Pas op voor symbolisch overheidsbeleid in het cyberdomein, waarschuwen Jelle Groenendaal en Ira Helsloot. Een meer kader stellende overheid kan de cyberweerbaarheid van Nederland zeker verhogen. Echter, meer druk om tot detailregelgeving en een digitale brandweer te komen kan, zo weten we van andere domeinen, mogelijk leiden cyberonveiligheid.
Jelle Groenendaal en Ira Helsloot
Al geruime tijd wordt er door verschillende deskundigen in het cyberdomein gepleit voor een zwaardere rol van de rijksoverheid in de aanpak van cyberonveiligheid. Jelle Groenendaal en Ira Helsloot, werkzaam bij Crisisab, beschrijven aan de hand van bestaande inzichten vier valkuilen voor de overheid en bieden per valkuil een alternatief.
Valkuil #1: Snel en breed opleggen van normen en specifieke maatregelen in wet- en regelgeving
De Wetenschappelijke Raad voor het Regeringsbeleid (WRR) stelt in haar rapport Voorbereiden op digitale ontwrichting van eind 2019 dat de rijksoverheid meer centrale normen zou moeten stellen ten aanzien van cyberbeveiliging. En dat niet alleen voor vitale bedrijven maar breder, want de raad constateert dat een cyberaanval op niet-vitale organisaties door keteneffecten uiteindelijk ook een ontwrichtende werking kan hebben op de vitale infrastructuur. Kortom, de klassieke risico-regelreflex (RRR): aandacht voor een risico betekent dat meteen om extra regelgeving wordt gevraagd, zonder na te gaan of de maatregelen effectief en proportioneel zijn.
Vanuit praktisch en wetenschappelijk oogpunt nog veel onbekend over de effectiviteit van beveiligingsmaatregelen.
Het snel en breed voorschrijven van extra normen en specifieke veiligheidsmaatregelen is om meerdere redenen af te raden. Ten eerste hangt het vaak van de specifieke context van een organisatie af wat effectieve beveiligingsmaatregelen zijn. De operatie en technologie van een drinkwaterbedrijf zijn niet te vergelijken met die van een financiële instelling of een luchtverkeersleider. Ten tweede is er vanuit praktisch en wetenschappelijk oogpunt nog veel onbekend over de effectiviteit van beveiligingsmaatregelen. Het gevaar bestaat dat er beveiligingsmaatregelen worden opgelegd waarvan de effectiviteit onduidelijk is of die niet passen bij de specifieke context van een organisatie.
De meest verstandige maatregel tegen de RRR is bescheidenheid en een goed doordracht plan. Voordat de overheid besluit tot welke maatregel dan ook moet er voldoende kennis zijn om een kosten-baten analyse te maken.
Valkuil #2: Aanstellen van een minister van Digitale Zaken
In mei 2021 bracht de Raad voor het Openbaar Bestuur (ROB) het advies Sturen of gestuurd worden uit. In dit rapport stelt de ROB dat de overheid burgers beter moet beschermen tegen digitale dreigingen en constateert het dat er te weinig kennis is bij politici, waardoor de democratische controle tekortschiet. De ROB pleit daarom onder andere voor een minister van Digitale Zaken.
Echter, zoals de ROB zelf overigens ook vaststelt, zijn de eerdere ervaringen met zogeheten projectministers (dat wil zeggen een minister zonder een portefeuille en die geen leidinggeeft aan een departement) niet louter positief.
Je moet overheidsbreed de juiste ‘specs’ kunnen formuleren voor aanbesteding en (extern) beheer van ICT-systemen.
De Cyber Security Raad (CSR) biedt in haar adviesrapport Integrale Aanpak Cyberweerbaarheid van april 2021 een beter alternatief door een praktische suggestie te geven hoe meer regie op samenwerking tussen departementen bewerkstelligd kan worden. De CSR stelt: “Cyberweerbaarheid is chefsache, er dient daarom op het juiste niveau richting aan gegeven te worden. Daartoe dient er in het nieuwe kabinet een ministeriële onderraad digitale zaken te worden ingesteld, waar cyberweerbaarheid integraal aan de orde wordt gesteld. De ambtelijke ondersteuning vindt plaats via de instelling van een op te richten interdepartementaal strategische overlegkoepel cyberweerbaarheid.”
Overigens is het volgens ons verstandig dat de overheid zelf eerst haar eigen cyberweerbaarheid op orde gaat brengen voordat zij naar anderen kijkt (zie valkuil #1). Onderdeel van het kijken naar de eigen overheidskwetsbaarheid is ook het overheidsbreed kunnen formuleren van de juiste ‘specs’ voor aanbesteding en (extern) beheer van ICT-systemen.
Valkuil #3: Oprichten van een digitale overheidsbrandweer
In het eerdergenoemde rapport van de WRR impliceert de raad dat de overheid over capaciteiten moet beschikken om een ‘digitale brand’ meester te kunnen worden. Echter, zo stelt de raad, is de verantwoordelijkheidsverdeling bij ‘digitale’ branden vooralsnog onhelder en ontbreekt een opschalingsmechanisme.
Dit voorstel is gebaseerd op een veel te simpele metafoor. Zoals Michel van Eeten betoogt in zijn Van Slingelandt-lezing is een IT-crisis niet te vergelijken met een grote brand. “Een brand is een goed begrepen een tamelijk homogeen fenomeen. Je kunt altijd een extra spuit gebruiken, belendende panden nathouden of speciale blusmiddelen inzetten. Maar een IT-crisis is geen brand. Sterker nog, de ene IT-crisis is de andere niet. Je kunt niet een bataljon nerds naar binnen rijden die de boel even komen oplossen.”
De overheid doet er beter aan om de aanwas van nieuw IT-security talent te bevorderen.
Het voorstel van de WRR gaat bovendien voorbij aan de huidige realiteit: er is al de nodige responsecapaciteit, namelijk commerciële aanbieders van incident response (IR) diensten die organisaties bijstaan met expertise en extra handjes. Die responscapaciteit loopt van de lokale dienstverlener voor het mkb tot de bekende grotere spelers voor grote problemen bij grote organisaties. Daarnaast hebben veel grotere organisaties al eigen (interne) responsecapaciteit ontwikkeld (denk aan CERTs of CIRTs). In plaats van te concurreren met deze responscapaciteit doet de overheid er beter aan om bijvoorbeeld de aanwas van nieuw IT-security talent te bevorderen en mechanismen te ontwikkelen die de kwaliteit van bestaande responsecapaciteit waarborgen.
Valkuil #4: Verzekeraars (en anderen) verbieden om losgeld te betalen
Recentelijk werd bekend dat het ministerie van Justitie en Veiligheid laat onderzoeken hoe het ervoor kan zorgen dat minder losgeld wordt betaald aan criminelen die computersystemen platleggen. Hierbij wordt volgens het ministerie onderzocht of het vergoeden van losgeld door verzekeraars verboden kan worden. Eerder al schreven diverse hoogleraren verbonden aan de “Academic Cyber Security Society (ACCSS) een open brief”;https://accss.nl/node/27947/ waarin zij organisaties oproepen om geen losgeld te betalen bij ransomware aanvallen. Ook het ACCSS stelt voor dat verzekeraars in plaats van het losgeld de afwikkeling van het IT-incident gaan vergoeden, zoals de kosten voor de opbouw van de IT-infrastructuur en herstel van data.
Dit advies is veel te makkelijk: moeten mensenlevens in een ziekenhuis of het levenswerk van een kleine ondernemer op het spel worden gezet als een nieuwe achterdeur in veelgebruikte software door criminelen is ontdekt? Dat zal niemand werkelijk vinden. Wetgeving die dan een onderscheid maakt tussen wel/geen losgeld betalen bij wel/geen verwijtbaarheid gaat onwerkbaar zijn.
Een beter alternatief voor het verbieden van losgeldbetaling omvat het stimuleren van preventieve maatregelen waardoor (de impact van) ransomware-aanvallen beperkt worden. Wij denken dat de overheid zou kunnen inzetten op het verhogen van de aangiftebereidheid en de kennis die dat oplevert breed te verspreiden.
Tot slot: een bekende oplossingsrichting
Wij geloven erg in kaderstelling door een zorgplicht voor aanbieders van informatiesystemen zoals inmiddels ook geregeld is in de Wet beveiliging netwerk en informatiesystemen (Wbni) voor ‘vitale’ organisaties. Net als bij bijvoorbeeld het vervoer van gevaarlijke stoffen kan een verplicht verzekerde risicoaansprakelijkheid ervoor zorgen dat er een commerciële markt ontstaat van private beveiligingsbedrijven die in opdracht van verzekeraars potentieel kwetsbare bedrijven toetsen.
De WRR heeft daar weinig fiducie in. Zij schrijft dat de huidige zorgplicht die in de Wet beveiliging netwerk en informatiesystemen (Wbni) voor ‘vitale’ organisaties geldt te vrijblijvend is met als gevolg dat deze organisaties verschillend zijn voorbereid op digitale ontwrichting. De vraag die de WRR niet stelt of beantwoordt is waarom het erg is dat organisaties verschillend zijn voorbereid. Het geloof in uniformiteit hoeft niet beargumenteerd te worden. Het is volgens ons daarom beter dat organisaties zelf de ruimte houden om naar eigen inzicht en dat van hun verzekeraar te bepalen hoe zij aan de zorgplicht van de Wbni willen voldoen. Dat zal leiden tot (kosten-) effectieve beveiligingsmaatregelen die passen bij de specifieke context van de organisatie.
Jelle Groenendaal is adviseur risico- en crisismanagement bij Crisislab en Ira Helsoot is hoogleraar Besturen van Veiligheid aan de Radboud Universiteit Nijmegen.
Dit artikel werd eerder gepubliceerd op Platform O