Cybersecuritybeeld Nederland 2021: de belangrijkste conclusies

Het Cybersecuritybeeld Nederland 2021 is glashelder: ransomware bedreigt onze staatsveiligheid. Dat is na de REvil-aanval voor iedereen wel duidelijk. Tegelijkertijd is de weerbaarheid ondermaats. Een ander recent rapport, dat van de Cybersecurityraad (CSR), schetst eenzelfde beeld. Wie de rapporten over elkaar heen legt, ziet aanknopingspunten voor actie.

Organisaties zijn voor hun IT in toenemende mate afhankelijk van partners. Steeds meer technologie is ‘as a service’ beschikbaar. Corona heeft die ontwikkeling bovendien flink versneld. Dat biedt allerlei kansen en mogelijkheden, maar brengt ook risico’s met zich mee.

Vertrouwen in de keten

We zagen in het eerste weekend van juli de schaduwkant van die afhankelijkheid. Een enkele hack van veelgebruikte software door serviceproviders zorgde bij tal van MSP’s voor een ransomwarebesmetting, waarvan uiteindelijk veel organisaties de dupe werden. Die onderlinge afhankelijkheid vraagt om een kritische houding naar ketenpartners. We moeten elkaar blijven bevragen over de staat van de security. Voldoe je niet aan de securitystandaarden? Dan doe ik geen zaken met je. Maar ook: wat is jullie beleid als het misgaat, en welke consequenties heeft dat voor mijn data?

CSR-rapport

De conclusies in het CSR-adviesrapport 'Integrale aanpak cyberweerbaarheid' vertoont opmerkelijke parallellen met die van de NCTV. Zo onderkennen beide rapporten dat de digitale veiligheid en autonomie van Nederland onder druk staan. Beide rapporten herkennen dat onder andere corona de digitalisering heeft versterkt, en dat daarmee ook de cyberrisico’s zijn gegroeid. Het CSR koppelt daar nog een extra conclusie aan vast: om dat te veranderen, moet het kabinet ingrijpen. Het CSR adviseert een overheidsinvestering in de komende kabinetsperiode van 833 miljoen euro, bovenop de huidige uitgaven en budgetten voor cyberweerbaarheid. Voor met name het mkb is financiële steun cruciaal. Security is voor een belangrijk deel risicomanagement. Niemand kan alle risico’s afdekken. Die ene aanval komt ondanks alle goede bedoelingen en investeringen ooit succesvol door de barrières, hoe gehard ook.

Financiële afweging

Security draait dus om keuzes: wat beveilig ik, en welke risico’s vind ik acceptabel? Dat risicomanagement is – zeker voor het mkb – vooral een financiële afweging: weegt deze security-investering op tegen de mogelijke gevolgschade van een hack? Te vaak is het antwoord nee. Zeker niet in een tijd waarin corona bij veel organisaties toch al een hap heeft genomen uit de budgetten. Met als gevolg dat grote risico’s blijven bestaan.

Een veiliger digitaal Nederland vraagt om inspanning van ons allemaal. Om investeringen vanuit de overheid, jazeker. Om een kritische houding naar ketenpartners. Om samenwerking tussen de publieke en private sector. Maar ook om solidariteit, om het uitwisselen van kennis. We hebben de maatschappelijke en historische plicht de rest van Europa te laten zien dat wij dit kunnen. We zijn immers een kenniseconomie, een kennisland.

Blauwdruk voor Europa

Nederland kan binnen Europa een gidsland worden. Een blauwdruk van hoe samenwerking tussen de private en publieke sector kan leiden tot een veilig cyberklimaat. En daarmee een veiligere maatschappij.

Laten we daarmee starten. Niet morgen, maar vandaag nog.

Gerelateerde artikelen