Met Eric van Uden, Country Manager Nederland bij AVM, praten we over de oproep die de Cyber Security Raad, een onafhankelijk adviesorgaan voor het Kabinet, ondanks deed. De Raad spoort een nieuwe regering aan tot meer investeringen in cybersecurity. Een blog in onze reeks ‘Het Meest Opvallende Nieuws Van..’ waarin iemand uit de markt een week lang onze nieuwsberichten volgt.
Volgens het adviesorgaan zijn de huidige investeringen in cybersecurity niet genoeg om de groeiende digitale dreigingen vanuit statelijke actoren en cybercriminelen het hoofd te bieden. Allereerst vragen we Van Uden als IT- en telecomveteraan wat zijn advies aan de politiek zou zijn. “Eigenlijk is het voor het belangrijkste advies al te laat,” is zijn reactie. “Dat is namelijk: zorg voor voldoende kennis over telecom, datacom en cybersecurity in de Tweede Kamer.” Die kennis is in het nieuwgekozen parlement onvoldoende aanwezig. “Dat betekent dat Kamerleden voor veel belangrijke informatie moeten leunen op de input van externen. Daardoor kun je eigenlijk als toezichthoudend en controlerend orgaan onvoldoende beoordelen wat er gebeurt.”
De risico’s zitten in de versnippering van informatie, en de invloed van lobbygroepen. “Ik zie een toename van organisaties die inspringen op het gebrek aan kennis op het gebied van cybersecurity.” Terwijl veiligheid en beveiliging naar de mening van Van Uden juist zaken zijn dat je “simpelweg doet en uitvoert” en waar je verder niet te veel over vertelt. “Dus geen borstklopperij in allerlei gremia, maar in een hecht en deskundig overleg tot afspraken en controle komen.” Dat organiseert dan een richtinggevende groep mensen van professionals die niet alleen weten waar ze over hebben, maar ook in staat zijn de verschillende belangen van burgers, bedrijven en overheden af te wegen.”
Gekanaliseerd wantrouwen
In het artikel wordt gewezen op het belang van Europese wetgeving op het gebied van security. NIS2 wordt genoemd, maar daarnaast krijgen of hebben we te maken met de Cyber resilience Act en de CER-richtlijn. Waar die laatste het fysieke toezicht op objecten, zoals bijvoorbeeld datacenters, regelt, gaat het bij NIS2 om dataveiligheid en privacy. Van Uden: “Het zijn duidelijke richtlijnen, die eisen stellen en aangeven welke beveiligingsmaatregelen genomen moeten worden. Dit wordt gekoppeld aan handhaving, mogelijke boetes en persoonlijke aansprakelijkheid.”
De Cyber Resilience Act versterkt de impact van de andere regels, door heel duidelijk eisen te stellen aan het ontwerp van hard- en software. Ook die wet komt met onder meer een meldplicht bij incidenten. “Zo wordt gezond wantrouwen gekanaliseerd via drie stevige wetten,” stelt Van Uden. “Die denkrichting vind ik juist.”
Vergeet patches niet
Daarbij mag het volgens Van Uden niet blijven. “Nog steeds is het zo dat het installeren van software-updates en het uitvoeren van patches veel problemen voorkomt. Te vaak zeggen bedrijven dat het patchen een risico kan zijn, omdat elders in de stack problemen kunnen ontstaan. Wat dat betreft moeten we blijven leren van de zorgsector. ‘Treat first what kills first’, is hun motto. De risico’s van het niet doorvoeren van updates is in een IT-omgeving de meest bedreigende kwaal.”
