Minister Ferd Grapperhaus van Justitie en Veiligheid heeft in het Financieele Dagblad laten weten dat de overheid in zou moeten kunnen grijpen bij bedrijven die hun digitale veiligheid niet op orde hebben. Deze uitspraak deed hij naar aanleiding van een onderzoek van de Volkskrant, waaruit bleek dat veel Nederlandse bedrijven een kwetsbaarheid maandenlang niet hadden gedicht.
Wie aangeeft geen tijd of geld te hebben om zijn beveiliging helemaal op orde te hebben, is volgens de minister ‘een oliebol’. In het specifieke geval van de kwetsbaarheid uit het Volkskrant-onderzoek, waarbij veel bedrijven te laat waren met het updaten van de VPN die de kwetsbaarheid bevatte, kun je je inderdaad afvragen of deze niet eerder gedicht had kunnen worden. Maar willen we dit soort bewoordingen echt gebruiken wanneer bedrijven slachtoffer worden van cybercrime? Is vingerwijzen naar de slachtoffers de beste manier om cybercrime in de toekomst te voorkomen?
Het antwoord daarop is nee, dat is het niet. Dat weet de minister zelf ook, want Grapperhaus moest na zijn uitspraken bekennen dat zijn eigen ministerie dezelfde fout had gemaakt. In het huidige complexe IT-landschap, dat ook nog eens continu in beweging is, is het onmogelijk alle gaten altijd te dichten. Bovendien kun je vandaag alles gedicht hebben, maar morgen weer worden blootgesteld aan een nieuw lek. Wanneer bedrijven zich daar bewust van zijn, zullen ze zich beter voorbereiden op toekomstige aanvallen. Dat is beter dan je veilig voelen terwijl je dat eigenlijk niet bent.
Door bedrijven aan de schandpaal te nagelen, of, zoals Grapperhaus wil, te bestraffen of beboeten, verdwijnen details over cyberaanvallen naar de achtergrond. Bedrijven maken niet meer bekend tegen welke cyber defense problemen zij aanlopen, waardoor andere organisaties niet meer kunnen leren van hun ‘best practices’. Daar komt nog bij dat regulering door de overheid zou verzanden in een lijst van eisen waar bedrijven aan moeten voldoen. Wanneer ze deze lijst op orde hebben, wordt een schijnveiligheid gecreëerd die niets zegt over het daadwerkelijke securityniveau.
In plaats van in harde bewoordingen te roepen wat hij van deze bedrijven vindt en zich te beraden op onhaalbare straffen, zou ik de minister willen adviseren beter te kijken naar organisaties die cyber defense wél succesvol op de agenda zetten, zoals De Nederlandsche Bank. Het door DNB opgezette testraamwerk TIBER (Threat Intelligence Based Ethical Red Teaming) wordt internationaal geprezen. Binnen het TIBER-programma huren deelnemende instellingen gespecialiseerde bedrijven in, die op basis van de meest actuele dreigingsinformatie met een ‘red team’ gecontroleerde aanvallen uitvoeren op kritieke systemen. Informatie uit deze testaanvallen wordt vervolgens (op een veilige manier) met elkaar uitgewisseld, zodat iedere instelling de leerpunten direct kan verwerken in het eigen securitybeleid.
Met het TIBER-programma worden financiële instellingen gemotiveerd hun eigen security onder de loep te nemen, waarna waardevolle inzichten binnen de branche worden gedeeld. De minister zou er goed aan doen geen schuldigen aan te wijzen: cyber defense is een probleem van ons allemaal. Hij zou er verstandiger aan doen te kijken naar een breed overheidsprogramma waarbij bedrijven hun cyber defense op voorhand kunnen testen, zodat ze bij een volgend onderzoek niet door de mand vallen. En als dat dan toch gebeurt, dan hebben ze daarvan geleerd en kunnen ze die informatie beter met andere bedrijven delen dan boetes betalen of hun excuses aanbieden.
Roel van Rijsewijk, Directeur Cyber Defense, Thales
Bijlagen
4.9 MB jpg Roel van Rijsewijk
Over Thales
De mensen op wie we allemaal vertrouwen om de wereld draaiende te houden, vertrouwen op Thales. Onze klanten komen naar ons toe met grote ambities: om het leven beter te maken, om ons veilig te houden.
Door een unieke combinatie van diverse expertise, talenten en culturen, ontwerpen en leveren onze architecten buitengewone hoogtechnologische oplossingen. Oplossingen die morgen mogelijk maken, en wel vandaag. Van de bodem van de oceanen tot diep in de ruimte en cyberspace helpen we onze klanten slimmer te denken en sneller te handelen – zodat groeiende complexiteit en ieder beslissend moment beheersbaar blijft.
Thales genereert na de overname van Gemalto in 2019 een omzet van € 19 miljard met 80.000 werknemers in 68 landen.
Meer informatie:
www.thalescybersecurity.nl.
PERSCONTACT
Yellow Communications
Sarada Sant
Tel: +31 (0)23 555 34 24
E-mail:
thales@yellow-communications.com