Dit voorjaar bracht de Cyber Security Raad een nogal zorgwekkend rapport uit over de cyberweerbaarheid van Nederland. De Raad waarschuwt dat andere Europese landen een veelvoud uitgeven aan cyberdefensie. Om in lijn te komen met de rest van Europa is minimaal 833 miljoen euro aan extra investeringen nodig gedurende de komende kabinetsperiode. Wie het nieuws een beetje in de gaten houdt, snapt waarom. Recent was autofabriek VDL NedCar het haasje, waar de productie stil kwam liggen door ransomware. Eerder dit jaar werden ook RTL en de Universiteit van Maastricht door dergelijke aanvallen getroffen. En dat zijn alleen nog maar de incidenten die breed worden uitgemeten.
De vraag is alleen: waar komen dat soort cyberaanvallen vandaan? De eerste reactie is vaak dat het georganiseerde bendes zijn die big business maken van malware. Maar soms is dat maar het halve verhaal. Soms zitten er hele landen achter de aanvallen, zo zegt Andrzej Kozlowski, een security-analist van de Poolse denktank Het Koscioszko Instituut. “Bedenk dat nationale staten veel meer capaciteit hebben om aanvallen uit te voeren, en dat zij geen kosten-batenanalyse hoeven te maken”, zegt hij. “De afgelopen twee jaar hebben we bijvoorbeeld gezien hoe aanvallen zijn uitgevoerd op medische faciliteiten. Dan heb je het over echt kritische infrastructuur, en daar zit zeer waarschijnlijk een vijandige overheid achter.” Vooral Rusland heeft er volgens hem een handje van om samen te werken met cybercriminelen, zodat ze zelf hun handen in onschuld kunnen wassen. Maar alleen de meest naïeve observator zou aannemen dat de cyberaanval in 2007 op Estse instanties puur het initiatief was van cybercriminelen. Al was het alleen maar omdat een loslippige Russische officier in een interview zich erover op de borst klopte.
Nederland loopt voorop is het beeld
Dat soort aanvallen lijkt Nederland voorlopig bespaard. Er waren pogingen om het Openbaar Ministerie te hacken om bij bestanden rond het neerschieten van vlucht MH17 boven Oekraïne te komen, maar die zijn dan weer succesvol verijdeld. Wie in landen als Polen of de Baltische staten vraagt of Nederland cyberdefensie serieus neemt, zal waarschijnlijk een positieve reactie krijgen. Onder andere omdat in het kader van initiatieven in zowel Europees verband als NAVO-verband innig wordt samengewerkt met Nederland. En op het gebied van kennis en middelen, zo zeggen beleidsmakers, loopt Nederland juist voorop.
Als voorbeeld noemt Kozlowski de Alarmex-oefening die in het voorjaar plaatsvond, waarbij een aanval werd gesimuleerd op de Nederlandse ambassade in Warschau. “Die oefening liet zien dat er binnen de Europese Unie een volledig operationele capabiliteit is op security-gebied. En dat op alle fronten: de responstijd, het beslissingstraject en het over landsgrenzen heen oplossen van incidenten.”
Op het gebied van kennis en middelen rond cybersecurity loopt Nederland voorop
Prioriteiten stellen
Een belangrijk onderdeel van de cyberdefensie is daarom niet alleen hoeveel investeringen een land steekt in het opbouwen van de cyberbeschermingen. Het gaat ook om het vaststellen van de juiste prioriteiten, die voor ieder land anders zijn. Litouwen, een land dat als buurland van Rusland regelmatig kop van jut is, heeft bijvoorbeeld een hele duidelijke selectie gemaakt. “We hebben een lijst van kritieke infrastructuur opgezet, en dan heb je het over meer dan honderd organisaties”, zegt Rytis Rainys, de directeur van het nationale cybersecuritycentrum van dat land. “Op basis daarvan nodigen we bedrijven uit om mee te doen.” Waar in het begin de respons erg voorzichtig was, zijn de bedrijven die nu mee willen doen volgens Rainys niet meer aan te slepen. “Het is eigenlijk een uitstekende en kosteloze securitytest die je krijgt.”
In Nederland zelf ligt de prioriteit echter anders, en daarover trekt de Cyber Security Raad met haar rapport juist over aan de bel. “Regelmatig is bij organisaties de cybersecurityvolwassenheid onvoldoende, mede doordat de basis IT- en beveiligingshygiëne niet op orde is. Daardoor kunnen basale dreigingen niet gepareerd of gedetecteerd worden”, zo staat in het rapport, met daarbij de opmerking dat dit ook voor cruciale processen geldt. Ook is er onvoldoende zicht op belangrijke trends, en wordt er te weinig geïnvesteerd in kennis en innovatie.
De Cyber Security Raad pleit voor een standaard zorgplicht in B2B-contracten
De rol van leveranciers
De vraag is dan: waarom is Nederland dan wel zo actief als het gaat om de samenwerking opzoeken met andere landen? Ieder land, ook binnen de Europese Unie, heeft een andere aanpak, zo zegt Margiris Abukevicius, onderminister van defensie in Litouwen. Een land als Nederland is een hoeksteen van het regionale samenwerkingsproces, “maar bijvoorbeeld Frankrijk wilde meer zijn private sector erin betrekken.” Ze zijn officieel observator, maar dus wel van een afstandje.
Nederland is op cyberdefensiegebied dus niet hulpeloos. Maar omdat de nadruk altijd meer heeft gelegen op de overheid, ligt er toch een risico dat de zogenoemde vitale systemen kwetsbaar kunnen worden. Volgens de raad “moeten er meer handvatten zijn om leveranciers te dwingen minimale cybersecurity te borgen in hun producten en diensten. Op dit moment is dat niet het geval. Door het invoeren van een wettelijke zorgplicht worden leveranciers aansprakelijk voor de gevolgen van onveilige digitale producten en diensten.”
En daar komt de rol van ICT-bedrijven en -in het verlengde daarvan- hun partners om de hoek kijken. De Raad pleit voor een standaard zorgplicht in B2B-contracten, en dat komt neer op securityrichtlijnen waar iedereen zich aan moet houden. Dat betekent dus extra verantwoordelijkheid voor leveranciers en partners richting vooral hun mkb-klanten.
[Dit artikel is eerder gepubliceerd in Security & Privacy Dossier 2021]