‘We zíjn niet veilig. Wen eraan en leer ermee omgaan.’
Het lectoraat Cyberweerbare Organisaties van Avans Hogeschool richt zich op het digitaal weerbaarder maken van Nederland tegen een alsmaar toenemende cyberdreiging. Als het aan lector Rick van der Kleij ligt, gaat de term ‘cybersecurity’ per direct het raam uit.
Kasteel met slotgracht
‘Nu veiligheid er niet meer is.’ Zo luidt het eerste deel van de titel van de lectorale rede die Rick van der Kleij, lector Cyberweerbare Organisaties, op donderdag 8 mei zal uitspreken. Is de wereld dan ooit wèl veilig geweest? De onheilspellende titel refereert naar het klassieke denken over cyberrisico’s, zegt Van der Kleij. ‘De klassieke cybersecurity-aanpak is om een groot kasteel te bouwen met hoge muren en een diepe slotgracht. Daarmee denken we veilig te zijn tegen allerhande dreigingen, maar die aanpak is al jaren niet meer afdoende. We zíjn niet veilig.’
Ga er maar van uit dat de vijand je kasteel al binnen is en bedenk wat je nodig hebt om te herstellen van een aanval, is de boodschap. Technische beschermingsmaatregelen zijn niet meer dan de basis. De term cybersecurity mag Van der Kleij dan ook direct het raam uit. Ook de overheid prefereert tegenwoordig de term cyberweerbaarheid.
Reactie op schokgebeurtenis
Wat is weerbaarheid dan precies? Uit de lectorale rede: ‘In de kern beschrijft weerbaarheid het vermogen van een systeem, individu, of gemeenschap om te herstellen van en zich aan te passen aan verstoringen of veranderingen, zoals natuurrampen of psychologische stress.’ Van der Kleij vergelijkt weerbaarheid met een emergent fenomeen; een natuurkundig verschijnsel dat plaatsvindt door interactie van factoren. ‘Je ziet het pas als er een reactie op een schokgebeurtenis plaatsvindt. Het is dus lastig om te meten. Dat is een uitdaging, want je moet wel weten waar je staat om een hoger niveau te kunnen bereiken.’
Bouncing back better
Vier vermogens, of doelen, staan centraal bij cyberweerbaarheid: voorbereiden op een incident, reageren, herstellen en aanpassen. Dat laatste vermogen wordt volgens hem nog wel eens vergeten. ‘Als we een incident hebben meegemaakt en het is verholpen, gaan we vaak door zoals vóór die situatie. Maar er ligt een kans om te leren, om er weer beter uit te komen, om processen te optimaliseren.’ In de literatuur heet dat vermogen bouncing back better, of antifragiliteit. Ook belangrijk om te benadrukken: weerbaarheid gaat niet alleen over het vermogen om te leren van wat er fout gaat, maar ook om leren van wat er wél goed is gegaan.
De rijksoverheid heeft het begrip cyberweerbaarheid omarmd. De AIVD adviseert organisaties al enige tijd het principe assume breach te hanteren: wees erop voorbereid dat het misgaat, digitaal dan wel fysiek, en gedraag je accordingly. Toch haalde minister Van Weel van Justitie en Veiligheid zich de verontwaardiging van veel politici op de hals toen hij over de storing bij NAFIN, het glasvezelnetwerk van Defensie, zei: ‘Get used to it’. Van der Kleij schaart zich aan de zijde van de minister. ‘Natuurlijk moet de basis solide zijn, maar we kunnen niet alles veilig houden. Die garantie is er ook nooit geweest. Op de One Conference in 2024 kwam de minister met een goede toevoeging: ‘…and deal with it. We moeten meer investeren in weerbaarheid en dat kan best pijn doen, want geld kun je maar één keer uitgeven. NAFIN was heel veilig, maar niet redundant ontworpen. Op het moment dat het misgaat, is er geen manier om ergens anders op terug te vallen.’
Crowdstrike
Hij verwijst naar die andere keer dat we in Nederland een voorproefje kregen van wat een nationale cybercrisis kan aanrichten: de dag dat een mislukte software-update bij CrowdStrike wereldwijd 8,5 miljoen computers liet vastlopen. ‘Delta Airlines heeft een interessante rechtszaak aangespannen tegen CrowdStrike. Delta wil de schade vergoed krijgen, maar CrowdStrike zegt dat ze de verkeerde strategie hanteerden. Delta ging er te veel van uit dat ze de garantie hadden om veilig te kunnen werken. Ze hadden totaal geen redundantie, waren niet voorbereid dat het mis kon gaan. Ze hadden een cyberweerbaarheidsstrategie moeten volgen. Wie heeft er gelijk?’
Een groot bedrijf draait een verkeerde update en de halve wereld ligt plat. Dan is het toch wel erg makkelijk om tegen iedereen die daar last van ondervindt te zeggen: ‘wen er maar aan’? ‘Daar kun je ook wat van vinden. Had CrowdStrike die update niet meer getrapt moeten doorvoeren, in plaats van de wereld te overvallen? Aan hun kant zit ook wel wat schuld, denk ik, maar in het idee van get used to en deal with it kan ik me wel in vinden.’
Gedrag veranderen
Veel maatregelen die in de rede worden genoemd, zijn relatief simpel, zoals het regelmatig updaten van software of het implementeren van multifactorauthenticatie. Dat is in lijn met de vijf basisprincipes die het NCSC en het DTC onlangs publiceerden. Toch houden medewerkers en organisaties zich er vaak niet aan. Het lectoraat Cyberweerbare Organisaties onderzoekt wat organisaties tegenhoudt om zich veiliger digitaal te gedragen, wat er moet gebeuren om dit gedrag te veranderen en hoe organisaties dat duurzame en veilige gedrag vervolgens behouden.
Van der Kleij is psycholoog en doet veel onderzoek naar de vraag hoe organisaties weerbaarder worden, zowel bij Avans als bij TNO. Vaak richt dat onderzoek zich op het mkb. ‘Er gaapt een cyberweerbaarheidskloof tussen bedrijven die het op orde hebben en bedrijven die het nog niet op orde hebben. Hoe krijgen we die bedrijven nou richting optimale niveaus van cyberweerbaarheid? Dat is een gedragsvraagstuk.’
Het begint met achterhalen waar de belemmeringen liggen. Is het gebrek aan kennis? Veel ondernemers weten niet waar ze informatie over cyberweerbaarheid moeten zoeken. ‘Vaak zit het ook in gelegenheid,’ gaat hij verder. ‘Ze hebben de tijd of de financiële middelen niet om zich beter te beschermen. Daar zou je met subsidie wat aan kunnen doen. Of ze hebben geen sociale steun uit de omgeving. Het zit ook vaak in motivatie. Ze zien het nut of de noodzaak niet, of vinden dat het een taak voor de overheid is.’
Waarde van praktijkonderzoek
Pas als de belemmeringen in kaart zijn gebracht, kun je nadenken over goede interventies. De lector wijst op de noodzaak om onderzoek te doen naar de effecten van die interventies. Dat er wordt bezuinigd op onderwijs en onderzoek doet hem dan ook pijn. ‘Innovatie is van bewezen belang voor cyberweerbaarheid.’ Ook het feit dat gemeenten wel de verantwoordelijkheid krijgen voor cyberweerbaarheid, maar niet de middelen om er invulling aan te geven, stuit hem tegen de borst.
Enthousiaster wordt hij van het de manier waarop de rijksoverheid het idee van een cyberweerbaarheidsstrategie heeft omarmd. ‘Hoe geef je daar vervolgens richting aan? Dan zou ik toch weer de waarde van praktijkonderzoek voor het voetlicht willen brengen. De inzichten die wij opdoen uit effectmetingen, kunnen ze gebruiken om te bepalen met welke interventies ze de cyberweerbaarheid kunnen optimaliseren.’
Lees ook:
