Nieuw cybersecuritycentrum vervult beveiligingsrol voor MKB
De Nederlandse overheid wil cybersecurity naar een hoger plan tillen en trekt 26 miljoen euro extra uit. Van dat geld wordt onder meer een beveiligingsdienst opgezet voor bedrijven groot en klein.
De Rijksoverheid erkent het belang van cybersecurity voor het bedrijfsleven en daarmee voor heel Nederland. Het vorige, toen nog demissionaire kabinet heeft besloten om 26 miljoen euro extra toe te wijzen aan cybersecurity. Deze miljoenen worden gebruikt voor onder meer de oprichting van het Digital Trust Centre (DTC).
Informatie en actie
Dit nieuwe beveiligingscentrum start in 2018 en moet het bedrijfsleven helpen weerbaarder te worden tegen cyberdreigingen. Hiervoor zal het met ondernemers samenwerken om informatie over digitale dreigingen te vergaren en te combineren, adviezen over securitytrends uit te brengen en concrete beveiligingsmaatregelen aan te dragen.
Dit brede beveiligingswerk wordt langs meerdere wegen ingezet. Deels via bestaande tussenpartijen zoals regionale samenwerkingsverbanden en brancheorganisaties, deels via nieuw op te zetten intermediaire organisaties, en deels via een nog te bouwen digitaal informatieplatform. Het DTC gaat zijn security-ondersteuning ook afstemmen op de behoefte en het volwassenheidsniveau van de betreffende ondernemingen, sectoren en branches.
Kansen, met risico’s
“Dreigingen in het digitale domein nemen nog steeds toe”, zegt Patricia Zorko, directeur Cyber Security en plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Zij stelt dat digitale mogelijkheden veel nuttige voordelen hebben en kansen bieden, voor economie en maatschappij. De keerzijde is dat daarbij nieuwe risico’s en gevaren meekomen, waarschuwt Zorko die voormalig politietopfunctionaris is. “De digitale wereld bedreig je met een paar muisklikken, waarbij de cyberwereld geen douane heeft. We zijn nu een cybernatie en daar horen bepaalde afhankelijkheden en in wezen ook verantwoordelijkheden bij.” Vanuit het Nederlandse bedrijfsleven en securityleveranciers wordt al geruime tijd gepleit voor een dienst als het nu komende DTC.
Formeel heeft Nederland al sinds 1 januari 2012 het Nationaal Cyber Security Centre (NCSC), wat zich richt op it-security voor het landelijk belang. Het NCSC is een samenwerking van overheidsorganisaties en het bedrijfsleven, die met gebundelde krachten zorgen voor een integrale, sectoroverkoepelende aanpak van cybersecurity. Het officiële doel is ‘het vergroten van de weerbaarheid van de Nederlandse samenleving in het digitale domein’.
Gat in de markt
Daarvoor doet het al bestaande cybersecuritycentrum aan informatievergaring en ‑uitwisseling over digitale dreigingen, naast het publiceren van beveiligingsbulletins. In de praktijk kent het NCSC echter een beperking: het mandaat van deze ict-beveiligingsdienst is voor de Rijksoverheid en voor organisaties in de zogeheten vitale infrastructuur: water, energie en telecommunicatie. Buiten de boot vallen dus lokale overheden, kleine bedrijven en grote ondernemingen die formeel geen deel uitmaken van de vitale infrastructuur. “Cybercriminaliteit kan echter de gehele Nederlandse economie raken”, merkt een woordvoerder van de Rijksoverheid op bij de oprichting van het DTC. Deze nieuwe beveiligingsdienst richt zich dan ook op dat bredere en grote deel van ‘de BV Nederland’.
Onwetendheid troef
Minister Henk Kamp van Economische Zaken schreef in zijn DTC-aankondigingsbrief aan de Tweede Kamer al: “Het niet als vitaal aangemerkte gedeelte van het bedrijfsleven, zijnde het grootste deel van het bedrijfsleven, wordt echter steeds vaker digitaal aangevallen en is zich vaak niet bewust van dreigingen in het digitale domein en hoe zich daartegen te beschermen”.
Nederland is rijk aan middelgrote en ook kleinere bedrijven. Het mkb wordt wel de motor van de Nederlandse economie genoemd. Bovendien hebben verschillende hacks inmiddels wel duidelijk gemaakt dat cybersecurity staat of valt met de zwakste schakel. Aanvallers kunnen via een vertrouwde, kleine partner binnendringen.
Een recent voorbeeld is de datadiefstal bij het Australische ministerie van Defensie. Via een kleine, slecht beveiligde ondernemer is topgeheime informatie buitgemaakt over gevechtsvliegtuigen, marineschepen en surveillancevliegtuigen. Deze hack lijkt ver weg van Nederland, maar de gestolen data omvat ook technische gegevens over de F-35 Joint Strike Fighter. Dit omstreden en ict-doorweven gevechtsvliegtuig wordt onder meer door Nederland afgenomen en ingezet.
Vele kleintjes, kosten miljarden
Naast zulke opzienbarende security-incidenten op hoog, strategisch niveau zijn er vele, kleinere hacks die bij elkaar opgeteld toch een flinke schadepost zijn. Zorko stelt dat de Nederlandse economie op jaarbasis zo’n 9 tot 10 miljard dollar schade heeft door slechte ict-security. “Één op de vijf bedrijven is slachtoffer van cybercrime.”
De genoemde ondernemersaantallen zijn afkomstig van het CBS (Centraal Bureau voor de Statistiek) en de miljardenschade blijkt uit nieuw onderzoek onder Nederlandse bedrijven en overheidsorganisaties. Een van de bevindingen is dat veel bestuurders onvoldoende kennis hebben over de gevaren van cybercriminaliteit en de benodigde beveiliging.
Het door Zorko aangehaalde onderzoek is uitgevoerd door Deloitte, die ironisch genoeg zelf recent cybercrimeslachtoffer is geworden. Het e-mailsysteem van de accountancy- en cybersecurity-adviseur is gehackt en geplunderd. Hierdoor is al gebleken dat het Deloitte ontbreekt aan aanvullende beveiligingsmaatregelen, zoals twee-factor authenticatie maar ook monitoring. Het accountants- en advieskantoor is hierin geen uitzondering: noch voor grote, noch voor kleine organisaties. Het DTC heeft genoeg werk voor de boeg.
