De oorlog in Oekraïne en de pandemie maken het belang van een goede cybersecurity nog eens duidelijk

Gepubliceerd op 22 maart 2022 om 08:42

Hoog tijd voor overheid en bedrijfsleven in Nederland om daar écht werk van te maken. ‘Cybersecurity wordt steeds meer bepalend voor de continuïteit van  bedrijven.’

Fysieke oorlog

Nee, ze had niet verwacht dat het tot een echte oorlog zou komen. Ook al woedt er al geruime tijd een cyberoorlog, zegt Inge Bryan. ‘Oekraïne wordt al zeven jaar onder vuur genomen door Rusland om delen van de samenleving plat te leggen.’ Inmiddels begrijpt ze waarom er in december en januari een dip te zien was in het gebruik van ‘gewone’ gijzelsoftware vanuit Rusland. ‘Cybercriminelen waren blijkbaar aan het hergroeperen: ze trokken zich terug uit het bestoken van bedrijven en stemden hun gijzelsoftware meer af op het aanvallen van de Oekraïense overheid en bedrijven die daarvoor werken.’

De ceo maakt zich zorgen over de enorme dreiging die op ons afkomt, niet alleen uit Rusland maar ook uit andere delen van de wereld. Samen met de 440 medewerkers van Fox-IT waakt ze in opdracht van de overheid en bedrijven over de Nederlandse cybersecurity. Direct na haar komst haalde ze de banden aan met politie en inlichtingendiensten, waar ze zelf jaren werkte. Omdat ze als geen ander weet hoe belangrijk het is informatie te delen vanwege de risico’s die er zijn. Daar waarschuwt ze geregeld voor, desnoods in harde bewoordingen.

Mevrouw Bryan, hoe kwetsbaar zijn Nederlandse bedrijven?

‘Ik heb nog geen aanvallen gezien die rechtstreeks met de oorlog te maken hebben. Maar dat hoeft ook niet. In 2017 werd de terminal van Maersk in de Rotterdamse haven bijvoorbeeld stilgelegd door de malware NotPetya. Dat was echt geen gerichte aanval op de Rotterdamse haven, maar collateral damage van een Russisch computervirus gericht op Oekraïne. Je hoeft geen doelwit te zijn om slachtoffer te worden.’ Bryan wil maar zeggen: de wereld is tegenwoordig zó digitaal aan elkaar verknoopt geraakt, dat verstoring van ict-systemen grote gevolgen kan hebben die zich ver uitstrekken. En dat kan ook de andere kant op gaan. Zo roept Oekraïne hackers overal ter wereld op om zich op Russische systemen te storten, en zo te helpen in de oorlog tegen Rusland. Wat nu als dat ook vanuit Nederland gebeurt? ‘Het lastige daarbij is dat Rusland niet per se symmetrisch reageert. Ze vallen dan niet de directe aanvaller aan, maar een object in de omgeving. Waterzuiveringsinstallaties bijvoorbeeld, of de energie-infrastructuur. Het internationale hackerscollectief Anonymous heeft Rusland inmiddels de cyberoorlog verklaard. Dat leidt dan weer tot een tegenreactie van de Russische ransomware-groep Conti. Er gaat zelfs het gerucht dat een bedrijf ransomware heeft ingezet tegen een criminele aanvaller. Je krijgt een soort eigenrichting.’

Tot voor kort werden Nederlandse bedrijven niet door de overheid gewaarschuwd voor dreigende cyberaanvallen.

‘De betrokken instanties doen op zich goede dingen, maar zijn primair gericht op het veilig houden van de rijksoverheid zelf.’

Het is toch heel logisch om bedrijven óók te waarschuwen?

‘Ja, alleen dan moet het ook zo georganiseerd zijn. De overheid bestaat uit allerlei onderdelen die zich slechts met één deel van de problematiek bezighouden. Ze zijn gebouwd op de veronderstelling dat veiligheid en economie twee gescheiden werelden zijn. Maar er zijn tegenwoordig zóveel dwarsverbanden, dat die scheiding niet meer werkt. Alleen is dat in ambtelijke kringen nog niet helemaal doorgedrongen. Daar heerst een dogmatische aanpak, met koninkrijkjes. Ambtenaren doen het werk dat zij moeten doen op zich goed, maar denken niet snel: ‘Laat ik mijn collega van een andere afdeling eens helpen en inseinen.’ Dat heeft ook met de financiering te maken. Overheidsdiensten krijgen budget voor een bepaalde, begrensde taak. Dan doe je ook niet snel iets dat daarbuiten ligt. Je zag hetzelfde met de pandemie.’

Dus die versnippering bij de overheid moet doorbroken worden?

‘We hebben nu een staatssecretaris voor digitalisering, Alexandra van Huffelen, geplaatst bij het ministerie van Binnenlandse Zaken, dat verantwoordelijk is voor de overheids-ict. Dat is een goed begin. Ik hoop dat zij een brede rol krijgt binnen het kabinet, en een beleid neerzet dat gebaseerd is op gezond verstand en ict-hygiëne. In eerste instantie was ik zwaar gefrustreerd over de aandacht voor cybersecurity tijdens de formatie. Met het advies van de Cyber Security Raad (onafhankelijk, publiek-privaat adviesorgaan van het kabinet; red.) om ruim 800 miljoen euro te investeren in onder meer onderwijs en onderzoek, handhaving en beveiliging van vitale processen, werd geen zak gedaan. Het kabinet investeert nu slechts 300 miljoen, en dat is niet gebaseerd op een uitgewerkt plan, maar op de wensenlijstjes van de verschillende departementen.’

Het ict-systeem van de overheid zelf is er één van houtje-touwtje.

‘Dat hoor je wel eens ja, maar dat is zeker niet overal zo. Het gaat bij overheidsuitgaven natuurlijk wel om de besteding van belastinggeld, dus systemen die het nog doen worden niet snel vervangen. Daarbij wordt niet altijd gerealiseerd dat oudere systemen op een gegeven moment niet meer ondersteund worden door ict-leveranciers. Dat vasthouden aan oude systemen zie je overigens ook wel bij het bedrijfsleven.’

‘Ik zou graag zien dat er een Deltaplan Cybersecurity komt, zoals er eerder was voor de bescherming van Nederland tegen het water. Met een cybercommissaris die een stapje terugdoet van de dagelijkse politiek en kan reflecteren, en een budget heeft dat losstaat van de normale politieke cyclus van vier jaar. Daarnaast hebben we gewoon meer diversiteit in besturen nodig. En niet alleen op dit terrein. In dit geval denk ik specifiek aan diversiteit in leeftijd: in de politiek en bij de overheid moeten in de top ook jonge mensen zitten die bekend zijn en ervaring hebben met moderne ict-middelen.’

De pandemie heeft digitalisering een ‘boost’ gegeven. Dat legt toch nóg meer druk op cybersecurity?

‘Dat klopt. In coronatijd zijn we allemaal gaan thuiswerken en is de afhankelijkheid van ict gegroeid. Daardoor zijn er ook grote gaten in de beveiliging gevallen. Alle aandacht ging namelijk uit naar de continuïteit van werkzaamheden, en minder naar de veiligheid van het systeem. In de tussentijd zijn cybercriminelen juist geprofessionaliseerd. De kwaliteit en de kwantiteit van ransomware is sterk verbeterd, en de taakverdeling is flink toegenomen. De één maakt de programma’s, de ander zoekt naar gaten in de beveiliging van bedrijven. Kleine criminelen leasen programma’s die op platforms worden aangeboden. Daarbij werken ze samen zonder hiërarchie, eigenlijk zoals de overheid en de samenleving samen zouden moeten werken.’

Bedrijven moeten wel dat gevaar zien, en dus het belang van cybersecurity.

‘Het beeld is dat grote bedrijven daarin verder zijn dan het mkb, maar dat klopt niet altijd. Kleine bedrijven zullen hun cybersecurity gezien hun beperkte omvang vaak moeten outsourcen. Grote bedrijven kunnen denken dat zij hun systeem op orde hebben, maar beseffen niet altijd hoe kwetsbaar ze zijn door derde partijen of bijvoorbeeld dochterondernemingen. Bedrijven moeten meer ketengericht denken: ze kunnen hun eigen systeem wel op orde hebben, maar hoe zit dat het met systeem van hun leveranciers en afnemers? Alles is immers met elkaar verbonden. Je zou die systemen eigenlijk gescheiden moeten houden totdat overal een acceptabel niveau is bereikt. Ik denk zelfs dat ict tegenwoordig meer bepalend is voor de continuïteit van een bedrijf dan de financiële boekhouding.’

Bron: vno-ncw.nl | Paul Scheer