Nederland moet ook voor het kennisintensieve bedrijfsleven een uitwisselingsinfrastructuur opbouwen voor cybersecurityinformatie. Daarbij kan een voorbeeld worden genomen aan de VS, het Verenigd Koninkrijk of Duitsland. Minister Kamp onderschrijft de conclusies van TNO.
De minister van Economische Zaken stuurde de Tweede Kamer gisteren het rapportje ‘Verkenning Cybersecurity Informatiedeling binnen de Topsectoren’ van TNO. De opdracht daartoe kwam na het nogal alarmerende rapport ‘Cyber Security Beeld Nederland 2016’ van de Cyber Security Raad en het rapport ‘Nederland digitaal droge voeten’ dat PostNL-bestuursvoorzitter Herna Verhagen in opdracht van diezelfde raad schreef over de economische en maatschappelijke noodzaak van cybersecurity.
Beide rapporten kregen aanvankelijk weinig aandacht. Pas recent – met de uitbraak van het WannaCry-virus – gingen de alarmbellen af. De CSR en Verhagen bepleitten vooral investering van meer geld, maar minister Kamp en Veiligheid & Justitie wilden niet zomaar een zak duiten fourneren.
De verkenning richtte zich gericht op de volgende vier vragen:
• Is er behoefte aan een infrastructuur voor het delen van cybersecurity-informatie voor de topsectoren in Nederland?
• Zo ja, is de bestaande topsectorenstructuur een geschikte vorm, of is er iets anders nodig?
• Is het Information Sharing & Analysis Centre (ISAC)-model dat voor overheid en vitale infrastructuur wordt gebruikt een geschikt model?
• Welke good practices zijn er in het buitenland die passen op de Nederlandse situatie en hoe zouden deze in de Nederlandse situatie toegepast kunnen worden?
De conclusie luidt dat er behoefte is om cybersecurity-informatie te delen binnen de topsectoren om innovatie beter te beschermen tegen spionage en andere cyberaanvallen. ‘Niet alleen wordt intellectueel eigendom gestolen, ook de continuïteit van onze digitale samenleving wordt bedreigd en daarmee de economische kansen voor de toekomst.’
Op dit moment is cybersecurity nog onvoldoende belegd in de topsectoren. Het onderzoek maakt duidelijk dat de bedrijven digitaal weerbaar gemaakt kunnen worden als collectief zoals ze zijn georganiseerd in hun topsector maar ook via brancheorganisaties, ketens en regionale of thematische verbanden. Zo moet een dekkend netwerk van organisaties ontstaan dat informatie over cybersecurity-dreigingen en -oplossingen kan uitwisselen.
Er is ook een overkoepelend model nodig voor samenwerking, vergelijkbaar met ISAC bij de vitale infrastructuur. Bij de opzet van een dergelijk Nederlands model kan gebruik worden gemaakt van good practices uit het buitenland: Verenigde Staten (ISAO), Verenigd Koninkrijk (CiSP) en Duitsland (Alliance for Cybersecurity).