eerder verschenen nummers

zoeken binnen de website

Overheid kan cybersecurity niet alleen aan

door: Bas Linders | 15 augustus 2013

Hoe zit het met de overheidsverantwoordelijkheid voor de veiligheid van het elektronische verkeer als de daarvoor gebruikte vitale digitale infrastructuur zich grotendeels buiten de directe invloedssfeer van de overheid bevindt?

Cybersecurity

De verschillende partijen hebben elk een eigen verantwoordelijkheid voor veiligheid en betrouwbaarheid. Wie belt wie als er iets misgaat en wie krijgt de regie?

“Bent u er zeker van dat de manier waarop u de ICT-veiligheid van uw bedrijf hebt geregeld de risico’s ook echt minimaliseert?” Iain Lobban, de directeur van het Engelse GCHQ, een onderdeel van de geheime dienst, vuurt dit soort vragen af op bedrijven en overheden in de inleiding van ‘10 Steps to Cyber-Security’, een online voorlichtingsprogramma met de tien basisregels voor risicomanagement die in elk geval weerstand bieden tegen 80 procent van de cyberaanvallen waar bedrijven en instanties tegenwoordig mee worden geconfronteerd.

Lobban signaleert een grootschalige opkomst van veelvormige en gecompliceerde cybercrime die zowel de overheid als het bedrijfsleven bedreigt. De dreiging is vaak niet van technische aard. Het blijft makkelijker om iemand te verleiden op een verkeerde link te klikken waarmee de toegang tot systemen wijd open komt te staan dan een ingewikkelde ‘hack’ uit te voeren waarbij de voordeur moet worden geforceerd. In toenemende mate is er volgens GCHQ sprake van diefstal van intellectueel eigendom, commercieel gevoelige informatie, overheids- en defensiegerelateerde gegevens, en van verstoring van dienstverlening en verkoop van veiligheidslekken. Elke dag, overal ter wereld.

Zelf verantwoordelijk

In Nederland was er in april en mei sprake van een golf ddos-aanvallen waarbij achtereenvolgens de Rabobank, ING, SNS, het betaalsysteem iDEAL, de NS, KLM en aan overheidszijde DigiD en websites van de rijksoverheid en de belastingdienst werden getroffen. De dienstverlening ging herhaaldelijk plat en minister Ivo Opstelten van Veiligheid en Justitie haastte zich om te benadrukken dat het wel ernstig was, maar dat het slechts ging om een tijdelijke verstoring van de dienstverlening en niet om een inbreuk op de veiligheid waarbij gegevens zijn ontvreemd of gelekt. Bovendien markeerde de minister in een brief aan de Tweede Kamer direct de positie van de overheid: “Partijen, zowel binnen als buiten de overheid, zijn primair verantwoordelijk voor de beveiliging van de eigen netwerken en systemen.”

In juli 2011 kreeg de overheid te maken met de tot nu toe ernstigste securitycrisis, de hack bij DigiNotar. De beveiligingscertificaten voor websites die het (niet-overheids)bedrijf uitgaf bleken niet langer betrouwbaar. Dat raakte ook het merendeel van de overheidswebsites en de inbraak leidde bijna tot een complete uitval van computers bij de Nederlandse overheid. De paniek was groot en achter de schermen werd koortsachtig gewerkt aan het bij elkaar brengen van de nodige deskundigheid. Een sluitend plan van aanpak voor een dergelijke situatie ontbrak. De kwetsbaarheid van een betrouwbare digitale informatievoorziening bleek ineens voor iedereen pijnlijk duidelijk. Het Nationaal Cyber Security Centrum (NCSC) bouwt sindsdien aan een publiek-privaat overlegstelsel dat de reactiesnelheid en de effectiviteit in geval van (dreigende) cybercrises moet verhogen.

Bestuurlijke drukte

Het NCSC valt formeel onder het bewind van de nationaal coördinator terrorismebestrijding en veiligheid (NCTV) en dus onder minister van Veiligheid en Justitie Opstelten. Maar zo eenvoudig zit de Nederlandse overheid niet in elkaar. Zo zijn ook de ministers voor Wonen en Rijksdienst en van Binnenlandse Zaken en Koninkrijksrelaties met cybersecurity in de weer, samen met de CIO’s van alle departementen, de medeoverheden en interne en externe ICT-dienstverleners. Defensie kent haar eigen cybersecurityhoekje, terwijl de ZBO’s (UWV, SVB, RDW) een Centrum voor Informatiebeveiliging en Privacy hebben opgetuigd. De gemeenten werken aan de uitbouw van hun Informatie Beveiligings Dienst. De Nationale Politie heeft haar Team High Tech Crime. Om bestuurders en topmanagers in het openbaar bestuur te doordringen van het belang van informatieveiligheid is inmiddels de Taskforce Bestuur en Informatieveiligheid Dienstverlening actief.

Cybersecurity, zoveel is duidelijk, leidt tot een hoop bestuurlijke drukte. Maar is dat ook effectief? Arda Gerkens, Eerste Kamerlid voor de SP: “Als ze elkaar bellen in geval van dreiging of nood ben ik al blij, maar het probleem is dat je al snel langs elkaar heen gaat werken. Je moet voorkomen dat er discussies komen over wat onder wie valt of dat niet altijd helder is of iedereen de informatie die hij heeft wel met de anderen wil delen. Ik vrees dat je dan snel in een discussiecircus terechtkomt in plaats van dat er adequaat wordt ingegrepen. De vraag is of je dit via publieke of via private lijnen moet aanpakken. Als organisaties zich vanuit de overheid bezighouden met cybercrime, dan is dat onderwerp per definitie gepolitiseerd, omdat als er iets misgaat er uiteindelijk een politieke afrekening kan plaatsvinden. Politiek spel is volgens mij niet goed voor de bestrijding van cybercrime. Die hele politieke optuiging haalt enorm veel slagkracht weg en dat vind ik jammer. De overheid is verantwoordelijk voor de eigen ICT-structuur, dat is waar, maar als het gaat om de cruciale en vitale infrastructuur, dan moet je vaststellen dat die niet in handen van de overheid is. Daar ligt dus de kern van het vraagstuk. Dat kan de overheid helemaal niet in haar eentje oplossen.”

Voor de overheid lijkt het nog moeilijk om het in ongerede raken van vitale structuren zoals het betalingsverkeer ook te zien als een bedreiging voor de samenleving als geheel. De toename van zaken als phishing, malware en misbruik van internetbankieren wordt wel ‘verontrustend’ genoemd, maar de gevolgen voor de banken worden als relatief beperkt ingeschat. “Daarom is fraude met betaalmiddelen geen concrete dreiging voor de komende vier jaar.” (Nationaal Dreigingsbeeld 2012). Er is wel een samenwerkingsverband van banken, politie en OM (Electronic Crimes Task Force (ECTF)) waarin informatie wordt uitgewisseld, maar de ECTF mag zelf niet achter de boeven aan. Dat zou het Team High Tech Crime (THTC) van de Nationale Politie moeten doen, maar dat team kampt met capaciteitsproblemen en een kennistekort. Het Openbaar Ministerie wil de opsporing en vervolging van cybercrime – vooral ddos-aanvallen – wel intensiveren, maar ook daarvoor is uitbreiding van capaciteit en kennis nodig. Inmiddels is er wel een directe lijn tussen de bancaire sector en het NCSC tot stand gebracht.

Risicokaart

Bart Pegge is beleidsadviseur bij Nederland ICT, de brancheorganisatie van de ICT-sector. Hij typeert de rol van NCSC als een ‘spin in het web’ bij incidenten en bij het delen van informatie ter voorkoming van incidenten. De brancheorganisatie is lid van de Cyber Security Raad en denkt mee over de Nationale Cyber Security Strategie. Ook wordt meegepraat over de inhoud van de Nationale Cyber Security Research Agenda. Met NCSC spreekt Nederland ICT over scenario’s in geval van dreiging en crisis. Binnen de brancheorganisatie zijn ledengroepen actief op het punt van cybersecurity. Pegge: “In de reactie op DigiNotar bleek de kracht van een netwerk. Op het moment dat je elkaar kent en snel weet te vinden is dat handig, maar de vraag of het land gered wordt mag uiteindelijk niet afhangen van het feit of iemand op een avond toevallig zijn telefoon wel of niet heeft aanstaan. Daarover moet je procedureafspraken maken en die moet je ook voortdurend testen. Je moet niet als overheid in je eentje daarvoor scenario’s maken. Het gaat echt om een samenspel tussen overheid en bedrijfsleven.”

“De ICT-sector wil daar ook veel in investeren, want het vertrouwen in de elektronische dienstverlening is ook voor de sector van groot belang. De grote uitdaging is: hoe kan ik de juiste mensen bereiken als er iets aan de hand is. Het cybersecuritybeleid is nu nog te weinig toegespitst op de daadwerkelijke risico’s. Na de serie ddos-aanvallen ligt daar nu opeens de nadruk, maar het is echt nodig om ook de andere plekken waar de vitale infrastructuur kwetsbaar is in kaart te brengen. Er moet een gemeenschappelijk risicobeeld komen, zodat je ook afwegingen kunt maken welke risico’s je aanvaardbaar vindt en welke niet. Daarom pleiten wij voor een ‘risicokaart cybersecurity’, vergelijkbaar met de hoogwaterkaarten die we nu kennen. Daarop is aangegeven waar de zwakke plekken in de dijken zitten bij een gegeven stand van het water. De les daarvan is dat je bij extra hoogwater niet alle dijken hoeft te verhogen en je bestuurlijk kunt kiezen waar je risico’s wilt bestrijden en waar dat minder nodig is. Een andere voor de hand liggende maatregel is dat de overheid bij het aanbesteden van ICT-projecten beveiliging als standaard opneemt en daar een vast deel van het budget voor reserveert.”

Groeiende markt

De markt voor bedrijven die informatiebeveiligingsdiensten leveren is booming. Onderzoeksbureau Gartner voorspelt voor de periode tot 2017 een jaarlijkse groei van ruim 9 procent wereldwijd. Door overnames en fusies neemt het aantal bedrijven af. In Nederland is maar een handjevol securityleveranciers actief met Fox IT als boegbeeld. Hoe voorkom je dat de technische kennis die nodig is voor de bescherming van de vitale infrastructuur wordt gemonopoliseerd door een paar hightechbeveiligingsbedrijven? In welke mate is hun inbreng achter de schermen doorslaggevend bij het vormgeven van nieuwe wet- en regelgeving rondom cybersecurity? Sommigen zien in de voorstellen van minister Opstelten om te gaan inbreken op andermans ICT-systemen de hand van ijverige securitydienstverleners. Gerkens: “Beveiligingsspecialisten als Fox IT geven natuurlijk technische oplossingen aan, maar wel vanuit de denkwereld van een rechercheer- en onderzoeksbedrijf, want dat zijn ze ook. Rechercheurs willen nu eenmaal altijd meer, die kijken naar wat mogelijk is en niet naar wat maatschappelijk wenselijk is. Zo’n discussie over de wenselijkheid van ‘responsible disclosure’ moet dus niet in de beslotenheid van de politiek worden gevoerd, maar met de samenleving als geheel.”

tags: , ,

Reactieformulier

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie. U kunt bij de vormgeving van uw reactie gebruik maken van textile en er is beperkt gebruik van html mogelijk.