Cybersecurity in Nederland: wat moet er gebeuren?

Cybercriminaliteit vormt een ernstige bedreiging voor onze welvaart. Het is de hoogste tijd voor actie. Maar hoe kunnen we Nederland beter beschermen tegen digitale verstoringen? In het magazine Cyber Security Perspectives vertellen Nederlandse securityexperts wat er volgens hen moet veranderen.

Dit jaarlijkse magazine, uitgegeven door KPN Security, schetst de belangrijkste ontwikkelingen op het gebied van cybersecurity aan de hand van interviews met securityexperts. Zij delen hun ervaringen uit de praktijk en reiken best practices voor IT-beveiliging aan. De interviews gaan over uiteenlopende securityonderwerpen: van mkb-security en de vitale infrastructuur tot redteaming en forensische data-analyse. De rode draad is het gezamenlijk verbeteren van de digitale weerbaarheid van Nederland.

In de nieuwe editie van Cyber Security Perspectives doen verschillende experts suggesties om het securityniveau van Nederland te verhogen. We lichten er vijf uit:

Veilige omgeving voor delen incidentinformatie

Petra Oldengarm, directeur van Cyberveilig Nederland, wil dat de overheid de uitwisseling van informatie over cyberincidenten beter faciliteert. “We hebben in Nederland geen voorzieningen om op een structurele wijze incidentinformatie veilig vast te leggen. De overheid zou hierin het voortouw moeten nemen. Bijvoorbeeld met een veilige, afgeschermde omgeving waar alleen relevante partijen toegang toe hebben.”

Als voorbeeld noemt Oldengarm de vliegtuigindustrie. Daar bestaat sinds jaar en dag een database waarin alle informatie rondom vliegincidenten nauwgezet wordt bijgehouden. “Zoiets zou er ook voor cyberincidenten moeten komen. Je zou met een paar experts moeten uitzoeken welke informatie zinvol is om te bewaren, waar nodig anonimiseren en deze op een goede manier moeten structureren en openstellen.”

Eigen CERT voor de energiesector

De energiesector loopt voorop in het uitwisselen van dreigingsinformatie. Toch kunnen energiebedrijven nog beter samenwerken op het gebied van cybersecurity, vinden Justin Broeders, CISO van Eneco en Mauriche Kroos, Manager Information Security & Data Protection Team bij Enexis Groep.  Zij pleiten onder andere voor de oprichting van een Computer Emergency Response Team (CERT) voor de energiesector. 

“De informatie-uitwisseling hebben we prima op orde”, stelt Kroos. “Maar met een eigen CERT zou je nog een stap kunnen zetten in de onderlinge samenwerking.” Broeders: “Vanuit een CERT zou je bijvoorbeeld gezamenlijke redteamingacties kunnen opzetten door de hele keten heen. Een CERT kan ook dreigingsinformatie snel combineren en verspreiden, of ondersteunen bij de respons. Daar heeft iedereen profijt van.”

Wettelijke minimale eisen aan security

Meerdere experts pleiten voor wettelijke minimale eisen aan security. “Ik vind het redelijk asociaal dat sommige bedrijven wel volop mee willen in de digitalisering, maar weigeren te investeren in cybersecurity”, zegt Dimitri van Zantvliet, CISO van NS. Paul Slootmaker, verantwoordelijk voor Cybersecurity Risk Monitoring & Reporting binnen KPN, wijst erop dat cyberaanvallen steeds vaker via de supplychain lopen. “We moeten de gehele keten beter beveiligen. Blijkbaar lukt dat alleen met regelgeving.”

Ook Irma Jepma, directeur Strategy, Sourcing, Cybersecurity & Change bij Coöperatie VGZ, zou het goed vinden als de regering minimale securityeisen definieert, controleert én handhaaft. Maar of dat nu ook gaat gebeuren? “Cybersecurity verdient een eigen ministerie. In plaats daarvan hebben we nu een staatssecretaris voor Koninkrijksrelaties en Digitalisering. Zo belangrijk vindt de regering het blijkbaar nog niet.”

Securityexpertise bundelen

Er is een groot tekort aan securityexperts. Mark Snel, de CISO van Signify, vindt dat we in Nederland efficiënter om moeten gaan met menselijk kapitaal. “De grote Nederlandse bedrijven investeren miljoenen in securityprofessionals. Kunnen we hen niet laten samenwerken om de hele bv Nederland veilig te houden? Nu bouwt ieder bedrijf zijn eigen securityteam op, terwijl dreigingen steeds vaker via de keten binnenkomen.”

“Die versnippering van expertise zie je ook bij de overheid. Het Team High Tech Crime, het NCSC, het DTC, de AIVD en de MIVD hebben allemaal hun eigen taak.” Volgens Snel moet cybersecurity meer als een publiek belang worden gezien waar iedereen een bijdrage aan levert. “Alleen als we de krachten bundelen en veel meer kennis delen, liefst in Europees verband, kunnen we voor een relatief veilig internet zorgen.”

Securityonderwijs voor niet-securityprofessionals

Erwin van Eijk, hoofd van de divisie Digitale en Biometrische Sporen bij het NFI, wil dat cybersecurity in het onderwijs veel meer aandacht krijgt. “Kijk naar een opleiding als Psychologie. Het vak statistiek is daar redelijk standaard, maar hoe je privacy en security inregelt helemaal niet. Terwijl psychologen continu met bijzondere persoonsgegevens werken. Daar moeten we als samenleving echt mee aan de bak.”

“Het wordt tijd dat we als maatschappij vorm gaan geven aan het security-onderwijs voor niet-securityprofessionals”, aldus Van Eijk. “De omgang met security en privacy moet deel gaan uitmaken van het basiscurriculum. We kunnen namelijk nooit voldoende securityprofessionals opleiden om iedereen te helpen. Net zoals we niet op ieder kruispunt een politieagent kunnen neerzetten die toeziet op de veiligheid.”

Gratis voor iedereen

KPN Security ziet het als zijn maatschappelijke plicht om organisaties te informeren over de belangrijkste ontwikkelingen op het gebied van cybersecurity. Daarom is Cyber Security Perspectives gratis beschikbaar voor iedereen.

Download magazine

Wil jij weten wat er speelt in de wereld van cybersecurity? Meld je dan nu aan voor de september editie van NLSecure[ID].

Gerelateerde artikelen