Tekst BKB
Foto Bart Maat & NCSC
Raymond Doijen is Hoofd Samenwerking en Kennisuitwisseling bij het NCSC en lid van het managementteam. Hij is onder meer verantwoordelijk voor onderzoekstrajecten met kennispartners en de ontwikkeling van inhoudelijke advies- en kennisproducten. Raymond schetst voor ons de belangrijkste ontwikkelingen en uitdagingen in het cybersecurity werkveld. Wat betekenen die voor het NCSC als organisatie en voor de samenwerkingen die het NCSC aangaat? En wat vraagt dat van doelgroepen en samenwerkingspartners zelf en de manier waarop zij zich organiseren?
Wat zijn de belangrijkste uitdagingen waar het NCSC de komende jaren voor staat?
“Er zijn vele uitdagingen, variërend van stelselherzieningen en wijze van informatiedeling tot het inspelen op technologische ontwikkelingen. Vanuit mijn perspectief haal ik er drie naar voren. In de eerste plaats op het gebied van incident respons. Je ziet dat onze CERT functie aan het veranderen is, doordat de dreiging én de vraag vanuit de doelgroep veranderen. Er is steeds meer behoefte aan high-end beveiligingsadviezen. We zien in toenemende mate kwetsbaarheden in producten, zoals bij VPN oplossingen vorig jaar, waar wij op moeten anticiperen en waar organisaties snel op zullen moeten reageren om grote problemen te voorkomen. Aan die hoog-risico adviezen willen we meer aandacht besteden en deze meer op maat maken, omdat we juist daar van toegevoegde waarde kunnen zijn.
In de tweede plaats worden beveiligingsvraagstukken op het gebied van OT (Operationele Technologie) steeds pregnanter. De focus heeft lang gelegen op kantoorautomatisering, waardoor met name bij systemen in de procesindustrie een grote inhaalslag te maken is. Maar je moet ook denken aan systemen achter bruggen, sluizen, matrixborden, waterleidingbedrijven et cetera. Ook de beveiliging van deze systemen moet op orde zijn, mede omdat ze steeds vaker aan het internet verbonden worden. Dat is handig, want je kunt processen op afstand bedienen, maar je vergroot ook het aanvalsoppervlak. Je zag recent dat iemand via het internet de verlichting van de Erasmusbrug kon bedienen. Dat is een onschuldig voorbeeld, maar je moet er niet aan denken dat dat met het mechanisme van de brug zelf gebeurt of met een terminal in de haven. De Cyber Security Raad heeft ook aangegeven dat het NCSC op dit gebied moet versterken. We zijn in gesprek met onze industriële partners over wat ze van ons nodig hebben.
Tot slot komen er in sneltreinvaart allerlei nieuwe technologieën op ons af. Artificial Intelligence (AI) en meer specifiek machine learning bijvoorbeeld hebben een grote vlucht genomen. The sky is the limit. Je ziet dat hackers daar ook steeds meer gebruik van maken, door steeds meer geautomatiseerde aanvalstechnieken op systemen los te laten. De complexiteit en intensiteit van aanvallen is dusdanig hoog dat het tegengaan steeds moeilijker wordt. Onze cyber threat intelligence specialisten en analisten proberen dit te duiden en het hoofd te bieden. Dat moet in de toekomst steeds meer geautomatiseerd gebeuren. Daar komt ook het Nationaal Detectie Netwerk (NDN) in beeld, waar al veel gebeurt met behulp van geavanceerde sensortechnieken, maar ook daarop moeten wij een next level gaan bereiken. Je zult meer data-gedreven moeten werken en die aanpak inzetten om geautomatiseerd te kunnen beschermen, monitoren en mitigeren. Dat vergt iets van onze hele organisatie.”
Welke stappen moeten de komende jaren samen met partners worden gezet?
“We werken momenteel samen met de NCTV aan het Cyber Security Beeld Nederland (CSBN) voor 2021. Daarin willen we niet alleen terugkijken op afgelopen jaar, maar ook vooruitkijken en waar mogelijk handelingsperspectief bieden. Daar is echt vraag naar vanuit de bedrijven en organisaties waar wij dagelijks mee in contact staan. Hier spelen allerlei vraagstukken, variërend van de adoptie van standaarden, zoals recent voor veilige e-mail, tot ketenafhankelijkheden tussen organisaties en het waarborgen van de Economische Veiligheid. Dat vooruitkijken is een belangrijke taak, vanuit onze autonome kennispositie, en zie je ook terug in onze andere (preventieve) adviesfunctie en in onze kennisproducten.
Voor het bieden van handelingsperspectief aan doelgroepen op specifieke onderwerpen, gaan we ook samenwerkingen aan met het onderzoeksveld, en nemen waar dat passend is onderwijsvraagstukken mee. Zo geven we zelf gastcolleges en worden onze eigen onderzoekers in deeltijd gedetacheerd bij universiteiten of hogescholen. Je ziet dat cybersecurity onderwijs onder druk staat, zowel kwalitatief als kwantitatief. Er komen steeds meer opleidingen - vaak met een multi-disciplinair karakter - maar sluit de inhoud en kwaliteit ook aan op de praktijk? We hebben momenteel onvoldoende cybersecurity experts in opleiding om in de nabije toekomst in Nederland te zetten.
Onderzoek staat ook onder druk door het wegkopen van onderzoekers door het bedrijfsleven of buitenlandse onderzoeksinstellingen, terwijl de vraag naar onderzoek toeneemt. Alle reden om snel een nieuw platform voor onderzoek, onderwijs en innovatie te starten, met gedeeld eigenaarschap van alle stakeholders: publiek, privaat en wetenschap. Daar heb ik als één van de kwartiermakers namens de overheid recent invulling aan mogen geven, als opvolger van het oude platform dat per 1 oktober jongstleden opgehouden is te bestaan. We krijgen nu bijvoorbeeld vragen als: kunnen jullie nieuwe ontwikkelingen en onderzoek stimuleren op het gebied van veilige infrastructuren, juist in deze tijd van veel thuiswerken? Dat willen we graag, want deze situatie gaat vermoedelijk nog wel even duren en anticiperen op crises is het grootste deel van ons werk. Veilig thuiswerken blijft nog wel even een issue. Je zou kunnen zeggen dat het met de Citrix crisis begin dit jaar net goed is gegaan: het is opgelost voor de coronacrisis. Je moet er niet aan denken dat dit in april was gebeurd, dan had Nederland helemaal plat gelegen denk ik. Hans de Vries (directeur NCSC) zegt altijd: we zijn 5% van de tijd bezig met crises, 95% met het voorkomen daarvan.
Om crises te voorkomen, is er bij onze doelgroepen meer bewustzijn over cybersecurity op boardniveau nodig. Bij besluitvorming staat functionaliteit vaak voorop en is informatiebeveiliging een sluitstuk, iets wat de ICT-afdeling wel regelt. De CISO rol is daarbij inderdaad cruciaal, maar deze is niet verantwoordelijk. Hij/zij coördineert, maar de verantwoordelijkheid ligt bij het bestuur. Daar moet eigenaarschap worden gevoeld, zodat er ook structureel aan informatiebeveiliging gewerkt wordt. Functionaliteit en security moeten hand in hand gaan, vanuit een aanpak die gebaseerd is op risicomanagement. Je ziet dat een deel van onze doelgroepen al heel goed bezig is en dat bij een deel dat bewustzijn nog moet landen. Onze bovengenoemde activiteiten kunnen helpen om bewustzijn te creëren bij bestuurders en ze handvatten te geven om werk te maken van cybersecurity.”