De Cyber Security Raad windt er in een recente ‘urgentieverklaring’ geen doekjes om: het komende kabinet moet fors meer investeren in cybersecurity. Extra aandacht moet onder andere gaan naar het verder verstevigen van de ‘regie op samenwerking’. Maar hoe kom je tot een betere samenwerking tussen partijen? Ook daar heeft het adviesorgaan ideeën voor.
Verwacht het onverwachte
In juli presenteerde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) een nieuw Cybersecuritybeeld Nederland. Het rapport met de titel ‘Verwacht het onverwachte’ brengt helaas geen goed nieuws. “De digitale dreiging voor Nederland is onverminderd groot en voortdurend aan verandering onderhevig”, zo staat in het rapport. “Het verkleinen van de scheefgroei tussen de digitale dreiging en de weerbaarheid blijft een grote opgave.”
Een van de bevindingen is dat statelijke actoren vaker dan voorheen cyberaanvallen gebruiken om hun politieke doelen te bereiken. Deze aanvallen kunnen bijvoorbeeld leiden tot stroomstoringen die problemen veroorzaken in sectoren zoals onderwijs en gezondheidszorg.
Ook maakt de NCTV zich zorgen over de toename van het aantal cyberaanvallen door hacktivisten die om symbolische redenen organisaties aanvallen. Voorbeelden daarvan zagen we begin dit jaar. Pro-Russische hacktivisten claimden de DDoS-aanvallen op een reeks Nederlandse ziekenhuizen. Die aanvallen waren bedoeld als vergelding voor de Nederlandse steun aan Oekraïne. Onder andere enkele websites van het Universitair Medisch Centrum Groningen (UMCG) waren meerdere dagen onbereikbaar.
Afpersing blijft voor cybercriminelen een aantrekkelijk verdienmodel, constateert de NCTV. Ze dreigen buitgemaakte informatie te publiceren als het slachtoffer niet betaalt, of gijzelen gegevens die ze in ruil voor losgeld weer vrijgeven. Daarbij krijgen ze de hulp van nieuwe technologie. Generatieve AI zoals ChatGPT maakt het ontwikkelen van malware en geloofwaardige phishingmails bijvoorbeeld eenvoudiger.
Aanzienlijke gevolgen
Volgens de Cyber Security Raad blijkt uit het beeld dat de cyberweerbaarheid van Nederland op belangrijke onderdelen nog steeds gevaar loopt. Dat kan volgens het adviesorgaan van het kabinet en het bedrijfsleven ‘aanzienlijke gevolgen’ hebben voor onze vrijheid en veiligheid, en voor ons economisch model.
Tijdens de formatie van Rutte 4 in 2021 adviseerde de raad om over een periode van 4 jaar 833 miljoen euro extra te investeren in cyberweerbaarheid. Daar kwam weinig van terecht. Het kabinet maakte minder dan de helft van de voorgestelde investeringen structureel vrij.
Dat moet de komende kabinetsperiode beter. In een urgentieverklaring roept de raad de politieke partijen op om de noodzakelijke plannen voor cyberweerbaarheid op te nemen in hun verkiezingsprogramma’s. En om in te zetten op de geadviseerde investeringen. “Alleen zo kunnen onnodige incidenten worden voorkomen en houden we onze samenleving digitaal veilig.”
Regie op samenwerking Volgens de raad moeten de extra investeringen onder andere gaan naar het versterken van onze digitale autonomie. We moeten minder afhankelijk worden van China en de Verenigde Staten, en van de grote technologiebedrijven. Ook benadrukt de raad het belang van onderwijs. Het verhogen van onze cyberweerbaarheid is alleen mogelijk als er over de volle breedte van onze maatschappij voldoende cybersecuritykennis aanwezig is.
Veel aandacht gaat in de urgentieverklaring uit naar wat de raad noemt ‘het verstevigen van de regie op samenwerking’. Die samenwerking moet ‘domein-overstijgend’ zijn. Hoe die samenwerking te bevorderen? De raad heeft voor de politieke partijen 3 aanbevelingen:
1. Voer de nationale strategie uit
In het najaar van 2022 verscheen de Nederlandse Cybersecuritystrategie (NLCS) voor de periode 2022-2028. Hierin pleit de minister van Justitie onder andere voor een ‘landelijk dekkend stelsel van cybersecuritysamenwerkingsverbanden’ dat organisaties van beveiligingsadvies voorziet. De Cyber Security Raad roept de politiek op om vast te houden aan deze strategie en vanuit een publiek-private samenwerking in te zetten op een gezamenlijke uitvoering.
2. Ga verkokering tegen
Doordat publieke en private organisaties in ketens met elkaar samenwerken, zijn systemen met elkaar verknoopt. Dat geldt zowel voor ICT- als voor industriële systemen zoals die worden gebruikt in de energiesector of bij infrastructurele projecten. Door die verbondenheid kan een cyberincident ver weg in de keten uiteindelijk ook jouw organisatie raken. Het tegengaan van dreigingen vereist samenwerking binnen de keten en het delen van kennis. De raad roept dan ook op tot het tegengaan van ‘departementale verkokering’.
3. Maak van cybersecurity chefsache
Cybersecurity moet chefsache zijn. Dat betekent dat verantwoordelijkheden worden belegd op het hoogste (politiek-bestuurlijke) niveau. Cybersecurity moet een verantwoordelijkheid zijn van de boardroom.
Samen zorgen voor veiligheid
Erno Doorenspleet, Vice President Security Strategy bij KPN Security, kan zich wel vinden in de urgentieverklaring en de nadruk die de raad legt op samenwerking. “Bedrijven en overheden zijn voor hun digitale dienstverlening in toenemende mate afhankelijk van elkaar. Een digitale inbraak bij een zakelijke partner kan betekenen dat jouw gegevens openbaar worden, en omgekeerd.”
“Het is niet langer voldoende om enkel jezelf veilig te willen houden als het om beveiliging gaat. We moeten er samen voor zorgen dat de hele keten veilig is. Voor een goede samenwerking moet je elkaar wel vertrouwen”, stelt Doorenspleet. “Tijdens afgelopen september editie van NLSecure[ID] werd er dieper in gegaan op het thema ‘Trust’ en werden er best practices voor samenwerking en veiligheid in de keten gepresenteerd."
