Waar is de burger in de cybersecuritystrategie?
Burgers worden in toenemende mate slachtoffer van nieuwe vormen van cyberaanvallen. De nieuwe Nederlandse cybersecuritystrategie 2022-28 (NLCS) is op papier ambitieus. Zo wil ons kabinet dat ‘digitale veiligheid voor iedereen een vanzelfsprekendheid’ is. Dat is het nu absoluut nog niet.
Niemand spreekt op verjaardagen over digitale veiligheid, terwijl het gesprek wel vaak gaat over fysieke veiligheid, zoals de nieuwste camerabewaking voor woningen. We kennen allemaal de commercials van aanbieders van alarmsystemen en slimme deurbellen. Cybersecurity daarentegen wordt door de meeste burgers nog steeds niet ervaren als een actuele dreiging. En al helemaal niet als een dreiging waar de burger zelf ook invloed op heeft. Dat moet veranderen.
Recent betoogde ik in Het Financiële Dagblad samen met Volt Tweede Kamerlid Marieke Koekoek dat de burger meer betrokken moet worden bij de Nederlandse cybersecuritystrategie. Het artikel deed veel stof opwaaien bij belangenorganisaties, de verantwoordelijke overheidsorganisaties en de Tweede Kamer.
Het is een feit dat burgers in toenemende mate slachtoffer worden van nieuwe vormen van cyberaanvallen, zoals ransomware (gijzelsoftware) en WhatsApp-fraude. Neem het voorbeeld van de oplichters die zich voordoen als een bekende en via WhatsApp geld aftroggelen. Maar ook mkb’ers ontdekken steeds vaker dat hun hele digitale werkinfrastructuur gegijzeld wordt en dat zij slechts in ruil voor veel geld aan de gijzeling kunnen ontsnappen. Ook (semi-)overheidsorganisaties worden getroffen. De gemeenten Buren en Hof van Twente, de Universiteit Maastricht en NWO: alle werden slachtoffer van een ransomware-aanval. Gelukkig zijn er ook lichtpuntjes: de Universiteit Maastricht kreeg het betaalde losgeld uiteindelijk met winst terug dankzij de gestegen bitcoinprijs. Helaas is over het algemeen gezien de kans dat de daders ooit gepakt worden klein.
Maar gijzelsoftware kenden we bij de opstelling van de vorige cybersecuritystrategie – in 2012 — nog nauwelijks. Logisch dus dat de nieuwe Nederlandse cybersecuritystrategie een antwoord wil geven op het veranderende dreigingslandschap.
Technologisch burgerschap
Koekkoek en ik stelden ons de vraag hoe goed dat antwoord kan zijn wanneer de burger niet er niet bij betrokken wordt. De strategie kwam namelijk tot stand na jaren publiek-private samenwerking; tussen overheid en belangenorganisaties van voornamelijk bedrijven. We stelden dat het oprichten van een belangenorganisatie dus de enige manier is voor burgers om hun stem direct te laten horen in de Nederlandse polder. Zo kunnen burgers in een vroege fase van de beleidsvorming suggesties en kritiek geven. Dat werkt altijd beter dan het geven van commentaar achteraf.
Het Rathenau Instituut omschrijft het betrekken van burgers bij digitale kansen en risico’s als ‘technologisch burgerschap’. Die notie van betrokken technologisch burgerschap ontbreekt in de NLCS. De NLCS ademt een sfeer van techneuten en experts die gewend zijn het te regelen voor de burger. De NLCS is dus paternalistisch.
Maar wat is de praktische relevantie voor beleidsmakers en cyberexperts van dit pleidooi voor betrokken burgerschap? Het antwoord is dat overheidsmedewerkers ook burgers zijn en als zodanig gebruiker zijn van IT-systemen en cybersecuritymaatregelen. Als die burgers in een vroege fase input geven op de de Nederlandse cybersecuritystrategie, kunnen zij dat als gebruikers geven op de cybersecuritymaatregelen in de eigen organisatie. Maar de gebruiker wordt op dit moment nauwelijks betrokken bij de beweegredenen achter een cybersecuritystrategie, uitzonderingen daargelaten. Daardoor zijn zij zich nog lang niet altijd even bewust van de cyberrisico’s van hun gedrag. En hun bewustzijn en betrokkenheid zijn essentieel zolang zij nog vaak de zwakste schakel zijn. In andere woorden: bij de koffieautomaat van een willekeurige overheidsorganisatie wordt er te weinig gesproken over cybersecurity. Dat moet veranderen.
Niets mis met intentie
Nog te veel en te vaak wordt het cybersecuritybeleid in een organisatie ingericht door een onzichtbaar clubje experts. Die experts storten vervolgens allerlei maatregelen, van awarenesscampagnes tot e-learnings over hun medewerkers uit. Met de intentie is natuurlijk niets mis. Bovendien moeten we onze cyberexperts koesteren, want zij doen belangrijk werk en er is een groot tekort aan hun expertise. Maar kennisuitwisseling tussen experts en eindgebruikers is noodzakelijk. En dat werkt twee kanten op. Een Vlaamse universiteit introduceerde onlangs een cryptografische oplossing voor studenten om in te loggen op de universitaire systemen voor het volgen van colleges, het bekijken van roosters en het lenen van boeken. De bedenkers van het systeem waren overtuigd van hun oplossing, want studenten hoefden geen ingewikkelde wachtwoorden meer te onthouden en te maken. Alleen een simpele QR-code scannen met hun telefoon was genoeg. De gebruikers (in dit geval de studenten) waren helaas minder te spreken over de oplossing. Zij laten namelijk als vorm van ‘self control’ in groten getale hun telefoon thuis. Omdat ze weten dat zij anders volledig afgeleid worden door social media als TikTok, Twitter en Instagram. De cybersecuritymaatregel werkte dus niet.
Maak cybersecurity zichtbaar
Maar hoe betrek je de gebruiker dan? Het antwoord begint bij zichtbaarheid. Treed naar buiten als cyberexpert of cyberleidinggevende. Vertel wat je drijft om de organisatie cyberveiliger te maken. Als een eindgebruiker zijn of haar CISO kent (of denkt te kennen) dan neem je sneller iets van hem/haar aan. Met het betrekken van de gebruiker creëer je bovendien cybersecurity-ambassadeurs. Er is een groot tekort aan personeel en ambassadeurs kunnen werk uit handen nemen van de experts die nu al overvol zitten.
Treed dus op in webinars, talkshows, kennissessies, klankbordgroepen, schrijf artikelen en maak leuke en leerzame content met praktische handvatten. Dat werkt aantoonbaar. Onlangs organiseerde ik in samenwerking met het ministerie van Infrastructuur en Waterstaat een intern communicatieproject op het gebied van cybersecurity. Dit onder de noemer: maak cybersecurity aantrekkelijk voor de hele organisatie en toeleveranciers en zorg voor educatie en empowerment. We bedachten een tv-format genaamd ‘De CyberSecurityBooster’. Een informatieve en interactieve talkshow die de aandacht vasthoudt. Het bleek een succesvolle en efficiënte manier om de cyberboodschap onder alle medewerkers van het ministerie (en de aanpalende organisaties) te verspreiden. In 2023 komen er nieuwe afleveringen en ook andere organisaties zijn geïnteresseerd.
Discussie aangaan
Waar kun je het dan met gebruikers over hebben? Gebruikers kunnen binnen organisaties meepraten over de prijs die ze bereid zijn te betalen voor digitale veiligheid. In termen van investeringen, maar ook in termen van vrijheden en gebruiksgemak die ze daarvoor mogelijk opgeven en hoe ze dat dan doen. Daar had de eerder genoemde Vlaamse universiteit vast veel aan gehad. Ook minder technologisch bewuste gebruikers binnen organisaties kunnen een bijdrage leveren. Door te delen welke problemen ze tegenkomen bij de uitvoering van cybersecuritybeleid. In dat kader zou het ook goed zijn als in de Cyber Security Raad (CSR), ons nationale adviesorgaan voor cybersecurity, ook een vertegenwoordiger van burgers dan wel eindgebruikers zit voor cybersecurityoplossingen. Nu bestaat deze raad alleen uit experts uit wetenschap, overheid en bedrijfsleven.
De Nederlandse cybersecuritystrategie mag dus meer concrete handvatten geven om de discussie aan te gaan over ten koste van wat we cybersecurity willen (geld, gebruiksgemak, privacy). Juist met de burger en gebruiker. Beslissers en experts op het gebied van cybersecurity kunnen het voortouw nemen door te laten zien wie ze zijn, wat ze doen en door de interactie aan te gaan. De volgende cybersecuritystrategie zou ook input moeten vragen van burgers en gebruikers.
