‘Versterken cybersecurity is noodzaak’

door: Frits de Jong, 9 januari 2018

Digitalisering brengt grote economische en maatschappelijke kansen met zich mee, maar ook risico’s. Bijvoorbeeld de toenemende kans op een cyberaanval. Blijvend investeren in cybersecurity is dan ook bittere noodzaak, aldus Herna Verhagen (PostNL). In dat kader pleit zij voor een coördinator, die voldoende budget, bevoegdheden én zeggingskracht krijgt.

Herna Verhagen - PostNL

Herna Verhagen: “Als je zorgt dat mensen binnen je organisatie goed getraind blijven, dan neemt het risico op cyberaanvallen echt substantieel af.” Beeld: PostNL

De luchthaven Schiphol en de haven van Rotterdam. Het zijn twee van de meest belangrijke speerpunten van Nederland, met name op economisch gebied. Sinds een aantal jaar kan daar ook een derde aan toe worden gevoegd: ICT. Nederland speelt een belangrijke rol bij de digitalisering, de aanwezigheid van een goede digitale infrastructuur is daar zeker debet aan. Blijven investeren in cybersecurity is noodzakelijk: “Je ziet dat het aantal cyberdreigingen de laatste jaren wereldwijd flink toe is genomen”, aldus Herna Verhagen, sinds 2012 CEO van PostNL. “Een schatting is dat wij alleen al in Nederland jaarlijks te maken hebben met rond de tien miljard euro schade als gevolg van cyberdreigingen en dus zul je maatregelen moeten treffen. Dat betekent dat er meer aandacht en geld moet komen om het thema cybersecurity op de agenda te zetten en te houden.”

Regeerakkoord

Een van de manieren om meer aandacht te vragen voor het thema cybersecurity, was de publicatie ‘Nederland digitaal droge voeten’ (De economische en maatschappelijke noodzaak van meer cybersecurity – september 2016). Verhagen schreef die publicatie op verzoek van de Cyber Security Raad. “Sinds het verschijnen van dat rapport is er veel aandacht geweest voor het thema en is het belang ervan ook toegenomen. Het betekent niet dat wij er al zijn. Een van de adviezen in het rapport gaat over het percentage van het ICT-budget dat een organisatie jaarlijks aan cybersecurity zou moeten besteden. In het rapport hebben wij een norm genoemd van tien procent. Dat is een percentage waar nog erg weinig organisaties aan toekomen. In het rapport hebben wij ook benoemd dat er meer coördinatie nodig is om het onderwerp goed te verankeren. Ook daar moeten nog wel degelijk stappen gezet worden”, zo schetst Verhagen, die verheugd is met de aandacht voor het thema in het nieuwe regeerakkoord. “Het kabinet steekt structureel geld in cybersecurity en ook wordt er een ambitieuze cybersecurity-agenda opgesteld.”

Coördinator

Het benoemen van een coördinator op het gebied van cybersecurity, heeft wat Herna Verhagen de nodige prioriteit. Zeker ook nu er een einde is gekomen aan het werk van de Digicommissaris. “Zorg dan wel dat diegene niet alleen de coördinatie heeft binnen de gehele overheid, maar ook de coördinatie heeft over het bedrijfsleven. Zorg ook dat die coördinator een budget heeft waarmee hij echt wat kan en zorg dat de functie van coördinator voldoende hoog in de politieke hiërarchie is verankerd waardoor zijn of haar bevindingen en plannen ook daadwerkelijk een status krijgen waarop je uiteindelijk besluiten kunt nemen. Hij of zij moet ook echt zeggingskracht krijgen, ook al omdat cybersecurity niet iets is wat je overnight oplost. Het is iets wat een lange termijn investering vraagt en dus zul je er op die manier ook in moeten investeren. Ik weet niet of het zin heeft om een coördinator aan te wijzen die al die bevoegdheden niet heeft.”

Cybersecurity is iets wat een lange termijn investering vraagt en dus zul je er op die manier ook in moeten investeren

Verhagen kijkt met een goed gevoel terug op de periode van Bas Eenhoorn als Digicommissaris. “Aandacht voor ICT en regelmatige aandacht binnen ICT voor cybersecurity is erg belangrijk. In dat proces heeft de Digicommissaris een voorname rol gespeeld. Zo heeft hij op een groot aantal podia en platforms voortdurend gehamerd op het belang van cybersecurity. Ook heeft hij belangrijke stappen gezet op het gebied van samenwerking; samenwerking tussen overheden, wetenschap en bedrijfsleven.” Net als Bas Eenhoorn hamert ook Herna Verhagen op het belang van samenwerking. “Een groot aantal van de cyberaanvallen vindt plaats op private netwerken, maar zorgen er tegelijk wel voor dat ook gemeenschapsfuncties daar last van hebben. Om een bepaalde mate van veiligheid te bereiken is het noodzakelijk om te investeren. Mijn voorkeur heeft het om dat samen te doen met het bedrijfsleven, zodat het gewenste veiligheidsniveau sneller kan worden bereikt.”

Informatietechnologie

Als gekeken wordt naar het thema cybersecurity, dan ondervindt Verhagen dagelijks aan den lijve het belang ervan. Voor haar was dat ook van de redenen om in te gaan op het verzoek van de Cyber Security Raad om een rapport te schrijven over het onderwerp. “Voor ons als PostNL is ICT cruciaal. Zonder ICT wordt er bij ons geen pakket gesorteerd of bezorgd. Het betekent ook dat wij veel data van consumenten hebben en als bedrijf wil je die data zo goed mogelijk beschermen. Cybersecurity speelt voor ons dan ook een erg belangrijke rol, met name omdat ook binnen PostNL het gebruik van informatietechnologie sterk toeneemt. Net als veel andere bedrijven proberen wij uit de verkregen data, door middel van intelligente analyses, waardevolle inzichten te krijgen die er weer toe bijdragen dat we sneller kunnen sorteren, sneller kunnen bezorgen, minder fouten maken, et cetera.”

Beheersbaar

Net als overheden en bedrijven zitten ook kwaadwillenden niet stil en houden zich voortdurend bezig met de ontwikkelingen binnen de IT. Verhagen beseft dat. “Als je kijkt naar de hoeveelheid aanvallen, maar ook naar het karakter daarvan, dan zie je dat het steeds intelligenter wordt. Het wordt specifieker en minder makkelijk herkenbaar. Daarbij maakt het niet uit of die aanvallen zich richten op bedrijven of op overheden.”

Voor Herna Verhagen is het dan ook helder dat je, als organisatie of als persoon, dagelijks met het onderwerp cybersecurity bezig moet zijn. “Of het allemaal nog beheersbaar is? Ja, ik vind van wel. Dat heeft voor een deel te maken met het feit dat je het meest kwetsbaar bent op de mensen die voor je werken. Als je zorgt dat die mensen goed getraind blijven, dan neemt het risico echt substantieel af. Dat is dan ook iets wat je in elk bedrijf en elke overheidsinstantie zou moeten doen. Een simpel voorbeeld is mensen bewust maken van hoe phishing e-mails eruitzien. Het tweede waarom ik denk dat het beheersbaar blijft, is omdat ook je eigen intelligentie toeneemt. Ook op dit gebied. Tot slot zijn er veel relatief simpele dingen die je kunt doen om je veel beter te beschermen. Hoe sterk is het wachtwoord dat je gebruikt? Hoe ingewikkeld is dat wachtwoord? Zorg dat je de laatste updates van de gebruikte software installeert. Het zijn van dit soort relatief makkelijke dingen die overheden en bedrijfsleven samen kunnen oppakken en ertoe zullen leiden dat het meteen substantieel veiliger is dan voorheen. Besef dat die cyberdreigingen niet meer weg gaan, dus dat betekent dat je er geld en aandacht in moet blijven investeren.”

Aanbevelingen

In het rapport ‘Nederland digitaal droge voeten’ staat een flink aantal aanbevelingen die overheid, onderwijs en bedrijfsleven (gezamenlijk) kunnen oppakken.

• Versneld opnemen van digitale geletterdheid, inclusief cybersecurity, in het kerncurriculum voor basis- en voortgezet onderwijs;
• Kennisontwikkeling op het gebied van cybersecurity stimuleren;
• Doelgerichte voorlichtingscampagnes voeren over cybersecurity voor
specifieke doelgroepen (waaronder MKB-bedrijven) en het brede publiek;
• Eenduidige politieke aansturing van de digitale mainport via een onderraad van de Ministerraad;
• Aanstellen van een hoge functionaris, bij voorkeur door middel van een kabinetsbesluit (waarin taken en bevoegdheden zijn vastgelegd), en geld voor het opstellen en uitvoeren van een jaarlijks (voortrollend) cybersecurity-programma;
• Op orde brengen van de eigen digitale infrastructuur met duidelijke sturing;
• Moderniseren van de bevoegdheden van de Nederlandse opsporings-, inlichtingen- en veiligheidsdiensten, met oog voor checks & balances;
• Toekomstbestendige wetten en regels maken;
• Basis op orde hebben; voldoen aan randvoorwaarden voor cybersecurity;
• Invulling geven aan zorgplicht op het gebied van cybersecurity;
• Ketens veiliger maken door het invoeren van een ketenverantwoordelijkheid;
• Inzet van een accreditatie- of certificeringssystematiek;
• Onderzoek naar cyberaanvallen intensiveren voor snellere respons en betere preventie, door uitbreiding van de Information Sharing and Analysis Centres (ISAC’s), het Nationaal Detectie Netwerk (NDN) en het Nationaal Respons Netwerk (NRN);
• Sturing en coördinatie op publiek-private samenwerking door hoge functionaris en cybersecurity-programma;
• Borgen van impactvolle advisering door( geëvolueerde) Cyber Security Raad (CSR).

Dit verhaal is onderdeel van een korte serie over de overheid in relatie tot de ontwikkeling van de digitale dienstverlening

tags: ,

- - - - -

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie.