Jeroen Kasbergen, cybersecurity adviseur bij het Digital Trust Center (DTC), praat ons bij over de staat van de cyberweerbaarheid van Nederlandse bedrijven en organisaties. Welke adviezen en tips heeft hij voor zijn doelgroep? Wat verwacht hij van de nauwere samenwerking met het NCSC? En wat zijn de grootste uitdagingen voor 2023 en verder?
Kun je het DTC kort introduceren voor wie jullie nog niet kent?
Het Digital Trust Center heeft de missie om ondernemend Nederland cyberweerbaar te maken. Het DTC helpt organisaties met informatie, advies en tools om veilig digitaal te ondernemen. Onze doelgroep bestaat uit 2 miljoen ondernemingen, van zzp tot grootzakelijk. Eigenlijk alle organisaties die niet vallen onder de Wbni (Wet Beveiliging Netwerk- en Informatiesystemen).
Hoe staat het DTC in contact met haar doelgroep?
We zijn een relatief kleine organisatie, met ongeveer 24 medewerkers. Als je dat stelt tegenover onze doelgroep van 2 miljoen, snap je dat we slimme oplossingen nodig hebben om effectief te zijn. We kunnen als organisatie zelf simpelweg niet alle bedrijven van Nederland individueel bereiken. Dat is gelukkig ook niet nodig om goed onze taak te kunnen vervullen. Naast onze algemene informatie via onze website en andere kanalen, proberen wij zoveel mogelijk samen te werken met regionale verbanden en met sector- en brancheorganisaties. Zij staan dichter bij bedrijven en spreken hun taal. Als zij iets adviseren, zal het nog beter overkomen dan wanneer wij, ‘de overheid’, het zeggen. Voor de herkenbaarheid zetten we daarom bijvoorbeeld in op het delen van ondernemersverhalen: ondernemers luisteren naar ondernemers. Overigens hebben we weldegelijk ook direct contact met ondernemers: sinds de zomer van 2021 zijn al meer dan 5,000 bedrijven door het DTC geïnformeerd over dreigingen tegen hun netwerk of informatiesystemen.
Ondernemersverhalen
DTC deelt verhalen van ondernemers die te maken hebben gehad met een cyberaanval of -incident. Zoals dat van een voedingsmiddelenbedrijf waar ‘s nachts verdachte activiteit op de servers werd waargenomen door de IT-leverancier. Goede voorbereiding en adequaat optreden zorgde dat de schade beperkt bleef.
Wat is de grootste uitdaging op gebied van cyberweerbaar ondernemen?
Er bestaan veel misverstanden over cyberweerbaarheid. We zien ontwikkelingen in de goede richting, maar er zijn nog genoeg ondernemers die denken dat er bij hen niets te halen valt of ondernemers die niet precies weten hoe ze met dit thema concreet aan de slag kunnen. Soms spreek ik met een ondernemer en hoor ik: 'Die computer moet het gewoon doen en veilig zijn, ik hoef toch niet precies te snappen hoe dat allemaal werkt?'. Daarom zijn onze uitingen zijn zoveel mogelijk in duidelijke taal en in relatie met thema’s die voor ondernemers belangrijk zijn, zoals bedrijfscontinuïteit. Een dag niet werken door een cyberprobleem kost geld. Die kosten kun je leggen naast de investering om problemen te voorkomen of het risico daarop te beperken.
Overigens, ondernemers hebben genoeg op hun bord. Cybersecurity is een van de vele dagelijkse prioriteiten waar ze besluiten over moeten nemen. Ook daarom proberen we informatie zo concreet en eenvoudig mogelijk te presenteren en na te denken vanuit het risicoprofiel van de ondernemer. Niet iedereen hoeft super geavanceerd te zijn: een kapper heeft een heel ander risicoprofiel dan een financieel dienstverlener. Maar de basisprincipes gelden voor iedereen, dus die zijn voor ons het startpunt. We werken momenteel aan communicatie over de basisprincipes die de ondernemer aan de hand meeneemt langs een aantal stappen die hij meteen kan zetten. Want als een ondernemer het belang van investeren in cyberweerbaarheid inziet, is de grote vervolgvraag vaak: Wat moet ik nu eigenlijk precies doen?
Je noemde dat jullie zoeken naar slimme oplossingen. Zijn die ook op technisch vlak te vinden?
Jazeker. Een van de dingen die we doen is bedrijven waarschuwen als ze een kwetsbaarheid in hun systeem hebben. Dat is best arbeidsintensief. Daarom hebben we ingezet op een securityfile - security.txt. Dat kun je als ondernemer laten genereren en vrij eenvoudig op je server zetten. Daarin staat het e-mailadres waarop je wilt dat geautomatiseerde meldingen van kwetsbaarheden in je systemen binnenkomen. Het is een laagdrempelige manier om de doelgroep te bereiken en blijkt goed te werken. Als een ondernemer er zelf niet uitkomt, adviseren wij om contact op te nemen met de ICT-dienstverlener en het door hen te laten doen. Sowieso, speelt die een belangrijke rol bij onze doelgroep.
Brancheorganisaties, maar ook bijvoorbeeld Google, Amazon, Platform Internetstandaarden (Internet.nl) en het NCSC hebben het omarmd en pleiten bij hun achterban om het te installeren. Het NCSC wil het binnen de Rijksoverheid standaard maken en samen werken we eraan om het op te laten nemen op de ‘Pas toe of leg uit’-lijst. Die lijst geeft aan wat de basisstandaarden zijn die je als rijksoverheidsorganisatie moet naleven. Als je dat niet doet, moet je heel goed kunnen uitleggen waarom niet. Internet.nl heeft het toegevoegd als een van de standaarden in hun scan. Daar ben ik echt trots op. Dit is het hefboomeffect waar we naar streven.
NCSC x DTC x CSIRT-DSP
Het Nationaal Cybersecurity Centrum (NCSC), het Digital Trust Center (DTC) en het Cyber Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP) gaan samen in één centraal expertisecentrum en informatieknooppunt. Het bundelen van kennis en informatie rondom cybersecurity, wettelijke taken en dienstverlening bij grote incidenten vergroot de digitale weerbaarheid van Nederland. Deze nieuwe instelling gaat alle organisaties in Nederland - groot of klein, publiek of privaat, vitaal en niet-vitaal - van passende informatie en kennis voorzien.
Wat verwacht je van de samenwerking tussen het DTC en het NCSC?
Cybersecurity is steeds meer een gezamenlijke verantwoordelijkheid door de toenemende digitalisering en verwevenheid van organisaties in de supply chain. Je kunt als vitale organisatie last krijgen van cyberproblemen bij niet-vitale organisaties en andersom. Daar moet je op voorbereid zijn en met elkaar over in gesprek. Daarom is samenwerking goed.
De nauwere samenwerking tussen DTC en NCSC is een interessante uitdaging voor beide organisaties. We hebben elk een eigen taak, eigen doelstellingen en eigen doelgroepen. Daardoor verschillen soms onze werkwijzen, onze boodschap en hoe we die overbrengen. Belangrijk is ook dat de cultuur van beide organisaties anders is. Ik heb het gevoel dat wij vrijer en flexibeler kunnen zijn in de uitvoering van onze taak. Uiteindelijk zullen we de goede dingen van beide organisaties moeten meenemen naar die nieuwe organisatie. De technische kennis en ervaring van NCSC kunnen wij bijvoorbeeld niet evenaren. Onze kracht zit denk ik in de snelheid van producten ontwikkelen voor specifieke doelgroepen en deze aan de man te brengen. Fijn aan het samengaan is dat je expertise, kennis en ervaring beter kunt delen en inzetten ter verbetering van de dienstverlening.
Welke ontwikkelingen op gebied van cybersecurity volg je met belangstelling?
Quantum computing is al jaren een buzzwoord. Computers kunnen steeds betere en grotere berekeningen maken. Het gevolg is dat de encryptie die we nu gebruiken op een bepaald moment binnen een mum van tijd kan worden ontcijferd. Een aantal organisaties maakt zich daar ernstig zorgen over. Want gestolen, versleutelde data die nu niet te kraken is, kan over tien jaar alsnog toegankelijk worden en in de verkeerde handen vallen. Daarom moeten we er nu al iets mee bij het beveiligen van onze systemen.
Verder zie ik uit naar de verdere ontwikkeling van de Software Bill of Materials (SBoM). Dat is als het ware een ingrediëntenlijst van een softwareproject zodat je weet welk stukje code waar zit en hoe het wordt gebruikt. Log4j heeft de noodzaak hiervan aangetoond, waardoor deze ontwikkeling in een versnelling is gekomen.
Hoe zie je de toekomst van cybersecurity in Nederland voor je?
We moeten inzetten op slimmere oplossingen. Om auto te rijden hoef je niet precies te weten hoe de motor werkt, dat laat je aan de monteur. Zo zou het ook voor digitale systemen moeten werken. Zij staan in dienst van de gebruikers en de security- en IT-professionals moeten ze beveiligen en de continuïteit waarborgen. Niet iedereen hoeft te snappen hoe je firewalls aanzet, maar wel dat je er een nodig hebt. Leveranciers van ICT-diensten, soft- en hardware producten hebben hier ook een verantwoordelijkheid in en dat wordt inmiddels ook door Europa omarmd.
In het afgelopen jaar is duidelijk geworden dat dit kabinet cybersecurity niet langer als keuze of optie ziet. Zo is het natuurlijk ook, met name in onze doelgroep wordt cybersecurity als extra dienstverlening of extra kosten gezien. Ik denk dat wij duidelijk kunnen en moeten maken dat cybersecurity een essentieel deel van de bedrijfsvoering is van bedrijven en dus niet langer optioneel is. Ik verwacht dat wet- en regelgeving uit Europa daarbij gaat helpen. Naast de NIB2-richtlijn is er EU-wetgeving in de maak die een bepaalde basiskwaliteit van IT-dienstverlening afdwingt, zodat beknibbelen op cybersecurity inderdaad geen optie meer is. Het DTC is recent ook de Tweede Kamer gevraagd om actief te werken aan zowel een keurmerk en een oefenagenda voor onze doelgroep. Duidelijke signalen dat het DTC een plek heeft in het stelsel en doet waar ondernemers nu behoefte aan hebben.
Alleen samen komen we tot een ecosysteem waarbij zowel de overheid als particuliere organisaties in Nederland gezamenlijk zorgen voor een weerbaar cyberlandschap. Omdat dat een randvoorwaarde is voor een weerbare samenleving waarin mensen en organisaties doen waar ze goed in zijn zonder dat cyberdreiging ons als het zwaard van Damocles boven het hoofd hangt.