Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Waarom nationaal cyberalarmeringssysteem utopie is

Dit artikel delen:

Recent onderzoek van de Onderzoekraad voor Veiligheid (OVV) had een duidelijke conclusie: Nederland is kwetsbaar voor cyberaanvallen. De grote hacks die het afgelopen jaar de krantenkoppen domineerden, hebben dat allang blootgelegd. De oplossing? Als het aan de OVV ligt moet de aanpak hier snel fundamenteel veranderen.

Bijvoorbeeld door nationale richtlijnen vast te stellen met kwaliteitseisen voor software of via een nationaal alarmeringssysteem van potentiële slachtoffers via de overheid. Hoewel ik in principe elke ontwikkeling om de cyberbeveiliging van Nederland beter te maken aanmoedig, zie ik voor een nationaal alarmeringssysteem praktische bezwaren.

Alwetende overheid als nieuw doelwit

"Een alarmeringssysteem vereist dat de overheid van elke Nederlandse organisatie op de hoogte moet zijn van de software en systemen die er draaien"

Een nationaal alarmeringssysteem dat bedrijven tijdig op de hoogte moet brengen vóórdat ze het slachtoffer worden van cybercriminaliteit lijkt verstandig. De belangrijkste vraag hierbij is waar je de grens trekt. Zo’n alarmeringssysteem vereist dat de overheid van elke Nederlandse organisatie op de hoogte moet zijn van de software en systemen die er draaien. Anders kun je niet gericht waarschuwen en wordt het een generiek en daarmee ver-van-mijn-bed-show-waarschuwingssysteem. Maar een overheid die van elke Nederlandse organisatie informatie heeft over de draaiende software, druist niet alleen in tegen de privacy van die organisaties, maar brengt ook een groot nieuw gevaar met zich mee. Al die informatie over organisaties is an sich weer een goudmijn voor cybercriminelen om in handen te krijgen en vormt daarmee een nieuw doelwit. 

Schijnveiligheid

Voor vele organisaties klinkt een nationaal waarschuwingssysteem als muziek in de oren. Een centraal orgaan dat hierop toeziet neemt verantwoordelijkheid uit handen. Je kunt er dan immers op vertrouwen dat je wordt ingelicht als er sprake is van een dreiging voor een cyberaanval in de software die je gebruikt. Maar kun je daar écht op vertrouwen?

Zo’n waarschuwingssysteem staat mogelijk gelijk aan een gevoel van schijnveiligheid, met name voor organisaties die minder volwassen zijn op het gebied van cybersecurity of hier minder kennis over in huis hebben. Voor een orgaan als de overheid of het Nationaal Cyber Security Centrum (NCSC) is het niet haalbaar om álle organisaties in Nederland te monitoren en zicht te hebben op elke cyberaanval die plaatsvindt. Daar is simpelweg onvoldoende mankracht voor. Dus organisaties compleet laten vertrouwen op zo’n waarschuwingssysteem is geen oplossing om ze weerbaarder te maken tegen cyberaanvallen.

Potentie in uitbreiding van NCSC

"Het is per branche verschillend hoeveel er in cybersecurity geïnvesteerd wordt"

Waar meer potentie in zit, zijn de richtlijnen voor de kwaliteitseisen voor de software die bedrijven gebruiken voor hun beveiliging en een groei van het NCSC in diens rol bij dit probleem. Het is per branche verschillend hoeveel er in cybersecurity geïnvesteerd wordt. Zo staat cybersecurity bij banken en verzekeraars hoog op de agenda. In de zorg en het onderwijs daarentegen, gaat logischerwijs vaak meer geld naar zorg aan het bed of naar leraren dan naar cyberbeveiliging. Deze sectoren liggen daarom soms achter in hun cyberbeveiliging in vergelijking met andere organisaties.

Algemene richtlijnen voor software zouden waardevol kunnen zijn om de cyberbeveiliging van Nederlandse organisaties meer op één lijn te trekken. Hier kan het NCSC een belangrijke rol bij spelen, mits er wordt gezorgd voor een structurele groei van het NCSC in bijbehorende mankracht en organisaties die ze mogen inlichten. Nu zijn ze alleen bevoegd om overheidsdiensten en vitale organisaties te waarschuwen. Daar zit een hoop potentie in om Nederland weerbaarder te maken tegen cyberaanvallen.

Beveiliging begint in de organisatie

Het is natuurlijk alleen maar goed dat het (nationaal) bewustzijn en besef toeneemt dat de cyberbeveiliging van onze organisaties iets is dat we serieus moeten nemen. Elke organisatie kan het volgende slachtoffer zijn. Cyberbeveiliging op nationaal niveau is dan ook iets wat ik zeker aanmoedig, maar een waarschuwingssysteem waarbij potentiële slachtoffers van cyberaanvallen tijdig worden gewaarschuwd is onrealistisch en eerder een utopie. Weerbaarheid tegen cyberaanvallen begint in de organisaties zelf met bewustzijn en de juiste bescherming.

(Auteur Ronald Pool is cybersecurityspecialist bij CrowdStrike.)

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2022-01-20T14:32:00.000Z Ronald Pool
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.