‘Kijk met de bril van 2021 naar het cyberdomein’

Je bent directeur van Cyberveilig Nederland. Kun je iets vertellen over jullie doelstellingen?

‘Het belang van cybersecurity voor de samenleving is de afgelopen jaren sterk toegenomen. De kennis bij het algemeen publiek, binnen bedrijven en in de politiek blijft echter achter. Dat is een zorg en daar willen we vanuit Cyberveilig Nederland iets aan doen. Dat er binnen de sector zelf behoefte was aan een brancheorganisatie blijkt uit de snelle groei die we doormaakten: we zijn de afgelopen drie jaar gegroeid van acht founding leden naar inmiddels ruim vijfenzestig leden.’

‘Onze leden moeten voldoen aan een aantal randvoorwaarden en we verwachten dat zij zich committeren aan een door het NCSC getoetste gedragscode. Het zorgt voor een transparantie en kwaliteitswaarborg die er eerder niet was. Om die transparantie te vergroten ontwikkelen we onder andere certificeringsschema’s voor veel voorkomende dienstverlening, zoals penetratietesten. We werken daarbij samen met onder meer het Verbond van Verzekeraars, VNO-NCW en het Digital Trust Center. Ook publiceerden we in een bredere samenwerking het Cybersecurity Woordenboek en een risicoclassificatie tool waarmee MKB-bedrijven hun cybersecurity risico’s kunnen inschatten.’

Waarom was dat nodig?

‘Nederland is een sterk gedigitaliseerd land en bevindt zich internationaal in de digitale voorhoede. Dat biedt allerlei economische en maatschappelijke kansen. Om die te kunnen benutten is het belangrijk dat er in de samenleving vertrouwen is in digitale systemen en daarvoor is voldoende aandacht voor cybersecurity essentieel. Bedrijven die producten leveren die voldoen aan bepaalde cybersecurity standaarden, kunnen zich bovendien onderscheiden van hun concurrenten. Zo kan cybersecurity naast een risico, ook een kans zijn.'

‘We vormen ook een goede gesprekspartner namens de cybersecuritysector voor de overheid en nemen actief deel aan het publieke debat. We maken ons zorgen om de kennis en awareness over digitalisering en cybersecurity in de politiek. De meeste Tweede Kamerleden die het onderwerp in portefeuille hadden zijn dit jaar na de verkiezingen vertrokken. En nieuwe experts op de kieslijsten stonden veelal niet op verkiesbare plaatsen. Waarom niet? Blijkbaar wordt in de maatschappij nog onvoldoende onderkend hoe belangrijk het thema is, met als gevolg dat we nu opnieuw moeten beginnen. Samen met partnerorganisaties hebben we de Digitale Binnenhof Academy opgericht. Daarmee gaan we vraaggestuurd onafhankelijke kennis naar de Tweede Kamerleden brengen. Kamerleden hebben helaas weinig tijd. Dat betekent dat het onderwerp cybersecurity voorlopig nog maar voor een uurtje op de agenda komt, terwijl ik voor twee dagen aan relevante informatie heb ter introductie van het onderwerp. Dat blijft een punt van zorg.’

Is er in de rest van de samenleving wel voldoende aandacht?

‘Ik mis centrale regie, daarom ben ik voor het instellen van een Deltacommissaris Cybersecurity. Cybersecurity is inmiddels onderdeel van alles: onderwijs, het wegdek, defensie, justitie en het bedrijfsleven. Het gaat alle ministeries aan, maar daardoor zien we dat niemand echt verantwoordelijk is voor het totaal en vanuit een integraal overzicht keuzes maakt. Als iemand de centrale regie heeft, voorkom je dat vraagstukken tussen ministeries worden doorgeschoven doordat verantwoordelijkheden niet helder zijn.’

Hoe zit dat buiten Den Haag?

‘Bij bedrijven en maatschappelijke organisaties is helaas nog steeds niet altijd voldoende aandacht voor cybersecurity of niet op het juiste niveau. Cyberveiligheid gaat de hele organisatie aan, van directiekamer tot werkvloer. Het probleem is dat cybersecurity een negatieve businesscase is: je moet investeren om te voorkomen dat iets gebeurt waarmee je schade oploopt. Het blijft een uitdaging om daar de handen voor op elkaar te krijgen als niet duidelijk is wat de risico’s zijn en wat het oplevert. Die risico’s worden nog altijd onderschat.’

Wat is er nodig om dat te veranderen?

‘Openheid. De aanval met gijzelsoftware op Maastricht University is een goed voorbeeld. Zij zijn open geweest over wat hen is overkomen. Dat schudt collega-organisaties wakker om na te gaan hoe het eigenlijk in hun eigen organisatie geregeld is. Nederlandse universiteiten zijn sindsdien onderling meer gaan samenwerken op het gebied van cybersecurity en dat is een positieve ontwikkeling.’

‘Bedrijven en organisaties zijn over het algemeen terughoudend met het openbaar maken van cyberincidenten, omdat ze reputatieschade vrezen. Daar moeten we vanaf. In de eerste plaats zien we bij onze Amerikaanse buren andere feiten. Uit Amerikaans onderzoek blijkt namelijk dat openheid over cybercrime daar niet leidt tot noemenswaardige reputatieschade, zeker niet op de lange termijn. In de tweede plaats vormt die houding een bedreiging voor de digitale weerbaarheid van Nederland. Als niemand ooit iets zou delen, kunnen we niet van elkaar leren en anticiperen op toekomstige dreiging en incidenten bij anderen. Hoe meer informatie beschikbaar is, hoe beter. We moeten voorbij de schaamte van slachtoffer zijn van cybercrime en toe naar een situatie waarin je juist reputatieschade lijdt als je niet open bent over cyberincidenten in je organisatie.’

‘Er wordt in het cybersecuritydomein veel geïnvesteerd in het voorkomen van incidenten, van firewalls en e-mailstandaarden tot tweestapsverificatie en awarenesstrainingen voor personeel. Voorkomen is beter dan genezen, maar als je bedenkt dat het vaak drie tot zes maanden duurt voordat een databreach ontdekt wordt, kun je wel nagaan dat alleen preventie niet genoeg is. Er moet meer aandacht worden besteed aan detectie en respons. Er is wel een verschuiving gaande, maar het moet echt nog beter. Ook moet er meer aandacht worden besteed aan governance. Daartoe hebben we naast operationele en tactische CISO’s meer strategische CISO’s nodig. Als je het vergelijkt met de beveiliging van een gebouw: een slot op de deur is niet genoeg. Je moet ook een alarm plaatsen, sensoren bij de ramen én een bewaker paraat hebben om langs te sturen als er een melding binnenkomt.’

Hoe kijk jij naar de toekomst van het cybersecuritydomein?

‘Binnen Cyberveilig Nederland hebben we een visiedocument opgesteld met randvoorwaarden die wat ons betreft de komende vijf jaar nodig zijn om de digitale transformatie goed te laten verlopen. We moeten bovenal kennis en data beter en breder delen. Cyberveilig Nederland is onlangs aangewezen als samenwerkingsverband dat objectief kenbaar tot taak (OKTT) heeft andere organisaties te informeren over cyberdreigingen en -incidenten. Een mooie ontwikkeling. Na drie jaar pionieren zijn we onderdeel van het Landelijk Dekkend Stelsel (LDS). Daarop zijn we trots en het voelt als erkenning een goede vertegenwoordiger te zijn van de cybersecuritysector. We zijn als vervolg hierop bezig de informatiedeling over en weer verder op gang brengen.’

‘Ik wil de overheid oproepen om met de bril van 2021 naar het cyberdomein te kijken. Inmiddels zijn we bijna tien jaar verwijderd van de oprichting van het NCSC. De focus die bij de oprichting werd gelegd op overheid en enkele vitale sectoren was destijds logisch, maar het is tijd voor een volgende stap. Het cybersecuritydomein en de wereld waarin het opereert zijn veranderd. Toeleveringsketens maken vitale organisaties kwetsbaar. Door toegenomen bedrijfsspionage is economische veiligheid naast nationale veiligheid van groot belang. Het verschil in cybersecurity ‘volwassenheid’ tussen organisaties is gegroeid. Ik zie het voor me dat het NCSC zich in de toekomst richt op organisaties die volwassen genoeg zijn om de informatie van het NCSC te gebruiken en die de informatiestroom ook wederkerig kunnen maken. Dat komt het LDS ten goede. Het DTC kan zich dan toeleggen op het verhogen van volwassenheid van overige organisaties in Nederland.’