‘Cybersecurity moet weg van IT’

Cybersecurity krijgt veel aandacht in de IT-branche, maar het grote publiek wordt nauwelijks warm van online inbraken, ransomware en identiteitsdiefstallen. Het onderwerp is niet sexy, terwijl de dreiging met de dag groter wordt. Bewustzijn kweken bij zowel publiek als bedrijfsleven lijkt dé remedie om cybersecurity een boost te geven. Of moet er gewoon een ministerie van ICT komen?

Tijdens ExpertsOn Cybersecurity, een event bij Yellow Communications in Hoofddorp, kwamen verschillende security-experts eind februari bij elkaar om de uitdagingen rond dit onderwerp te bespreken. Waarom is er buiten de IT-branche schijnbaar weinig aandacht voor cybersecurity en hoe kunnen we bijvoorbeeld het groeiende aantal ransomware-aanvallen afweren? Cybersecurity in vijf stellingen.

Dataverlies interesseert jongeren nauwelijks

Vooral jongeren lijken weinig waarde te hechten aan data, en daarmee aan databeveiliging, meent Jeroen van der Meer, CTO Solvinity: “Data en foto’s hebben weinig zeggingskracht voor hen. Dat ze duizenden foto’s en bestanden kwijt kunnen raken door op het verkeerde mailtje te klikken, interesseert ze niets.” Voor een deel wijdt Van der Meer dat aan gebrek aan gevoel voor de onderliggende techniek. Harde schijven, clouds en andere technologie waarover data zich beweegt, hebben voor de jeugd een hoog abstractieniveau. “Wij, de experts, spreken over IT, maar de meeste mensen voelen de connectie met technologie niet meer. Of je een app aanschaft of een wasmachine maakt voor hen geen verschil.”

Dat leidt wellicht ook tot een gevoel van defaitisme: het idee dat er toch niets aan te doen is. Deels wordt dat gevoed door de securitybranche zelf. De realiteit dat er ‘vroeg of laat bij je wordt ingebroken, welke beveiliging je ook hebt’, en dat geen enkele beveiliging honderd procent veiligheid garandeert, helpt niet om gebruikers alerter te maken.

René van Buuren, directeur Cybersecurity bij Thales Nederland, erkent dat, maar gelooft niet dat de kous daarmee af is: “Hetzelfde geldt voor onze huizen, en toch heeft iedereen een slot op de voordeur om een drempel voor inbrekers op te werpen. Ik geloof ook dat inbraken blijven komen, maar je kunt er wel degelijk iets tegen doen.” Wat Van Buuren betreft hebben we zelfs een morele verplichting om ons te verzetten tegen cybercrime: “Als je je niet verdedigt, ben je mede verantwoordelijk voor de ellende om je heen.”

Voor Peter Duin, van de Zeehavenpolitie Rotterdam-Rijnmond, is dat gegeven uitgangspunt in de discussie over cyber resilience: de weerbaarheid moet omhoog, en dat begint wat hem betreft bij onderwijs. “Educatie is belangrijk en dat moet goedkoper worden dan die dure opleidingen die er nu zijn. In het reguliere onderwijs moeten we veel meer mensen opleiden in dit veld.”

Andreas van Wingerden, Regional Manager Systems Engineering bij Citrix, ziet daarin zelfs een taak voor het bedrijfsleven: “Ik geef zelf om die reden gastcolleges op scholen, om kinderen voor te bereiden op wat er speelt.”

Om cybersecurity op de kaart te zetten, moet er eerst een ramp gebeuren

René van Buuren, Directeur Cybersecurity bij Thales Nederland

Het verbaast de experts dat een hack tegenwoordig meer als vermaak dan als probleem wordt gezien. Recent kreeg het filmpje van Patricia Paay veel aandacht, maar er komen al jaren blootfoto’s van beroemdheden in het nieuws. Van der Meer vreest dat ook hier de pijn te ver afstaat van het publiek. “Ik ben bang dat er eerst een flinke ramp moet gebeuren, voordat er fundamenteel iets verandert.” Van Wingerden: “Maar zijn we niet al zover? Er zijn al zelfmoordgevallen omdat mensen via cyberaanvallen werden gechanteerd. Nu is het Patricia Paay, maar daarachter zit een grote groep slachtoffers.”

Van Buuren verbaast zich ook over de vervlakking in ons beeld van wat een dreiging is: “Het feit dat we nu miljoenen moeten uitgeven om de boel beheersbaar te houden is ook een ramp.” Van der Meer: “Een paar jaar geleden zagen we die DDoS-aanvallen op de banken en op DigiD. Dat was iets om je zorgen over te maken. En het was zo simpel: op het darkweb bestellen jongens voor een paar euro zo’n aanval. Men vond dat dit moest stoppen. Maar toen het geld ging kosten, haakten velen af.”

Jeroen van der Meer, CTO bij Solvinity

Heeft de security-industrie zelf bijgedragen aan de lethargische en sceptische houding richting security? Niemand in het gezelschap ontkent dat de security-industrie zijn geld verdient aan deze dreiging. Maar andersom is het ook goed dat de maatschappij zich realiseert dat commerciële partijen, meer nog dan de overheid die vaak noodgedwongen trager werkt, onze belangrijkste verdedigingslinie vormen.

De meeste kennis en expertise wordt noodgedwongen opgedaan in de praktijk, waardoor de beste specialisten die we nu hebben over het algemeen bij commerciële partijen werken. “We realiseren ons niet dat de IT-industrie nog maar vijftig, zestig jaar oud is”, meent Van der Meer. We zitten nog maar in de beginfase. Huizen en bruggen bouwen doen we al duizenden jaren, maar in de ICT weten we nog nauwelijks waar we mee bezig zijn.” Wellicht dat inderdaad een virtuele dijkdoorbraak nodig is voor gebruikers, overheid en commercie bereid zijn tot een gezamenlijke aanpak.

Datalekken en criminaliteit moet van de schaamte af

Een andere mogelijke oorzaak voor de dubbelzinnige houding rond cybersecurity is de schaamtecultuur die is ontstaan. Bedrijven, maar ook individuele slachtoffers, worden door de maatschappij vaak als schuldigen afgeschilderd. Gevolg is dat, de meldplicht datalekken ten spijt, vanuit het bedrijfsleven nauwelijks wordt gecommuniceerd over cyberaanvallen of datalekken. Dat is jammer, want op die manier maken we elkaar niets wijzer.

Van Buuren: “Er is zoveel schaamte. LinkedIn wordt gehackt, en dat horen we vijf jaar later pas. Waarom is dat? Waarom mogen we de lessen van zo’n hack niet horen?” Duin: “In Rotterdam, in de haven, bouwen we met publieke en private partijen een netwerk. We communiceren veel om iedereen op de hoogte te houden en organiseren ook lezingen en workshops. Het gaat over bewustzijn en educatie, dat doen we ook op scholen. Als er een poging tot inbraak is, dan zitten daar zo vijf lessons learned in.” Dergelijke initiatieven, die erop gericht zijn informatie te delen en cybersecurity veel meer gezamenlijk tegemoet te treden, zijn volgens alle experts cruciaal voor een succesvolle aanpak.

In het volgende kabinet moet een ministerie van ICT komen

Nederland heeft al decennia een ministerie van Landbouw. Zou een ministerie van ICT niet veel relevanter zijn? De IT-kennis binnen de politiek, laat staan de kennis van cybersecurity, lijkt bedroevend laag. Zou een apart ministerie dat veranderen, of onderschatten we de aanwezige kennis en overschatten we de slagkracht van de overheid?

Andreas van Wingerden, Regional Manager Systems Engineering bij Citrix

Van Wingerden: “Vergis je niet: bij de overheid gebeurt al veel. Datastromen worden daar steeds beter gestroomlijnd. Ook de politie werkt steeds efficiënter. Maar als we voor ICT een apart ministerie gaan maken, dan voorspel ik jarenlang gekonkel over wie daar de baas mag zijn. De shared services en datacentra van de overheid die er nu zijn, worden ook niet verzorgd door politici. Het Rijk heeft al een CTO en een CIO. Het organigram ligt er wel, daar ligt het niet aan.”

De experts wijzen erop dat het populaire beeld vaak gaat over de kennis van IT in de Tweede Kamer, “maar die Kamer is een ander instrument dan de Rijksoverheid”, zegt Van Wingerden. Overigens menen de experts dat in de Tweede Kamer wel degelijk mensen met kennis rondlopen. “Maar dit gaat om zaken die ons niet direct raken”, meent Van Wingerden. “Mensen aan de onderkant van de samenleving krijgen niet méér te eten als cybersecurity wordt aangepakt. Cybersecurity is niet populistisch genoeg om te agenderen, blijkbaar.”

Het MKB loopt ernstig achter

Volgens de experts moet een onderneming realistisch gezien tussen de acht en de twaalf procent van de omzet inzetten om de eigen systemen te beveiligen. Een bedrag waar de meeste ondernemingen niet in de buurt komen, zeker het MKB niet. Uit het Nationaal Ondernemers Onderzoek (Synpact, 2016) blijkt dat de helft van de MKB’ers nog steeds niet zit te wachten op de cloud. Velen hobbyen nog altijd zelf met IT en onderhoud, terwijl veel ondernemers in die groep geld zijn kwijtgeraakt door ransomware.

Van der Meer: “Bij MKB’ers ligt de vraagprijs bij ransomware rond de 8000 euro; genoeg om er iets aan te verdienen, en te weinig voor de ondernemer om dure specialisten in te huren. Het is een bewuste psychologische drempel.”

Volgens Van Wingerden maken we alleen kans als mensen op jonge leeftijd bewust worden gemaakt van de risico’s. “Fabrikanten hebben daar een rol in. Trainingen moeten betaalbaar worden, ook voor kleine ondernemers.” Bovendien, meent Van Wingerden: “Security moet weg bij de IT-afdeling. Daar heeft het te lang stil gezeten. IT heeft geprobeerd te controleren wat mensen wel en niet mogen.”

Van Buuren beaamt dat de discussie over geld moeilijk blijft. “Maar niemand is erbij geholpen als we wachten tot het fout gaat. Ook daarom is het belangrijk dat er meer openheid komt, dat er samenwerking wordt gezocht en dat we meer informatie delen.” Laten zien waar de risico’s liggen, maar ook wat de oplossingen zijn: als dat ook buiten de IT bij een organisatie tussen de oren komt, volgen de budgetten vanzelf. Voorlichting helpt wel degelijk.

Rob Roelofs is journalist

One Response to ‘Cybersecurity moet weg van IT’

  1. Eelko Jansen schreef:

    Onderwijs wordt hierboven wel genoemd, maar dan in de zin van opleiden in het werkveld. Cyberhygiëne hoort bij de vorming van jonge mensen in het basis- en beroepsonderwijs. Je kunt nu niet verwachten dat kinderen die van school komen cybersecurity en privacy hoog in het vaandel hebben. Zeker niet als ze al vanuit de luier te volgen zijn op de facebookpagina van paps en mams, als hun hele peutertijd in een makkelijk te hacken peuterdagverblijfvolgsysteem fotografisch is vereeuwigd, als scholen de leerling die niet op de facebookpagina van school mag van zijn ouders als een lastig geval wordt bestempeld, en erger nog…zichzelf als een lastig geval ziet. Begin bij de bron, er is een nieuwe zee van technologische mogelijkheden, nu moeten we allemaal leren zwemmen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *