Ransomware, ddos-aanvallen, phishing, cryptojacking. Vijandige staten, pubers op zolderkamers, digitale voyeurs, criminele bendes. Encryptie, sterke wachtwoorden, zero days, updatebeleid, datalekprotocollen, netwerksegregatie. De Wiv, de Wet computercriminaliteit III, de AVG, de NIB-richtlijn. Het NCSC, de CSR, het DTC, de NCTV, het ministerie van JenV… Zomaar wat onderwerpen die aan bod kwamen in gesprekken over cybersecurity de afgelopen maanden.
Waar hebben mensen het eigenlijk over als ze het over cybersecurity hebben? Wat bedoelt een CIO, een it-manager, een Kamerlid, een pentester, een managing director, de minister van Justitie en Veiligheid? En, belangrijker nog, wat bedoelen ze níet? Het lijken misschien flauwe vragen. Maar het antwoord erop is vaak lastiger dan je denkt. In mijn ervaring zorgt deze permanente spraakverwarring over ‘cyber’ ervoor dat we worden beperkt in ons vermogen om Nederland digitaal veiliger te maken. Een gemiddeld gesprek over cybersecurity begint bij ddos-aanvallen en gaat via goedkope webcams uit China naar security by design en eindigt bij een voorlichtingscampagne voor consumenten.
Laten we beginnen met de constatering dat cybersecurity eigenlijk niet bestaat. We hebben het over de beveiliging van onze persoonsgegevens, onze vakantiefoto’s, webcams, ovens, fabrieken, bruggen, staatsgeheimen, intellectueel eigendom, persoonlijke correspondentie, medisch dossier, vitale infrastructuur en nog duizenden andere dingen. Daar is weinig cyber aan. Dat is ons dagelijks leven in de digitale economie. We moeten ophouden met praten over cybersecurity alsof het een aparte dimensie is en iets spannends of zelfs schimmigs.
De tweede constatering is dat je bij het bevorderen van digitale veiligheid naar de hele keten moet kijken. Infrastructuur, hardware, software, implementatie, onderhoud, gebruikers: elke schakel vraagt om eigen maatregelen. Soms zijn dit technische oplossingen, soms is er nieuw beleid nodig, soms zit het hem in de organisatie. Vaak is het alle drie tegelijk. Ik zie nu te vaak organisaties die zich op één oplossing richten, in één schakel. En twee stappen verderop in de keten zijn ze met hun eigen project bezig. Dat leidt ertoe dat partijen naar elkaar gaan wijzen en elkaar verwijten niet de juiste maatregelen te nemen. In het ergste geval zorgt het voor collectieve passiviteit.
Begin dit jaar was ik spreker bij een ronde tafel over cybersecurity in de Tweede Kamer. Twee dingen vielen me op. Om te beginnen alle metaforen die de aanwezige experts nodig hadden om hun punt te maken. Auto’s, olifanten, kralen, eenden, schepen: de vergelijkingen vlogen je om de oren. Ik vraag me af of het hielp de spraakverwarring te voorkomen. Ten tweede hadden de Kamerleden zichtbaar moeite om de complexiteit van de keten te doorgronden. Telkens als er een oplossing voor één schakel werd genoemd, kwam de volgende spreker weer met een nieuw probleem.
De echte oplossing zit hem wat mij betreft in het bestrijden van versnippering. Het is onvermijdelijk dat er basiseisen komen voor de beveiliging van hard- en software. Dat moet op Europees niveau, maar liever nog wereldwijd. Laten wij in Nederland kijken of we in het verlengde daarvan met standaarden en best-practices kunnen komen die bruikbaar zijn voor de hele keten. Dat is een goede basis voor gerichte oplossingen en toepassingen die digitale veiligheid verbeteren. Ik voorspel dat niemand de term cybersecurity dan nog hoeft te gebruiken.
