Cybersecurity zit sinds ‘DigiNotar’ bij bestuurders wel tussen de oren, maar ze zijn nog te reactief, incidentgedreven en gericht op de eigen organisatie. Ze zouden van de nood ook een deugd kunnen maken, zo bleek op het symposium ‘De toegevoegde waarde van cybersecurity’ van iBestuur en Capgemini.
Onze afhankelijkheid van informatiesystemen stijgt, het aantal kwetsbaarheden daarin blijft gelijk en de mogelijkheden van hackers om die kwetsbaarheden uit te buiten worden groter. Organisaties ondernemen wel meer actie, maar de impact van mogelijke beveiligingsincidenten neemt ook toe. Wil van Gemert, directeur van het Nationaal Cyber Security Centrum, somt op het symposium de punten uit het ‘actuele dreigingsbeeld’ feilloos op. “Maar we moeten nog steeds van bewust naar bekwaam”, zo parafraseert hij de laatste versie van de Nationale Cyber Security Strategie. Waaruit die bekwaamheid dan bestaat? Bestuurders zullen zo snel geen antwoord hebben.
Businesscase
Ad Reuijl, directeur van het Centrum Informatiebeveiliging en Privacybescherming (CIP), waarin ZBO’s en private partijen samenwerken, toont zich pragmatisch en ziet het propageren van cybersecurity als een voorzichtig salestraject in de richting van de bestuurders. “DigiNotar gaf een schok, maar je zou planmatiger met die zaken bezig moeten zijn. Is het businesscasedenken dan een manier om het tastbaar te maken? Bij ICT zelf is dat wel gebruikelijk, maar bij informatiebeveiliging wordt het al gauw te technisch voor bestuurders.” Reuijl pleit ervoor informatiebeveiliging voor het gemak te presenteren als een kwaliteitsaspect van ICT – en als vaste kostencomponent daarvan – en het ICT-project zelf te gebruiken om het aan de man te brengen. Dat maakt bijvoorbeeld ‘security by design’ en ‘privacy impact assessments’ mogelijk zonder dat die zaken afzonderlijk moeten worden afgekaart. “De businesscase van ICT zelf wordt negatiever, maar wel eerlijker.”
Proactief worden
Dat voorkomt wellicht het doorschuiven van de informatieveiligheidsproblematiek, maar haalt het nog niet uit de sfeer van ‘iets wat de IT-afdeling moet oppakken’. “Het gaat om omgaan met risico’s en dat is meer dan techniek alleen”, zegt Douwe Leguit van de Taskforce Bestuur en Informatieveiligheid Dienstverlening (BID). De ‘verplichtende zelfregulering’ die de taskforce aan de man brengt moet ertoe leiden dat overheidsorganisaties zich volop bewust worden van hun risico’s. “Het besef moet doordringen dat informatisering een kernactiviteit is geworden van organisaties.” Hij noemt de DigiD-assessments en het SZW-rapport over de gebrekkige beveiliging van informatie in de Suwi-keten als voorbeelden. “We moeten van reactief naar proactief. Nu is het vaak: ‘we hebben een probleem’.”
‘Airbags bouw je niet achteraf in’
Minder reactief zijn is mooi, maar voor Kees Birkhoff, directeur publieke sector van Capgemini, gaan de stellingnames van zijn collegasprekers eigenlijk niet ver genoeg: die gaan te veel uit van de dreigingen in plaats van de kansen.
Je kunt beveiligingsproblemen ten eerste voor zijn met nieuwe producten en diensten. “Daarmee creëer je niet alleen nieuwe vormen van dienstverlening, maar je kunt nieuwe producten ook veel makkelijker cybersecure maken. Waar vaak securityproblemen ontstaan is bij oude omgevingen die worden vernieuwd. Als je oude applicaties ter beschikking gaat stellen aan het publiek heb je altijd de securityvraag. Toen ze werden ontworpen hadden we niet de dreigingen die we nu hebben. Als de burger bij de Belastingdienst zelf toeslagen kan aanvragen via internet en ook meer informatie krijgt, kun je die omgeving gelijk veiliger maken.”
Cybersecure zijn kun je daarnaast ook in je bedrijfsfilosofie verankeren. “Je kunt wel iedere keer incidentgericht werken, maar je zou er eigenlijk van uit moeten gaan dat die dreiging er altijd zal zijn en daarmee rekening houden in je bedrijfsfilosofie. Dus niet défensief, maar óffensief cybersecure zijn. Dan kun je jezelf erúit vernieuwen en jezelf veel beter organiseren voor de kansen.”
“Kijk bijvoorbeeld naar de Google-bril. Ik denk dat dat een levensgroot securityvraagstuk is. Het is natuurlijk een productvernieuwing, maar aan de andere kant snijdt Google meteen het hele ethische vraagstuk aan: wat kun je met die informatie en wat zie je dan de hele dag van andere mensen? Ze openen gelijk een nieuw venster qua governance en ethiek, dat in feite de voorsprong kan geven voor nieuwe productinnovaties.”De wendbaarheid – ook van de overheid die vaak nieuwe wetten (met nieuwe beveiligingsaspecten) moet uitvoeren – neemt bij een dergelijke ‘security-by-design’ toe. “Als je het in je strategie incorporeert, zal een bedreiging veel eerder ontdekt worden en op een wendbare manier aangepakt kunnen worden. Je kunt makkelijker anticiperen, maar bij product- of dienstenvernieuwing kun je er ook omheen manoeuvreren. Je hoeft het niet alleen te verslaan of aan te pakken, maar misschien doet het zich helemaal niet voor.”
Birkhoff heeft een mooie metafoor: “Als je airbags in een auto ‘af fabriek’ bestelt, kost je dat niet veel meer en iedereen vindt het inmiddels logisch dat ze erin zitten. Maar als je achteraf airbags moet inbouwen moet je de auto voor veel geld verbouwen en de vraag is nog steeds of het wel gaat werken.”