Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Laat de securityrapporten een wake-upcall zijn

Dit artikel delen:

Computable Expert

Erno Doorenspleet
Vice President Security Strategy , KPN security. Expert van Computable voor de topics Security, Digital Workplace en Internet of things.

Het Cybersecuritybeeld Nederland 2021 is glashelder: ransomware bedreigt onze staatsveiligheid. Dat is na de REvil-aanval voor iedereen wel duidelijk. Tegelijkertijd is de weerbaarheid ondermaats. Een ander recent rapport, dat van de Cybersecurityraad (CSR), schetst eenzelfde beeld. Wie de rapporten over elkaar heen legt, ziet aanknopingspunten voor actie.

Vertrouwen in de keten

Organisaties zijn voor hun it in toenemende mate afhankelijk van partners. Steeds meer technologie is ‘as a service’ beschikbaar. Corona heeft die ontwikkeling bovendien flink versneld. Dat biedt allerlei kansen en mogelijkheden, maar brengt ook risico’s met zich mee.

We zagen in het eerste weekend van juli de schaduwkant van die afhankelijkheid. Een enkele hack van door serviceproviders veelgebruikte software zorgde bij tal van managed service providers (msp's) voor een ransomwarebesmetting, waarvan uiteindelijk veel organisaties de dupe werden.

Die onderlinge afhankelijkheid vraagt om een kritische houding naar ketenpartners. We moeten elkaar blijven bevragen over de staat van de security. Voldoe je niet aan de securitystandaarden? Dan doe ik geen zaken met je. Maar ook: wat is jullie beleid als het misgaat, en welke consequenties heeft dat voor mijn data?

CSR-rapport

"Security is voor een belangrijk deel risicomanagement"

De conclusies in het CSR-adviesrapport 'Integrale aanpak cyberweerbaarheid' vertoont opmerkelijke parallellen met die van de NCTV. Zo onderkennen beide rapporten dat de digitale veiligheid en autonomie van Nederland onder druk staan. Beide rapporten herkennen dat onder andere corona de digitalisering heeft versterkt, en dat daarmee ook de cyberrisico’s zijn gegroeid. Het CSR koppelt daar nog een extra conclusie aan vast: om dat te veranderen, moet het kabinet ingrijpen.

Het CSR adviseert een overheidsinvestering in de komende kabinetsperiode van 833 miljoen euro, bovenop de huidige uitgaven en budgetten voor cyberweerbaarheid. Voor met name het mkb is financiële steun cruciaal. Security is voor een belangrijk deel risicomanagement. Niemand kan alle risico’s afdekken. Die ene aanval komt ondanks alle goede bedoelingen en investeringen ooit succesvol door de barrières, hoe gehard ook.

Financiële afweging

Security draait dus om keuzes: wat beveilig ik, en welke risico’s vind ik acceptabel? Dat risicomanagement is – zeker voor het mkb – vooral een financiële afweging: weegt deze security-investering op tegen de mogelijke gevolgschade van een hack? Te vaak is het antwoord nee. Zeker niet in een tijd waarin corona bij veel organisaties toch al een hap heeft genomen uit de budgetten. Met als gevolg dat grote risico’s blijven bestaan.

Een veiliger digitaal Nederland vraagt om inspanning van ons allemaal. Om investeringen vanuit de overheid, jazeker. Om een kritische houding naar ketenpartners. Om samenwerking tussen de publieke en private sector. Maar ook om solidariteit, om het uitwisselen van kennis. We hebben de maatschappelijke en historische plicht de rest van Europa te laten zien dat wij dit kunnen. We zijn immers een kenniseconomie, een kennisland.

Blauwdruk voor Europa

Nederland kan binnen Europa een gidsland worden. Een blauwdruk van hoe samenwerking tussen de private en publieke sector kan leiden tot een veilig cyberklimaat. En daarmee een veiligere maatschappij.

Laten we daarmee starten. Niet morgen, maar vandaag nog.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Betreffende solidariteit in het uitwisselen van kennis is samenwerking tussen de private en publieke sector in Nederland hoogst dubieus, NCSC deelt haar inzichten niet met iedereen zoals de heer Doorenspleet heel goed weet. En de opmerking dat steeds meer organisaties afhankelijk zijn van partners kent een oorzaak zoals ik 7 jaar geleden in een opinie al uiteen zette. Met het uitbesteden van m.n. de technische IT middels het model van Looijen ontstond een grote afhankelijkheid aangaande de beveiliging terwijl sommige partijen zich hierin niet als de meest 'trustworthy' partner bewezen hebben.

Weet u, dat met die risico's, zolang de 'rekening' van een security drama verwaterd en verdeelt wordt over de klanten van een bedrijf, wordt er ook niet goed ingeschat. Het kan heel goed zijn dat een bedrijf vindt dat verdere maatregelen niet nodig zijn omdat een groot deel van het risico van bijvoorbeeld identiteitsfraude niet voor rekening van dat bedrijf zijn. Het wordt een ander spel als bedrijven ook aansprakelijk gesteld kan worden hiervoor! Als dat dan tot gevolg heeft dat vele bedrijven ietsje minder die 'digidrang' zullen hebben, dan denk ik zaken beter in balans voor NL gaan komen. Veelal is namelijk die 'digidrang' alleen een winst voor de bedrijven en hebben klanten geen opties meer; denk aan banken! Belgie heeft daar afgelopen week zinnige stappen in genomen. In NL verwacht ik die wijsheid niet zo vlug omdat het de bottom line kan raken en in NL heerst veel meer die 'over de schutting' mentaliteit!

@SWA Wat bedoel je met 'Belgie heeft daar afgelopen week zinnige stappen in genomen'?

Goede security betekent niet per se goede business.
Slechte security betekent steeds vaker geen business.
Platgeslagen security = business en dus business=security.

Een hoge risk appetite -dat buzzwoord miste ik nog in het artikel- is sowieso een slecht idee. En vertrouwen in de keten is inderdaad een heet hangijzer gezien de supply chain attacks.

Nu de VS steeds agressiever worden komen steeds meer boefjes naar Europa toe. Winter is coming...

@rik, https://www.security.nl/posting/713017/Belgische+banken+komen+met+universele+bankdienst+voor+niet-digitale+klanten

@henri, maar wat nu als je je (data al dan niet encrypted) in Azure hebt en MS maakt die om de een of andere manier onbeschikbaar voor een tijd? vanuit informatie management oogpunt gezien heb je dan een DOS te pakken en ik wens je dan success met het voor de rechter dagen van MS. Lees ook https://www.computable.nl/artikel/nieuws/cloud-computing/7218922/250449/veiligheid-cloudnetwerken-vaker-op-de-proef-gesteld.html

SWA, universele bankdienst?

@SWA dank voor de tip, we hebben er inmiddels aandacht aan besteed.

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-07-21T11:43:00.000Z Erno Doorenspleet