Cyber security is ‘Chefsache’ stelde Rob Bertholee, directeur-generaal AIVD, op 22 mei 2017 op het symposium in Nieuwspoort van de Cyber Security Raad en iBestuur. Maar wat kunnen bestuurders er dan mee? Veel, zo bleek.
Jaya Baloo, Chief Information Security Officer bij KPN, Elly van den Heuvel, secretaris van de Cyber Security Raad en Rob Bertholee, directeur-generaal AIVD in discussie met de zaal.
“Onze informatie toont een ronduit zorgelijk beeld van cyberdreigingen. Bestuurders hebben geen enkel excuus meer om de digitale dreiging te onderschatten. Dit onderwerp hoort op de bestuurstafel,” zei Bertholee in zijn speech.
Diverse sprekers schetsten een helder en alarmerend beeld van de dreigingen in cyberspace. Jaya Baloo, Chief Information Security Officer bij KPN, nam de aanwezigen in een sneltreinvaart mee langs de gevaren van internet. Zoals die van het Internet of Things:
“Alles wordt met elkaar verbonden. Maar als de marketeers zeggen dat een apparaat ‘smart’ is, dan moet u denken: ‘stupid’. Door alles met elkaar te verbinden vergroten we onze kwetsbaarheid enorm.”
Veel ‘smart’ apparaten zijn niet of slecht beveiligd, zei ze: “De tijd die het kost om een boterham te roosteren is de tijd die het kost om dat slimme broodrooster te hacken.” Bij een broodrooster is dat wellicht nog niet zo erg, maar als het gaat om medische apparatuur als pacemakers wordt het risico een stuk groter.
De dreiging van aanvallen in cyberspace wordt vergroot met de komst van kwantum computing, aldus Jaya Baloo: “Met kwantum computing is elk algoritme te kraken. Overheden wereldwijd weten dat als ze nu communicatie opvangen en bewaren ze die later met behulp van kwantum computing kunnen kraken.”
Paard achter de wagen aan
De dreiging neemt toe en het is belangrijk dat iedereen zich daar bewust van is, ook en vooral bestuurders, zo was de boodschap van diverse sprekers. Bestuurders bepalen immers de prioriteiten: investeert de organisatie voldoende in cybersecurity en wordt er samengewerkt in de keten, ook op dit gebied?
Inge Philips, director Deloitte Risk Advisory en daarvoor twintig jaar werkzaam bij de politie, onder meer als plaatsvervangend hoofd Nationale Recherche, toonde met een foto van een paar oude mannen aan hoe de vlag er volgens haar bijhangt in bestuurlijk Nederland.
“U denkt dat ik een grap maak, maar dat is niet zo. Het gaat hier om persoonlijk leiderschap, om te weten wat je wilt en moet doen om veilig te zijn. Daarvoor moet je de taal van het digitale tijdperk spreken. Daar schort het aan bij veel bestuurders.”
Philips vertelde over een bankovervaller in de VS in de jaren dertig van de vorige eeuw, die lang zijn gang kon gaan omdat hij na een overval ontsnapte in een T-Ford en de politie er te paard achteraan ging. “De politiecommissarissen wilden niet aan de auto, want ze waren gehecht aan het paard. Bovendien was de bond van stalknechten tegen.”
Dweilen met de kraan open
Gerrit van der Burg, voorzitter College van procureurs-generaal, benadrukte in zijn betoog dat volgens de wet elke organisatie zijn verantwoordelijkheid moet nemen in cybersecurity. Die wettelijke basis is omschreven in de handreiking Zorgplichten die de Cyber Security Raad onlangs uitbracht.
“Over vijf jaar heeft vijftig procent van onze criminaliteit een digitale component. Het strafrecht is geen duizenddingendoekje waarmee je dit opdweilt, zeker niet als de kraan wijd open staat. Iedereen moet hier zijn verantwoordelijkheid nemen, deugdelijke maatregelen treffen zodat het strafrecht een normatief sluitstuk blijft op gedrag dat niet door de beugel kan.”
Leren van criminelen
Wat kunnen organisaties en specifiek bestuurders doen om ‘cybersecure’ te zijn? Een aantal sprekers gaf advies. Bijvoorbeeld over de organisatorische inbedding van cybersecurity.
Eelco Stofbergen, Thought leader cybersecurity CGI en voorheen werkzaam bij het Nationaal Cyber Security Center, vertaalde de zeven wetten van managementgoeroe Steven Covey in zeven eigenschappen van effectieve cybersecurity. Zoals cybersecurity een vast onderdeel maken van je organisatie die ook meedenkt met de doelen van de organisatie. En samenwerken in de keten aan de “cybersecurity in je ecosysteem”.
Bestuurders kunnen volgens Philips veel leren van criminele organisaties. “Criminelen kennen bijna geen hiërarchische organisatiestructuren meer, want dat maakt je kwetsbaar. Ze zijn agile en werken in netwerken, in tijdelijke teams met de specialisaties die voor een specifieke klus nodig zijn. Ze distribueren data, kennis, geld en macht want dat maakt minder kwetsbaar. En ze zijn transparant naar elkaar, want reputatie is alles. Je reputatie maakt immers of je wordt gevraagd in een netwerk.”
Deze drie principes zijn ook de principes van het internet, zei ze. En daardoor leerzaam voor bestuurders die succesvol en veilig in het internettijdperk willen opereren. Bestuurders zouden er bovendien goed aan doen om de taal van dit tijdperk te leren, stelde ze: “Gebruik apps als Uber en Tikkie, lees het technieuws in de media, haal uw CISO naar de bestuurstafel. Als u een tijd in het buitenland gaat wonen, dan leert u hoogstwaarschijnlijk de taal van dat land. Leer daarom programmeren, want de rest van uw leven woont u in het digitale tijdperk.”
De brug ophalen
De recente Wannacry ransomware die wereldwijd bij honderdduizenden computers schade aanrichtte, kon toeslaan omdat organisaties beschikbare patches niet hadden geïnstalleerd. “Als organisaties niet op tijd patchen, dan ligt een deel van de schuld bij hen als ze worden aangevallen,” zei Bertholee.
Sommige beveiligingsmaatregelen zijn dus relatief eenvoudig. Baloo noemde ook vergaande stappen, zoals het toepassen van segmentatie in netwerken, zodat niet het hele netwerk stilvalt bij een incident. Er werd tijdens de discussie zelfs gesproken over afgeschermde netwerken, zodat Nederland de ‘ophaalbrug’ kan ophalen bij een aanval. Sommige landen zijn hier mee bezig, maar Nederland niet. De netwerken die de overheid zelf had, de gemeentelijke kabelnetten en KPN, zijn al lang geleden geprivatiseerd.
Philips acht het zeer waarschijnlijk dat veel organisaties gehackt zijn: “Twintig jaar geleden werkte ik bij de toenmalige BVD aan hun internetactiviteiten. Landen als Rusland, Noord-Korea en Iran waren daar toen al ver mee. Je kunt ervan uitgaan dat ze nu, twintig jaar later, in elk systeem zitten waar ze willen zijn.”
Organisaties kijken vaak naar wat hun informatiesystemen binnen probeert te komen. Philips raadt aan om ook te kijken wat er naar buiten gaat. “Het gros van de schade wordt momenteel veroorzaakt door data die naar buiten wordt gestuurd. Je kunt daar achter komen door met sensoren onlogische bewegingen in je netwerk te detecteren. Daaraan kun je zien of je geïnfecteerd bent.”
Controle van software
De overheid moet ook als wetgever digitale veiligheid vergroten, benadrukte een aantal sprekers. Bijvoorbeeld met vereisten aan leveranciers van hard- en software. Baloo noemde het onbegrijpelijk dat hard- en softwarefabrikanten niet hoeven te voldoen aan de verplichtingen van de “NIB-richtlijn” van de Europese Unie.
“Een deel van de onveiligheid in het cyberdomein wordt veroorzaakt doordat de kwaliteit van hardware en software bedroevend is. Wat kan een bestuurder daar aan doen?” beaamde Elly van den Heuvel, secretaris van de Cyber Security Raad.
Stofbergen raadt aan om in het inkoopproces eisen te stellen aan hardware en software. En om dezelfde eisen te stellen aan ketenpartners. Hij wees op een richtlijn van het CIP, die handreikingen geeft voor bouw van veilige software. “Vraag daarnaar bij leveranciers, volgen ze deze richtlijn?”
Tijdens de paneldiscussie wees Maarten Hillenaar, voormalig CIO Rijk, erop dat er tegenwoordig kwaliteitscontroles op software kunnen worden uitgevoerd inclusief beveiliging, zodat bestuurders weten wat ze in huis hebben.
Tien procent regel
Natuurlijk zijn ook bewustwordingscampagnes belangrijk, stelde Stofbergen, maar teveel verantwoordelijkheid wordt bij de gebruiker neergelegd: “Je kunt niet slechte techniek leveren en verwachten dat de gebruiker dat gat wel dicht. We zullen echt de technologie veiliger moeten maken, security-by-design moeten toepassen.”
In de discussie over cybersecurity komt herhaaldelijk een norm van tien procent voorbij: dat deel van het IT-budget voor informatiebeveiliging. Het cijfer wordt genoemd in het Droge Voeten-rapport dat Herna Verhagen, CEO van PostNL, schreef in opdracht van de Cyber Security Raad. Tien procent lijkt veel, maar Bertholee merkte op dat “de kosten van het herstel na een cyberaanval bijna altijd hoger uitvallen dan de kosten voor preventie”.
Tijdens de discussie benoemde José Lazeroms, lid raad van bestuur UWV, deze hoge kosten voor cybersecurity: “Wij gaan die kant van tien procent wel op. Een steeds groter deel van het budget gaat op aan informatiebeveiliging. Dat wringt met waarvoor wij op aarde zijn: dienstverlening. Ik vraag mij af hoe we dit gaan volhouden, want dit gaat toenemen. En we moeten wel mee.”
Diginotar-spook
Aart Jochem, Chief Information Security Officer bij PGGM en tijdens Diginotar-affaire hoofd Monitoring en Response bij het NCSC, noemde het “de eerste en tot nu toe gelukkig enige nationale cybercrisis”. Hillenaar, tijdens de crisis CIO Rijk, noemde de reactie op deze crisis “een goed voorbeeld van samenwerking…Ik werd onwijs trots op het NCSC, want in no time stond er een professionele organisatie waarmee we aan de slag konden. We waren er op tijd bij, we zijn langs de rand van de afgrond gegaan.”
Maarten Hillenaar over de Diginotar-affaire tijdens de discussie: “We waren er op tijd bij, we zijn langs de rand van de afgrond gegaan.”
Is het waarschijnlijk dat er nog zo’n nationale crisis komt, vroeg Van den Heuvel. Hillenaar: “Ik denk het wel. De problematiek wordt niet minder en het tempo van ontwikkelingen en innovaties gaat omhoog. Bijvoorbeeld in de smart cities. Als bestuurders moeten we echt zorgen dat we meekomen, dat we begrijpen welke risico’s we lopen.”
Overheid als concern
Michiel Struijk, vice president CGI, reageerde vanuit de zaal en noemde de executive order on cyber security, die de Amerikaanse president half mei uitvaardigde, als goed voorbeeld van hoe je dit onderwerp op de kaart krijgt.
De order stelt onder meer bestuurders aansprakelijk voor incidenten als ze nalieten om maatregelen te nemen terwijl ze de risico’s kenden. Ook maakt de order samenwerking in cybersecurity de norm: de hele overheid wordt hierin geacht te opereren als één concern.
Jochem kan zich daar helemaal in vinden: “De verantwoordelijkheid voor cyber security ligt bij de raad van bestuur en ik zie dat dat in steeds meer organisaties zo wordt gevoeld. En dat de overheid in IT en informatieveiligheid als één concern moet opereren, daar ben ik het van harte mee eens. Ik zou zeggen: begin er eens aan!”
Leestips
Genoemde boeken:
- Marc Goodman, ‘Future crimes’
- Marc Elsberg, ‘Black out’
- Yuval Noah Harari, ‘Homo deus, a brief history of tomorrow’
- Gabriel Garcia Marquez, ‘Kroniek van een aangekondigde dood’ – genoemd door Eelco Stofbergen: “We leven in deze kroniek, in onze digitale wereld. We weten dat de crisis eraan komt, maar doen we genoeg?”
“Het was kortom weer érg gezellig!”
Veel onder-ons. Bestuurders werden op hun eigen niveau aangesproken, dus prompt werd Covey van stal gehaald.
Ook veel herhaling van ‘verantwoordelijkheid’.
Maar welke ‘verantwoordelijkheid’ eigenlijk?
Als we de RACI-matrix erbij pakken : Responsble, Accountable, Consulted, Informed.
Is het dan verantwoordelijk in de zin van ‘Responsible’? Of in de zin van ‘Accountable’?
Het eerste niet, dunkt mij, want dan moet je als bestuurder zélf wat gaan doen, en dat doe je als bestuurder niet.
Het laatste dan, Accountable? Ook niet lijkt mij, want dan ga je als bestuurder – zoals dat zo plastisch heet – ‘met je ballen op het blok’, en dat doe je als bestuurder niet.
Wat blijft er over?
Consulted? Als bestuurder wil je wel geraadpleegd worden, dat bepaalt mede je plaats in de rangorde. Maar geraadpleegd worden maakt je ook mede-verantwoordelijk.
Mmmm, lastig, zie boven.
Informed.dan maar? Ja, dat klinkt wel veilig.
“Geheel geïnformeerd togen wij huiswaarts”.