Nederland streeft naar internationaal leiderschap op het gebied van cybersecurity. Niet alleen Den Haag wil dat; overheid en bedrijfsleven doen dat al. Uit noodzaak en ook zeker uit opportunisme. Spreekt hier onze digitale VOC-mentaliteit?
Nederlandse bedrijven en instanties hebben al flinke stappen gezet in het beter omgaan met cybersecurity. Zo zijn sommige organisaties al bezig met de toepassing van responsible disclosure voor het verantwoord melden van lekken door externe hackers. Daarbij hebben die organisaties procedures en ‘loketten’ voor het melden van beveiligingsgaten en kwetsbaarheden. Dat melden dient dan vertrouwelijk te gebeuren, waarna het getroffen bedrijf of overheidsorgaan de ontdekte en gemelde zwakke plek aanpakt. Dit alles uiteraard tot doel om voortaan veiliger te zijn.
Spin in het web
Informatie over het lek kan worden gedeeld met andere mogelijk kwetsbare organisaties. Dat delen kan via een orgaan als het NCSC (Nationaal Cyber Security Centre), van het ministerie van Veiligheid en Justitie. Dit Nederlandse centrum voor cybersecurity heeft vorig jaar richtlijnen gepubliceerd waarmee andere organisaties zelf aan responsible disclosure kunnen doen. Het NCSC wil zich namelijk niet langer alleen richten op overheidsorganen. Het wil ook een actieve spin in een informatie-web voor bedrijven zijn. Want softwaregaten, configuratiefouten en internetbedreigingen zijn net zoals ICT zelf organisatie-overschrijdend.
De brede impact van cybersecurity is in 2011 al aangetoond door de hack bij certificatenverstrekker DigiNotar en door de daaropvolgende Lektober-actie van onderzoeksjournalist Brenno de Winter. De economische schade door DDoS-aanvallen (distributed denial of service) en geavanceerde botnetten hebben zout in de wonde gewreven. Het botnet Pobelka is eind 2012 ontdekt en heeft bij veel Nederlandse bedrijven en gemeenten gevoelige gegevens gestolen. Het puinruimen daarna heeft Nederland veel lessen geleerd; over malware, over juridische grenzen en bevoegdheden, en over de noodzaak voor publiek-private partnerships.
Cultuuromslag
Meer samenwerking tussen overheid en bedrijfsleven staat dan ook hoog op de agenda. Uit noodzaak, om cybercrime beter het hoofd te bieden. En uit opportunisme om Nederland internationaal te profileren als leider in cybercrimebestrijding. Minister Ivo Opstelten van Veiligheid en Justitie zet dat letterlijk neer als doel. Voor de overheid én voor het bedrijfsleven. Volgens hem is het fundament voor dat leiderschap in de zomer van 2012 gelegd. Sindsdien is daar op voortgebouwd, zo zei de minister op de NCSC One Conference die voor de zomervakantie plaatsvond. Het NCSC is, sinds het vorig jaar de responsible disclosure-richtlijnen publiceerde, al betrokken geweest bij meer dan honderd gevallen waarbij een externe hacker een kwetsbaarheid heeft gemeld bij een bedrijf of instantie. Gaandeweg wordt er op deze manier aan gewerkt aan een cultuuromslag: het is geen schande om een kwetsbaarheid te hebben. Vervelend wordt het als een organisatie daar geen goede response op heeft.
Niet alleen prestige
De inzet van responsible disclosure door het NCSC zelf en door andere Nederlandse organisaties is illustratief voor de internationale ambitie. De T-shirts die het cybersecuritycentrum verstrekt aan hackers die gaten melden, worden “door vele mensen op diverse continenten gedragen,” wist Opstelten te melden op de Haagse conferentie. Het gaat hierbij niet slechts om een politiek doel, of om internationaal prestige. Het gaat ook om de eigen cyberbeveiliging van Nederland en daarlangs om economische groei. Overigens, op het T-shirt staat in bescheiden formaat de tekst: “I hacked DigiNotar and all I got was this lousy shirt”.
Dankzij de verregaande digitalisering is ons land al goed voorzien van hostingcentra, e-commerce en meer ICT-handel. Een neveneffect daarvan is dat Nederland ook hoog scoort met malware. Diverse rapporten van securityleveranciers wijzen dit keer op keer uit. Het hebben van een groot aantal gehoste sites betekent ook een navenant percentage aan malafide gehoste software. Het faciliteren van een groot aantal informatiestromen betekent ook aantrekkelijkheid voor diefstal of manipulatie daarvan.
e-Haven
De vergelijking met Nederland als handelsland, als doorvoerhaven, doemt op. Maar dan dus digitaal. Het hebben van goede havens, met aansluiting op andere infrastructuur en een variëteit aan bedrijven, is dan basisvoorwaarde en het goed beveiligen daarvan is cruciaal. De strijd tegen malware doet Opstelten dan ook denken aan de Nederlandse strijd tegen de zee. “Met terpen, dijken, Flevoland, sluizen,” somt Opstelten op. En met beheerders als dijkbewakers en developers als ingenieurs voor die digitale dijken. Security en privacy moeten ‘by design’ zijn, draagt de minister bedrijven en overheden op. Op die manier worden gedegen Deltawerken aangelegd in plaats van digitale dijkjes die in allerijl met zandzakken moeten worden versterkt zodra er een lek is ontdekt.
Landsbelang
Een dergelijke fundamentele aanpak lijkt haaks te staan op de winstgerichtheid van de meeste bedrijven. Maar de overheid kan en wil er niet alleen voor staan om de benodigde digitale dijken op te werpen, zo luidde de duidelijke boodschap op de NCSC One-conferentie. Bedrijven en beheerders moeten hun verantwoordelijkheid nemen, aldus het NCSC, want cybercrime bedreigt de welvarendheid van ons land.
Succesvolle bestrijding voorkomt niet alleen financiële verliezen, maar het belooft ook economische groei. Voor Nederland, voor bedrijfssectoren en voor bedrijven zelf. Het in 2011 gehackte en failliet gegane DigiNotar kan opnieuw dienen als aansporing. Deze zomer nog kregen de oud-eigenaren een miljoenenboete opgelegd. Dit omdat er al jaren eerder tekenen aan de wand waren: auditors rapporteerden toen al onveilig ingerichte computers en ondermaats patch-beheer. Deze beheerwantoestanden hebben tot flinke schade geleid. Niet alleen voor DigiNotar zelf en voor Vasco Data Security International, die in 2011 de nieuwe eigenaar werd. Ook diverse Nederlandse ondernemingen, overheidsinstanties en bedrijven wereldwijd liepen schade op. De schade aan die internationale bedrijven sloeg in negatieve zin weer terug op Nederland. Kortom, cybersecurity is niet langer alleen een ict-zaak of een kwestie van zakelijk eigenbelang. Meer en meer is het een investering voor de toekomst.
