24 jun
Het CBS komt in principe jaarlijks met de Cybersecuritymonitor: hoe staat Nederland ervoor op het gebied van cyberveiligheid? Inmiddels is het een traditie aan het worden bij ThreadStone om het rapport kritisch te lezen en met een reactie te komen. Onze 5 belangrijkste bevindingen.
1. Onze reactie op de voorlaatste monitor van 2019, die dateert van ruim 1,5 jaar geleden, staat bij deze nieuwe rapportage grotendeels overeind. We deden in 2019 de aanbeveling om breder te kijken dan alleen naar de techniek. Het zou dit onderzoek in onze optiek waardevoller maken. Lees hier onze aanbevelingen die nog steeds actueel zijn: https://www.threadstone.eu/nieuws/threadstone/cbs-cybersecuritymonitor-2019-een-te-rooskleurig-plaatje).
2. In de monitor wordt gesproken over de uitvoering van de “ICT-veiligheidswerkzaamheden”. Hier wordt een tabel en toelichting bij gegeven. Hieruit zou je de conclusie kunnen trekken dat in het onderzoek wordt aangenomen dat informatiebeveiliging door generieke ICT-bedrijven kan worden uitgevoerd. In onze optiek zijn informatiebeveiliging en cybersecurity een apart specialisme. Die nuance zou er best in mogen. Want ‘uitbestede IT-diensten’ wil nog niet meteen zeggen dat het dan met de veiligheid automatisch ook wel goed zit.
3. Er is een heel stuk gewijd aan de scores van internet.nl. Ook wij gebruiken deze informatie naast andere bronnen en tools, maar het is absoluut geen ijkpunt voor de veiligheid van een website! Sites die een 100% score halen op internet.nl kunnen alsnog zo lek zijn als een mandje. Voor een gedegen, betrouwbaar beeld heb je professionele instrumenten nodig die actief en liefst met regelmaat controleren op kwetsbaarheden.
4. Er wordt ook ingegaan op cybercriminaliteit: volgens de Cybersecuritymonitor neemt het aantal incidenten af. Het aantal meldingen bij de AP en het aantal registraties van computervredebreuk is juist fors toenemen. Maar is het genoemde aantal werkelijke strafzaken (551) en straffen ((88)+82(?)) zo laag omdat er zo weinig incidenten zijn of omdat er een taboe heerst op het melden ervan en er wellicht te weinig capaciteit is in de justitiële keten? Of melden slachtoffers zich niet omdat ze verwachten dat er toch geen onderzoek gaat plaatsvinden omdat ze de indruk hebben dat professionele cybercriminelen zich veelal in het buitenland bevinden?
5. De monitor levert een golf aan cijfers en staafdiagrammen. Maar veel interessanter is: wat kunnen we hiermee en wat doen we hiermee? Cyberweerbaarheid is van vitaal belang. En die weerbaarheid vergroten vraagt om meer dan alleen cijfers en techniek. Het is een way of working, een cultuur die vanuit het hogere management wordt uitgedragen en die wordt ondersteund met goede tooling. Elk jaar een onderzoek doen zoals deze Cybersecuritymonitor is goed, maar wanneer komt er een follow-up vanuit overheid en bedrijfsleven? Wie interpreteert deze cijfers en vertaalt ze in concrete conclusies en acties? Wat dat betreft zou een minister van Digitale Zaken nog zo’n slecht idee niet zijn…