Cyber defense: geen schandpaal maar leerproces

Opinie 03-10-2019 om 10:00 - Security


Cyber defense: geen schandpaal maar leerproces

Minister Ferd Grapperhaus van Justitie en Veiligheid heeft in het Financieele Dagblad laten weten dat de overheid zou moeten kunnen ingrijpen bij bedrijven die hun digitale veiligheid niet op orde hebben. Deze uitspraak deed hij naar aanleiding van een onderzoek van de Volkskrant, waaruit bleek dat veel Nederlandse bedrijven een kwetsbaarheid maandenlang niet hadden gedicht.

Wie aangeeft geen tijd of geld te hebben om zijn beveiliging helemaal op orde te hebben, is volgens de minister ‘een oliebol’. In het specifieke geval van de kwetsbaarheid uit het Volkskrant-onderzoek, waarbij veel bedrijven te laat waren met het updaten van de VPN die de kwetsbaarheid bevatte, kun je je inderdaad afvragen of deze niet eerder gedicht had kunnen worden. Maar willen we dit soort bewoordingen echt gebruiken wanneer bedrijven slachtoffer worden van cybercrime? Is vingerwijzen naar de slachtoffers de beste manier om cybercrime in de toekomst te voorkomen?

Het antwoord daarop is nee, dat is het niet. Dat weet de minister zelf ook, want Grapperhaus moest na zijn uitspraken bekennen dat zijn eigen ministerie dezelfde fout had gemaakt. In het huidige complexe IT-landschap, dat ook nog eens continu in beweging is, is het onmogelijk alle gaten altijd te dichten. Bovendien kun je vandaag alles gedicht hebben, maar morgen weer worden blootgesteld aan een nieuw lek. Wanneer bedrijven zich daar bewust van zijn, zullen ze zich beter voorbereiden op toekomstige aanvallen. Dat is beter dan je veilig voelen terwijl je dat eigenlijk niet bent.

Door bedrijven aan de schandpaal te nagelen, of, zoals Grapperhaus wil, te bestraffen of beboeten, verdwijnen details over cyberaanvallen naar de achtergrond. Bedrijven maken niet meer bekend tegen welke cyber defense problemen zij aanlopen, waardoor andere organisaties niet meer kunnen leren van hun ‘best practices’. Daar komt nog bij dat regulering door de overheid zou verzanden in een lijst van eisen waar bedrijven aan moeten voldoen. Wanneer ze deze lijst op orde hebben, wordt een schijnveiligheid gecreëerd die niets zegt over het daadwerkelijke securityniveau.

In plaats van in harde bewoordingen te roepen wat hij van deze bedrijven vindt en zich te beraden op onhaalbare straffen, zou ik de minister willen adviseren beter te kijken naar organisaties die cyber defense wél succesvol op de agenda zetten, zoals De Nederlandsche Bank. Het door DNB opgezette testraamwerk TIBER (Threat Intelligence Based Ethical Red Teaming) wordt internationaal geprezen. Binnen het TIBER-programma huren deelnemende instellingen gespecialiseerde bedrijven in, die op basis van de meest actuele dreigingsinformatie met een ‘red team’ gecontroleerde aanvallen uitvoeren op kritieke systemen. Informatie uit deze testaanvallen wordt vervolgens (op een veilige manier) met elkaar uitgewisseld, zodat iedere instelling de leerpunten direct kan verwerken in het eigen securitybeleid.

Met het TIBER-programma worden financiële instellingen gemotiveerd hun eigen security onder de loep te nemen, waarna waardevolle inzichten binnen de branche worden gedeeld. De minister zou er goed aan doen geen schuldigen aan te wijzen: cyber defense is een probleem van ons allemaal. Hij zou er verstandiger aan doen te kijken naar een breed overheidsprogramma waarbij bedrijven hun cyber defense op voorhand kunnen testen, zodat ze bij een volgend onderzoek niet door de mand vallen. En als dat dan toch gebeurt, dan hebben ze daarvan geleerd en kunnen ze die informatie beter met andere bedrijven delen dan boetes betalen of hun excuses aanbieden.

Roel van Rijsewijk is directeur Cyber Defense van Thales

Downloaden is alleen mogelijk wanneer je bent ingelogd. Klik hier om in te loggen.

Thales

Type:
Bedrijf

Contactpersoon:
Sarada Sant

Adres:
Kruisweg 811a, 2132 NG Hoofddorp, Nederland

Telefoon:
023 555 34 24

PR-contact:
Yellow Communications

Over Thales:
In een wereld die steeds sneller wordt, onvoorspelbaar is en veel kansen biedt, helpen wij die mensen die de ambitie hebben om het leven te verbeteren en veiliger te maken. Door onze unieke diversiteit aan expertise, talenten en culturen te combineren, ontwerpen en realiseren onze engineers buitengewone oplossingen. Oplossingen die de uitdagingen van morgen, vandaag mogelijk maken. Van de bodem van de oceaan tot diep in de ruimte en cyberspace, helpen wij onze klanten betere en snellere beslissingen te maken in een steeds complexere wereld. Met 65.000 medewerkers in 56 landen, behaalde Thales in 2017 een omzet van € 15,8 miljard.

Lees meer