De beveiliging bij de Belastingdienst was mogelijk jarenlang niet op orde. Diefstal en verlies van persoonlijke en financiële gegevens zijn niet uitgesloten. Na tal van incidenten moeten we ons de vraag stellen: onderschatten we in Nederland de gevolgen van cybercrime?
Zembla ontdekte dat de gegevens van 11 miljoen belastingbetalers en 2 miljoen bedrijven tussen 2013 en 2016 onvoldoende waren beveiligd. Het televisieprogramma baseert zich op anonieme verklaringen van medewerkers en meer dan honderd documenten en e-mails. De leiding van de Belastingdienst werd er al in maart 2015 op gewezen dat maatregelen nodig waren. Die werden helaas niet genomen. De Autoriteit Persoonsgegevens heeft een onderzoek aangekondigd.
Het digitale gevaar is allesbehalve nieuw, en dat is ook zo wrang. Al vanaf het allereerste moment dat malware en hackers ten tonele verschenen, werden we gewaarschuwd voor de gevaren van cyberdreigingen. Security-adviezen en best practices zijn volop beschikbaar voor iedereen, op ieder niveau en voor iedere branche. Hoe kan het dan gebeuren dat we nog steeds dagelijks geconfronteerd worden met de gevolgen van nalatigheid en onwetendheid?
Hardleers
Het effect van alle adviezen en waarschuwingen blijft vooralsnog uit. De mens is hardleers, zoals wel blijkt uit de volgende praktijkvoorbeelden:
- Te makkelijke wachtwoorden
We blijven massaal vasthouden aan slechte gewoonten en onvoorzichtig gedrag. Verreweg de meeste accounts wereldwijd zijn ‘beveiligd’ met het haast aandoenlijke wachtwoord ‘123456’.
- Veelgebruikte wachtwoorden De helft van de 10 miljoen onderzochte wachtwoorden komt voor in de top-25.
- Geen wijzigingen doorvoeren Door een aantal grote hacks liggen de LinkedIn-accountgegevens van miljoenen gebruikers op straat. Toch blijven wachtwoorden massaal ongewijzigd en zijn daarmee eenvoudig te misbruiken.
- Phishing en ransomware Ondanks alle waarschuwingen blijkt phishing nog altijd een effectief inbraakgereedschap. Die onvoorzichtigheid is een belangrijke oorzaak voor de opkomst van ransomware.
- Gebrek aan authenticatie Tweefactorauthenticatie is nog lang geen wereldwijde standaard voor accountbeveiliging. Via social engineering verleiden hackers dagelijks mensen tot het geven van gevoelige informatie. Daarnaast worden digitale identiteiten onvoldoende beschermd.
Incidenten voor het oprapen
Onlangs werden de socialmediakanalen van enkele politici gehackt omdat ze hetzelfde wachtwoord voor meerdere accounts gebruikten. Het gevolg? Cyberincidenten knagen nog altijd aan de Nederlandse economie. Een jaarlijkse hap ter grootte van 10 miljard euro.
Dat commerciële organisaties met hoge kosten te maken krijgen, is een groot probleem. Maar kunnen we het Nederlanders uitleggen als het de staatskas raakt? Het is bovendien lastig verdedigbaar dat de overheid aan de ene kant een meldplicht instelt bij datalekken, maar zelf regelmatig misstappen maakt. Recent bleek dat de helft van het aantal datalekken bij Nederlandse gemeenten niet wordt gemeld bij de Autoriteit Persoonsgegevens.
Overigens komt onveilig gedrag lang niet altijd voort uit onwetendheid of onkunde. Gemakzucht en kostenoverwegingen winnen het te vaak van securitybewustzijn. Die balans moet gaan veranderen. De risico’s ervan zijn simpelweg te groot geworden.
Ernst dringt door
Volgens oud-minister Van der Steur wordt met man en macht gewerkt om hackers bij de komende verkiezingen te weren. Zal diezelfde bevlogenheid overslaan op zijn opvolger Stef Blok en andere politici? Ik hoop dat dit vergrote bewustzijn daadwerkelijk iets verandert in de dagelijkse omgang met digitale voorzieningen.
D66 riep onlangs op om alle Kamerleden verplicht een spoedcursus cybersecurity te laten volgen. Dat is een goed idee. Het is niet meer te verantwoorden dat door onnodige fouten onder meer gevoelige informatie op straat komt te liggen. Zo'n stoomcursus zou voor alle overheidsmedewerkers welkom zijn, maar deze moet verder gaan dan alleen het vergroten van de theoretische kennis. Een stoomcursus is hoe dan ook een goed middel om het kennisniveau en het securitybewustzijn een oppepper te geven.
Zo’n spoedcursus zou verplichte kost moeten zijn voor iedereen die met kritieke systemen en gevoelige digitale informatie in aanraking komt. Dat is een kwestie van logica en verantwoordelijkheidsgevoel: je laat immers een Boeing ook niet besturen door een buschauffeur. De huidige situatie in cybersecurityland vraagt daarom.
Ik spoor graag alle overheidsmedewerkers aan om een crashcourse security awareness te volgen. Leer daarbij van de praktijklessen die organisaties in de loop der jaren hebben opgedaan, zoals ook wij doen. Vrijwel dagelijks worden we geconfronteerd met incidenten en we leren daar continu van. Dat is uiteindelijk cruciaal: zet een crisis om in een voordeel, zet negatieve ervaringen om in maatregelen en pas deze toe. Theoretische kennis verstopt in het achterhoofd houdt hackers niet op afstand.
