgeving. Hierbij zijn bedrijfseconomische overwegingen bepalend: wat kan en mag er uitgegeven worden aan de verdediging tegen de risico’s die de desbetreffende organisatie denkt te lopen.

De aanvallen van statelijke actoren zijn echter van een heel andere orde dan die van reguliere cybercriminelen. Direct financieel gewin is niet het doel (Noord-Korea is een uitzondering), het gaat om spionage, manipulatie en het voorbereiden van sabotage. Voor staten zijn dat strategische, langetermijndoelen die niet direct gevoeld worden door de aangevallen organisatie. Economische cyberspionage is daar een duidelijk voorbeeld van: de bedrijfsvoering wordt niet verstoord terwijl intellectueel eigendom ongemerkt wordt weggesluisd. Pas op termijn blijkt de economische positie ondermijnd.

Aanvallen van statelijke actoren zijn geavanceerder en veel moelijker te detecteren dan bijvoorbeeld ransomware-aanvallen. De verdediging is ook veel geavanceerder en kost daardoor veel meer inspanning en geld. Dit in combinatie met het geen (directe) schade ondervinden, is er voor individuele organisaties geen business driver om zich tegen statelijke actoren te verdedigen. Er is immers geen (verondersteld) risico, of hooguit een acceptabel risico, althans voor de organisatie in kwestie. Tussen het digitale risico voor individuele organisaties en het risico waartegen we ons op nationaal niveau moeten verdedigen gaapt een gat dat steeds groter wordt.

Dit gat moet nu zo snel mogelijk worden opgevuld. Gezien de hierboven beschreven problematiek is een veel hechtere samenwerking tussen overheid en bedrijven de aangewezen weg om het gat te dichten. Het gaat hier uitdrukkelijk om het tot stand brengen van een aanvullende beveiligingslaag bovenop de reguliere cybersecurity - de basisbeveiliging - waarvoor de organisatie zelf verantwoordelijk is en blijft. Dit is de basisbeveiliging waarvan de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) zegt dat die eerst op orde moet zijn voordat er nagedacht kan worden over geavanceerdere beveiliging.

Voor die verdediging moet de overheid een duidelijke rol spelen, in het bijzonder onze inlichtingendiensten. Zij beschikken over diepgaande kennis van statelijke dreigingsactoren: hun motivaties, hun keuze van doelwitten en de manieren waarop zij opereren. De ondersteuning die organisaties nu nodig hebben is tweeledig. Enerzijds moeten zij hun risicopositie beter begrijpen: welke statelijke actoren hen mogelijk als doelwit zien en welke beveiligingsmaatregelen dan effectief zijn. Anderzijds kunnen deze maatregelen voor individuele organisaties te kostbaar zijn, maar vanuit nationaal perspectief noodzakelijk zijn. Op de kosten komen we verderop terug.

Een voorbeeld is een zogeheten ‘compromise assessment’ om vast te stellen of een organisatie slachtoffer is geworden van een aanval door een statelijke actor. Individuele organisaties investeren hier zelden zelf in, maar met overheidssteun levert zo’n onderzoek niet alleen inzicht op in hun eigen beveiligingssituatie, maar krijgt de overheid ook een veel completer beeld van de reikwijdte van statelijke cyberaanvallen en daarmee de kwetsbaarheid van ons nationale digitale landschap.

Daarnaast kan de overheid op grotere schaal het delen van dreigingsinformatie bevorderen. In Polen is daarvan een goed voorbeeld te zien. Daar stimuleert de overheid organisaties om opener te zijn over cyberincidenten en wordt (geanonimiseerde) dreigingsinformatie direct via centraal gecoördineerde kanalen gedeeld. Hierdoor leren organisaties sneller van elkaars ervaringen en kunnen zij zich beter beschermen tegen de cyberagressie vanuit Rusland.

Dan nog het geld. Dat is er, want binnen EU-verband stijgt het defensiebudget flink, waarvan een deel naar cybersecurity kan gaan. Voor de verdediging van onze digitale wereld tegen statelijke actoren zijn de basisvoorwaarden dus aanwezig: kennis en geld. Nu nog de (politieke) wil om beide effectief in te zetten om het gat te dichten en onze weerbaarheid op het noodzakelijke peil te brengen.