Jean-Claude Juncker, de voorzitter van de Europese Commissie, zei het op 13 september 2017 als volgt: “Cyber attacks can be more dangerous to the stability of democracies and economies than guns and tanks. Cyber attacks know no borders and no one is immune.”
Beeld: Pixabay / typographyimages
De dreiging van cybercriminelen wordt steeds groter en komt uit alle hoeken van de wereld. Het is een illusie dat een organisatie of land die dreiging op eigen houtje het hoofd kan bieden. Alleen door samen te werken en operationele informatie over kwetsbaarheden, dreigingen en incidenten te delen, kunnen we werken aan volwassen cybersecurity.
Binnen de (internationale) CSIRT-gemeenschap is één aspect allesbepalend voor de wil om samen te werken: vertrouwen. Vertrouwen in elkaar als individu, vertrouwen in elkaars organisaties, vertrouwen in elkaars professionaliteit.
Dat vertrouwen groeit, dankzij grensoverschrijdende regelgeving. Op die manier gaat de samenwerking binnen ons land de laatste tijd met sprongen vooruit. Maar daarmee zijn we er nog niet. Informatiedeling en (internationale)samenwerking blijven aandachtspunten.
Om vertrouwen, (internationale) samenwerking en informatiedeling te stimuleren zijn verschillende strategieën van cruciaal belang. Ten eerste het concept van trust circles. Ten tweede zijn onderlinge afstemming van werkmethoden en IT-instrumenten en korte lijntjes tussen organisaties en specialisten absoluut noodzakelijk. Ten slotte hebben ook overheden een belangrijke rol: zij moeten informatiedelen en samenwerken wettelijk faciliteren en moeten werken aan de maatschappelijke acceptatie van informatiedeling.
Europa zoekt nadere samenwerking op cybersecurity
Faciliterende wet- en regelgeving, gecombineerd met een gedeeld begrip dat samenwerking noodzakelijk is, vormt een belangrijk startpunt. Nationale CSIRT’s werken natuurlijk al samen op basis van bi-of multilaterale afspraken. Dat gebeurt vooral ad hoc en op basis van bilaterale afspraken, veelal op basis van persoonlijk initiatief. Het ontbrak lange tijd aan een overkoepelend beleidsmatig kader om de kwaliteit en het niveau van cybersecurity binnen de EU een stimulans te geven.
In augustus 2016 nam het Europees Parlement echter een richtlijn aan: het Network and Information Security Directive (NIS). De NIS-richtlijn stelt dat EU-lidstaten dienen te beschikken over een CSIRT (Computer Security Incident Response Team) op nationaal niveau, dat is voorzien van afdoende organisatorische en operationele gereedschappen. Bovendien dienen de CSIRT’s samen te werken om cyberdreigingen te pareren. Hierbij wordt in principe geen onderscheid gemaakt tussen dreigingen op nationaal of EU-niveau. Delen van informatie zonder belemmeringen (binnen wettelijke kaders) wordt expliciet benoemd als een randvoorwaarde om internationale digitale veiligheid te bereiken.
De lidstaten hadden tot 9 mei 2018 de tijd om deze richtlijn om te zetten naar uitvoerbaar beleid ten behoeve van cyberveiligheid. Op 15 februari 2018 stuurde minister Grapperhaus van Justitie en Veiligheid het wetsvoorstel voor de nieuwe Cybersecuritywet (Csw) naar de Tweede Kamer.
Samenwerking ondanks diversiteit en heterogeniteit
Traditioneel en vanuit hun mandaat zijn nationale CSIRT’s vooral gericht op het borgen van de cyberveiligheid binnen nationale grenzen. Daarmee hebben zij zich gespecialiseerd in de cyberdreigingen die gericht zijn op de vitale sectoren, vitale processen en vitale infrastructuur in het land. Er ontstaat daardoor een zekere mate van verkokering in de informatiepositie van de verschillende nationale CSIRT’s.
Daarnaast beïnvloedt de oorsprong van een nationale CSIRT het operationeel gedrag. Het maakt in de praktijk verschil of een CSIRT is ontstaan vanuit academische context of vanuit bijvoorbeeld een inlichtingencontext. Deze heterogeniteit veroorzaakt een verschil in volwassenheid, openheid en mate van participatie in het Europese netwerk. Toch is iedereen het erover eens dat internationale samenwerking een randvoorwaarde is voor succes. Cyberdreigingen zijn immers niet gebonden aan grenzen. Op basis van gezamenlijk beschikbare informatie kan effectiever worden opgetreden.
Trust Circles
(Internationale) samenwerking en vertrouwen kan worden verankerd met Trust Circles. Deze vormen een directe vertaling van de binnen CSIRT-communities aanwezige vertrouwens- en samenwerkingsrelaties op operationeel niveau. Met trust circles kunnen CSIRT’s concreet definiëren met welke organisaties zij informatiedeling willen laten plaatsvinden en zo stap voor stap het vertrouwde netwerk uitbreiden. Iedere CSIRT heeft zijn eigen trust circles. Voor de één is dit één vertrouwde partner, voor een ander is dit een heel netwerk van samenwerkingspartners. Deze trust circles kunnen verschillen in de tijd en ook afhankelijk zijn van een actuele situatie, mogelijk zelfs incidentgedreven zijn.
(Klik op illustratie voor vergroting)
Convergerende werkwijze helpt informatiedeling
Daarnaast kan informatiedeling op basis van vertrouwen worden versterkt door kaderende mandaten en ondersteunende instrumenten. Concreet betekent dit dat een succesvolle uitvoering van de kaders van de NIS Directive is afhankelijk van binnen Europa beschikbare universele instrumenten en werkwijzen. Informatiedeling wordt dan eenvoudiger en ondersteunt zo het gezamenlijk optreden. Als je informatie over incidenten, dreigingen of zwaktes in systemen wilt delen, is het belangrijk dat je van elkaar begrijpt waar de informatie vandaan komt, wat ermee bedoeld wordt en hoe je ermee om moet gaan.
Op weg naar sterkere samenwerking in Europees verband
Op Europees niveau worden belangrijke stappen gemaakt om de digitale veiligheid te verbeteren door meer samenwerking tussen de nationale CSIRT’s. Er zijn echter nog meer mogelijkheden om de samenwerking te versterken. De effectiviteit van cybersecurity kan vergroot worden als ook private CSIRT’s en Security Operations Centers (SOC’s) van bijvoorbeeld banken, bedrijfsleven en universiteiten de samenwerking opzoeken, met elkaar en met de nationale CSIRT’s . Het is daarbij een belangrijke extra uitdaging om ervoor te zorgen dat concurrentie tussen bedrijven de digitale veiligheid niet nadelig beïnvloedt.
Binnen het cyber security domein moet zo snel mogelijk het besef groeien dat onderlinge samenwerking de samenleving veiliger maakt. Bovendien moet worden onderkend het delen van operationele securityinformatie essentieel is voor de veiligheid van onze hele samenleving. Aan de overheid ondertussen de schone taak om cybersecurity via regelgeving te faciliteren en de burger ervan te overtuigen dat informatiedeling, mits omgeven door de juiste privacykaders, essentieel is voor de veiligheid van ieder individu.
(Klik op illustratie voor vergroting)
Uit Trends in Veiligheid 2018. Geschreven door Bart van Riel, Roeland de Koning en Jasper van Buren. Dit is een verkorte versie, het gehele artikel is te vinden op de website Trendsinveiligheid.nl – videolink
Bart van Riel werkt bij Capgemini als managing consultant en enterprise architect. Bart houdt zich bezig met de afstemming van de menselijke en geautomatiseerde organisatieprocessen en het optimaliseren van business technology. Daarnaast coacht hij aspirant-architecten binnen Capgemini en in klantorganisaties.
Jasper van Buren werkt bij Capgemini Consulting en is gespecialiseerd in cybersecurity en privacy. Jasper focust zich op de bescherming van vertrouwelijke gegevens. Hij adviseert organisaties op tactisch en strategisch niveau over vraagstukken met betrekking tot (data) governance, beleid en samenwerking.
Roeland de Koning is werkzaam bij Capgemini Consulting. Roeland is gespecialiseerd in cybersecurity en crisisbeheersing. Zowel nationaal als internationaal werkt hij aan de realisatie van samenwerkingsvraagstukken op dit gebied, ‘ervaren van het probleem’ en ‘gewoon doen’ zijn daarbij de rode draad.
