Partnerpagina CGI

- - - - -

Openheid over eigen kwetsbaarheid als wapen tegen cybercrime

door: Cyriel van Rossum

artikelen, 21 januari 2016

De samenleving wordt met de stormachtige digitalisering van bijna alles uiterst kwetsbaar voor cyberonheil. Bedrijven en organisaties moeten zo snel mogelijk leren informatie over aanvallen te delen met elkaar. Dat was de boodschap van een sessie over cybersecurity op het iBestuur-congres.

Verslag van de iBestuur Congres-sessie
Publiek-private partnerships voor een sterke cybersecurity

Han Schutte – Hoofd Marktontwikkeling en Partnerschappen, Nationaal Cyber Security Centrum
Eelco Stofbergen – Director Consulting Services en Cyber Security Thoughtleader CGI Nederland

Big data, robotica, digitale fabricage, the internet of things, next generation mobility: er is een keur aan prooien voor kwaadwillenden in digitale netwerken. De geopolitieke spanningen van deze tijd verhogen de dreiging aanzienlijk. 
Bedrijven en organisaties zijn blootgesteld aan onverlaten van diverse pluimage: niet alleen criminelen en ‘statelijke actoren’, maar ook cybervandalen, hacktivisten, scriptkiddies, concurrenten, rancuneuze interne medewerkers, nieuwsgierige onderzoekers en zelfs – hoewel nog sporadisch – terroristen. Eelco Stofbergen, thoughtleader cybercrime bij CGI, maakt zich zorgen. “Want er wordt veel gepraat over cybersecurity, maar te weinig gedaan.”

Verantwoord
De maatschappelijk ontwrichting kan gigantisch zijn als het een keer helemaal fout gaat, zo waarschuwde Stofbergen tijdens de sessie. “Ik wil geen onheilsprofeet zijn, maar een groot datalek bij de overheid, diepgaande spionage of verstoring van de vitale infrastructuur kunnen diep ingrijpen in de samenleving. Reactief handelen op dreigingen is niet voldoende. We moeten veel actiever worden.” 
Stofbergen vindt dat het tijd is voor ‘digitaal verantwoord ondernemen’. “Dat betekent dat je je niet alleen verantwoordelijk voelt voor je eigen organisatie, maar ook voor je partners, gebruikers en de maatschappij.” Eisen die a fortiori gelden voor overheidsorganisaties. Stofbergen: “Je moet elkaar vertellen hoe weerbaar je bent en ook hoe kwetsbaar. Informatie over incidenten en detectiedata moeten hoe dan ook worden gedeeld, liefst geautomatiseerd. Want alleen red je het niet tegen de vijand.”

Wereldverbeteraars

Sinds 1 januari zijn bedrijven en organisaties verplicht om datalekken te melden, op straffe van een boete die kan oplopen tot 820.000 euro. Die plicht impliceert dat iedereen zijn interne monitoring op orde heeft. Werk aan de winkel dus voor mensen als Stofbergen. “Het gaat niet alleen om geld verdienen. De cybersecurity-community bestaat uit een soort wereldverbeteraars. We weten elkaar goed te vinden en spreken elkaar veel, maar we moeten meer doen om politici, hoge ambtenaren en boardrooms te bereiken.”
De CGI-consultant vreest dat de overheidsinspanningen tot stilstand komen: “De laatste Nationale Strategie Cybersecurity dateert van ruim twee jaar geleden. Het wordt tijd voor nieuwe plannen.”
Han Schutte, werkzaam bij het Nationaal Cyber Security Centrum (het onderdeel van het ministerie van Veiligheid en Justitie dat zich beijvert voor de nationale digitale veiligheid), benadrukte op dezelfde sessie het belang van weerbaarheidsdenken: “Men moet constant nagaan of de eigen organisatie genoeg weerstand kan bieden tegen indringers, of men genoeg veerkracht heeft om eventuele schade direct te herstellen en of men voldoende adaptief is.” Daarmee bedoelt Schutte dat bedrijven en organisaties leren van hun veiligheidsproblemen. Leren door ook buiten hun eigen muren te kijken. “Het gaat hier bij uitstek om connectiviteit. Je moet partners opzoeken, kennis delen. Samenwerking is immers bundeling van unieke, afzonderlijke capaciteiten en ervaringen.”

Brandweer


Het draait daarbij niet alleen maar om het delen van kennis, maar ook om het delen van detectiegegevens en, nog gevoeliger, om openheid over inbraken en lekken. Dat is een heel delicaat punt, beseft Schutte, “Want het gaat om vertrouwen in elkaar. En om cruciale belangen, let wel: gedeelde belangen.” Schutte denkt dat het tijd is voor een aantal nieuwe samenwerkingsvormen. “Ik denk dan vooral aan sectoroverschrijdende samenwerking, bijvoorbeeld in ketens of regio’s. Kennis delen, maar ook samen inkopen en beheren.”
Ook Schutte denkt dat grote waakzaamheid is geboden: “Als we op het gebied van cybersecurity doorgaan in het huidige tempo, dan worden we razendsnel ingehaald door de realiteit. We zijn allemaal deel geworden van één groot grid dat zich ontzettend snel ontwikkelt.”

Waarom zo op die samenwerking hameren, vroeg een toehoorder zich hardop af. “Brandveiligheid creëer je ook niet door iedereen te laten samenwerken met elkaar. Daarvoor heb je gewoon strenge wettelijke brandveiligheidseisen nodig en een brandweer die daar streng op controleert.” De parallel is niet te trekken, aldus Schutte. “De statische wereld van brandpreventie is niet te vergelijken met cybersecurity. Wat vandaag nog waardevol is in cybersecurity kan morgen volstrekt geen waarde meer hebben.” Regelgeving is veel te traag voor die realiteit, meent hij. Het gaat om alertheid op alles wat beweegt en er beweegt heel veel, steeds meer.

tags:

- - - - -

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie.