De digitale infrastructuur waarop onze samenleving draait, is kwetsbaarder dan velen beseffen. Op 10 september opent Bert Hubert, oprichter van PowerDNS en voormalig toezichthouder op de Nederlandse inlichtingen- en veiligheidsdiensten, het main stage-programma van Cybersec Netherlands met zijn keynote A pre-war reality check, can we defend together? Zijn boodschap: de illusie van digitale weerbaarheid moet worden doorbroken.
In deze security-zomerreeks horen we in de aanloop naar Cybersec Netherlands de visie van enkele securityexperts en keynote-sprekers. Het event vindt dit jaar plaats op 10 en 11 september in het congresgebouw Koninklijke Jaarbeurs in Utrecht. Inschrijven kan hier en is gratis.
‘Onze systemen zijn kwetsbaar, zelfs wanneer er geen aanval plaatsvindt. Zouden we een echte digitale oorlog kunnen overleven? Het lijkt onwaarschijnlijk dat we dat zouden kunnen’, zegt Bert Hubert.
Die uitspraak is geen doemdenken, maar gebaseerd op zijn jarenlange ervaring met cruciale internetinfrastructuur en de werking van overheids- en veiligheidsdiensten. Juist omdat systemen al uitvallen zonder dat er sprake is van aanvallen, is de vraag pijnlijk actueel hoe Europa overeind blijft in een serieuze digitale confrontatie.
Outsourcing
Een groot probleem schuilt volgens Hubert in de afhankelijkheden die we zelf hebben gecreëerd. ‘Ik maak me vooral zorgen over de massale outsourcing naar allerlei partijen, waarbij het in het midden heel moeilijk is om alles te beveiligen of zelfs maar te overzien’, stelt hij. ‘Veel beveiligingsproblemen zijn in feite combinaties van afzonderlijke issues op verschillende plekken. Geen enkele leverancier ziet alles.’ Outsourcing levert efficiëntie op, maar holt volgens hem de eigen kennis en grip uit – en precies daar ligt het risico.
Daarbij ziet Hubert een groeiende kloof tussen beleid en praktijk. ‘Ik zie een grote scheiding ontstaan tussen de ‘on the ground’-realiteit van cybersecurity, waar mensen indringers bestrijden en proberen diensten overeind te houden, en de beleidsmakers die in een eigen wereld lijken te leven. Bijna alsof er twee soorten cybersecurity bestaan. En die werelden lijken niet dichter bij elkaar te komen.’
Zijn keynote op Cybersec Netherlands belooft een nuchtere reality check. Want het is niet voldoende om te vertrouwen op compliance, rapporten en mooie SLA’s. Hubert benadrukt dat échte weerbaarheid begint bij zicht, inzicht en samenwerking, dwars door publieke en private verantwoordelijkheden heen. ‘Alleen dan kan Europa de fragiele fundamenten van zijn digitale samenleving verstevigen, voordat het te laat is.’
Indringers bestrijden en tegelijk digitale diensten overeind proberen te houden terwijl beleidsmakers in hun eigen wereld leven, slaat de spijker op de kop. Het temmen van papieren tijgers lost de onderhoudsachterstanden niet op, zoals we recent bij het OM zagen met een “pull the plug”-verdediging. Meer geluk dan wijsheid voedt de illusie van digitale weerbaarheid, terwijl veel legacy buiten beeld is geraakt door uitbesteding van beheer, maar in de praktijk nog volop actief is. De reactie van het OM laat zien dat men wist dat achter het Citrix-lek een oud en kwetsbaar applicatielandschap schuilging, met onveilige communicatieprotocollen. Daardoor werd het risico oncontroleerbaar groot en restte slechts één verdedigingslijn: volledig afsluiten.
Ironisch dat een cyberexpert met “jarenlange ervaring met cruciale internetinfrastructuur en de werking van overheids- en veiligheidsdiensten” zich bezig houdt met open deuren zoeken en intrappen 😛
Om vast te wennen kan de huidige infrastructuur ongewijzigd ingezet worden: “Juist omdat systemen al uitvallen zonder dat er sprake is van aanvallen”.
Wel zuur voor die russische trollen, als alles plat ligt. is daar al aan gedacht ?
Zijn oplossing van “zicht, inzicht en samenwerking, dwars door publieke en private verantwoordelijkheden heen” vind ik te simplistisch en tegelijkertijd onrealistisch.
Waarom komt hij niet met specifieke technische voorstellen? Zoals Windows vervangen door Linux, memory-tagging, capability-based operating systems, memory safe languages of zelfs heroverwegen van het gebruik van mainframes.
“Voor een realistisch beeld”, en dan de onrealistische blik van Hubert als referentiekader gebruiker. Als er iemand ver van de klantwereld staat is het Hubert. “Compliance is geen veiligheid” is geen harde boodschap, dit is categorie “Appels zijn geen peren”.