17 sep
Afgelopen zomer kwam, een beetje geruisloos vanwege andere actualiteiten, het Cybersecuritybeeld Nederland uit. Hier zet de Nationaal Coördinator Terrorisme en Veiligheid uiteen hoe het ervoor staat met de cyber(on)veiligheid van Nederland en zijn vitale sectoren. Wij lazen het rapport.
Overall is het beeld eigenlijk niet veranderd. Er komen meer aanvallen en de dreiging is niet alleen groter, maar ook blijvend. Het bewustzijn rondom cyberweerbaarheid neemt toe en er worden meer maatregelen getroffen. Toch blijkt dat zelfs in de vitale infrastructuren organisaties hun informatiebeveiliging nog steeds niet op orde hebben. De Rekenkamer constateert dat er op zes van de elf (!) onderzochte ministeries voldoende kennis is over de staat van de ICT-systemen, wat het kost om ze in de lucht te houden en hoe groot het risico is op storingen. Bijna 50% van de ministeries heeft dit dus nog niet op orde!
Geen pijn dus geen urgentie
Partijen blijken niet altijd de ‘prikkels’ te krijgen om bij te dragen aan de nationale veiligheid – waarbij wij prikkels zien als vriendelijker omschrijving van ‘pijn’. Want net als bij het MKB, waar ThreadStone zich met name op richt, wordt er geen directe urgentie gevoeld om in actie te komen. “Dat overkomt ons niet”, maar hoe verstandig is het om te wachten tot het kalf verdronken is voordat je de put dempt?
Uit een expertraadpleging (de NCTV heeft ons niet benaderd, waarschijnlijk omdat zij een andere primaire doelgroep hebben dan wij) komen verschillende redenen naar voren waarom het basisniveau van cybersecurity niet gehaald wordt. Organisaties zijn niet voorbereid op bekende kwetsbaarheden, bestaande beveiligingsupdates worden niet of te laat uitgevoerd, de IT-architectuur kent geen interne afscherming, wachtwoorden zijn oud of voorspelbaar, er wordt geen gebruik gemaakt van 2FA, IoT-apparatuur geeft onbedoeld toegang tot het netwerk, medewerkers vormen een zwakke schakel met hun klikgedrag…
Het zijn stuk voor stuk zaken die wij ook dagelijks tegenkomen. Wat dat betreft verschillen vitale sectoren en de overheid niet van het ‘reguliere’ bedrijfsleven.
De wortel of de stok?
De NCTV concludeert dat de digitale weerbaarheid omhoog moet. Wetgeving, subsidieverlening, scholing en normerende kaders worden voorgesteld. Wij zijn heel benieuwd wat dit concreet gaat betekenen: wordt het stimuleren of dwingen, de wortel of de stok? Daarbij zien ze cyberweerbaarheid als een belangrijke opgave voor bestuurders en managers.
Het zijn punten waar wij al geruime tijd op hameren. Betere cyberweerbaarheid bereik je met een sterk samenspel tussen beleid, techniek en gedrag. Hoe kunnen we dat bij bestuurders en managers op de agenda krijgen (natuurlijk met daaraan gekoppelde acties)?
Kennis bundelen, oplossingen opschalen
In onze optiek zou het goed zijn om als experts meer samen op te trekken. Kennis bundelen, samen kijken hoe we meer resultaat kunnen boeken. De oplossingen die wij al inzetten voor het MKB zijn bijvoorbeeld gemakkelijk op te schalen naar grotere organisaties. Daarnaast kunnen onze oplossingen prima ingezet worden in ketenrelaties, waarin het rapport terecht ook een steeds groter risico ziet. ‘Cyberincidenten kunnen maatschappij verlammen’, zo opent het rapport. Dreigende taal, en terecht, maar wat ons betreft wordt het nu toch echt tijd voor verdere actie.