Mensen kiezen eerder voor gemak dan voor veiligheid. Cybersecurity lijkt daarom meer op volksgezondheid dan op dijken bouwen, zegt Michiel Steltman. Maar of er daarom een digitaal deltaplan moet komen van de overheid om ons te beschermen? Steltman ziet er niets in. De meeste problemen kunnen eenvoudig worden voorkomen.
Wie kent niet de alarmerende conclusies van de rapporten over cybersecurity? In niet mis te verstane bewoordingen wordt gesproken over enorme digitale dreigingen en dat we een flink risico lopen dat de samenleving wordt ontwricht door een digitale zondvloed van ongekende proporties. Deloitte becijfert de jaarlijkse schade door cybercrime in Nederland op zo’n 10 miljard euro en als we alle rapporten en waarschuwingen moeten geloven zal het eerst nog veel erger worden voordat het beter wordt.
Tijd dus voor een digitaal deltaplan, vinden veel politici en bestuurders. Een van de ambities uit het regeerakkoord van het kabinet-Rutte III is dan ook het opstellen van een ambitieuze cybersecurityagenda. Er wordt door bedrijven niet genoeg gedaan, dus moet de overheid ons beschermen, lijkt de gedachte te zijn.
Nu ben ik een onverbeterlijke optimist. Cybersecurityexperts zullen me ongetwijfeld naïviteit verwijten. Maar toch vraag ik me af: is het echt 1 over 12, zoals wordt beweerd? Is er wel zo’n deltaplan nodig? En kan dat ons behoeden voor het volgens velen naderende onheil?
Onheilspellend
Het internet verbindt alles met alles. Dat maakt ons zeker kwetsbaar. Het is voor elke crimineel, script kiddie of hacker mogelijk om iets bij elkaar te klikken dat binnen no time geautomatiseerd een miljard sites, servers of apparaten kan belagen. Botnets schuimen nu al 24/7 het internet af op zoek naar lekken. Elke dag sluiten consumenten massa’s apparaten aan die voor kwaadwillenden meteen bereikbaar zijn. We ontvangen dagelijks phishingmails die ransomware installeren als je erop klikt. Elk bestaand en bekend lek, technisch of menselijk, wordt binnen no time door iets of iemand gevonden als je er geen bescherming omheen bouwt. Een onveilig apparaat wordt vaak al binnen een paar minuten besmet, ontdekte beveiligingsonderzoeker Remco Verhoef van Dutchsec.
Dat klinkt inderdaad onheilspellend. Maar daaruit kun je ook de conclusie trekken dat die digitale zondvloed geen dreiging is maar business as usual. En als je je realiseert wat er in een ‘internetminuut’ allemaal wel goed gaat, dan moeten we constateren dat het geheel ondanks die continue zondvloed eigenlijk uitstekend functioneert. De voorspelde digitale rampen zijn geen dagelijkse kost. Blijkbaar zijn we ondanks de tekortkomingen in technologie en gedrag veel bestendiger tegen die continue stroom van digitale aanvallen dan ons wordt voorgespiegeld.
HET DIGITAL TRUST CENTER
Het DTC (Digital Trust Center) is een initiatief van het ministerie van Economische Zaken en Klimaat om het mkb beter en gerichter te kunnen ondersteunen op het gebied van cybersecurity. Het DTC is geïnitieerd met een motie van SP-Kamerlid Maarten Hijink. Vanuit verschillende organisaties, waaronder Nederland ICT en DINL, kwamen er al lange tijd kritische geluiden over de te beperkte reikwijdte van het NCSC (Nationaal Cyber Security Centrum), dat slechts een mandaat had voor overheid en kritieke infrastructuur. Het plan is om ervoor te zorgen dat elk bedrijf in Nederland actuele informatie over cyberdreigingen kan krijgen, en ergens terecht kan met vragen. Omdat het voor één overheidsorganisatie lastig is om het hele bedrijfsleven rechtstreeks te kunnen bedienen, zoekt het DTC ook de samenwerking met sectorale initiatieven en not-for-profitorganisaties.
Dat zet de verslaggeving over digitale aanvallen ook in een ander daglicht. De wereldwijde ransomwareaanvallen die vorig jaar het nieuws haalden, zijn blijkbaar eerder regel dan uitzondering. Ze leiden in ons land niet tot de voorspelde ontwrichting van de samenleving. De schade beperkte zich tot te laat getransporteerde containers en vrij parkeren bij Q-Park. In Engeland konden de afspraken van duizenden patiënten niet doorgaan. Dat was ernstiger, maar gelukkig niet levensbedreigend. Het beeld dat systemen en vitale structuren kwetsbaar zijn, en dat we op het randje lopen, past dan dus niet bij de praktijk, waarin de gevolgen van die continue stroom van aanvallen steeds opnieuw mee blijken te vallen.
Voordeur
Dat neemt niet weg dat er ruimte is voor verbetering. Het goede nieuws is dat de meeste problemen kunnen worden voorkomen door simpele maatregelen. Want om echt schade te veroorzaken moet de hacker wel eerst door de voordeur heen of moet een onoplettende gebruiker malafide software binnenhalen. Als de organisaties die last hadden van de malware hun spullen op tijd hadden gepatcht, hun digitale voordeur beter hadden beveiligd en hun mensen hadden geleerd niet op linkjes in rare mails te klikken, dan was er niets gebeurd. Dat is zelfs het geval bij de recentelijk bekend geworden kwetsbaarheden in de processors van Intel, AMD en ARM: om data te stelen moet er wel eerst diefstalsoftware worden binnengehaald en dat gaat niet vanzelf.
Deltaplan
Terug naar het onderwerp; de rol van de overheid. Je kunt je dus afvragen of de overheid de schade, de aanvallen of de lekken kan voorkomen. En of de overheid überhaupt die rol naar zich toe zou moeten trekken. Ik zie daarom niets in nog meer regulering, zoals de term ‘deltaplan’ suggereert. Een nieuwe wet die bedrijven verplicht om te patchen? Of eentje die mensen verbiedt om op verkeerde linkjes te klikken? De nieuwe privacywetgeving is al een enorme uitdaging en geeft het bedrijfsleven voorlopig meer dan genoeg te doen. Elk bedrijf verwerkt persoonsgegevens en zal zich daarom al structureel met informatieveiligheid moeten bezighouden. Want bij laksheid volgen straffe boetes.
Uiteraard is er wel een rol voor de overheid, want cybersecurity raakt aan het publieke belang. Maar die rol moet ondersteunend zijn. En uiteraard is er altijd weer ruimte voor verbeteringen.
In de eerste plaats moet de overheid haar cybersecuritybeleid gaan coördineren. Nu zijn maar liefst vijf ministeries ermee bezig en dat is vragen om conflicten en gedoe. Een belangrijk element van overheidsactiviteiten is het inzetten op verbetering van kennis en het stimuleren van veilig gedrag. Want daar zit het grootste lek. Nederland scoort nog te laag op ‘cybersecurity readiness’. We zijn laks met onze wachtwoorden, we stellen updates uit, laten onze gegevens overal en nergens slingeren en sluiten onveilige apparaten aan op slecht beveiligde (thuis)netwerken. We kiezen steevast gemak boven veiligheid. Die onverschillige houding nemen we mee naar ons werk. Daarom krijgen botnets en phishing toch een kans en kunnen hackers en malware binnenkomen. Cybersecurity lijkt daarom meer op volksgezondheid dan op dijken bouwen: als we allemaal, thuis en op ons werk, onze handen wassen en iets gezonder gaan leven, is de dokter al veel minder nodig. Die houding moet de overheid stimuleren. Een prima voorbeeld is de site internet.nl, waar eenvoudig de securitybasics van een domein kunnen worden getest.
BOTTOM-UP-AANPAK
Een pragmatische en zeer effectieve aanpak voor verbetering van cyber resilience is het inzetten op incentives (‘sticks and carrots’) voor operators van ‘attack surfaces’: de netwerken en technologie die het aangrijpingspunt vormen voor cyberactoren.
Op basis van het gegeven dat zulke kwetsbaarheden zichtbaar zijn voor iedereen, dus ook voor ‘the good guys’, kunnen ze worden gedetecteerd en kunnen meldingen en rapportages worden verstuurd aan zulke operators. Zij kunnen vervolgens zelf initiatieven nemen of hun respectievelijke klanten bewegen iets te doen aan die ‘zichtbare’ kwetsbaarheden. Die aanpak steunt op het werk van onder anderen prof. dr. Michel van Eeten van de TU Delft. Projecten en initiatieven die gebaseerd zijn op die aanpak, zijn de Abuse-IX en het Abuse 2.0-project van onder andere de digitale infrastructuursector, het ministerie van Economische Zaken en Klimaat, ECP en vele anderen.
Het is goed dat de overheid projecten steunt die zich met een bottom-upaanpak richten op generieke verbetering van de weerbaarheid. Sectorale en coöperatieve initiatieven, zoals Abuse-IX en Abuse 2.0, pakken de oorzaken van lekken, kwetsbaarheden en abuse en cybercrime gericht en stevig aan. Die steun moet worden geïntensiveerd en uitgebouwd naar soortgelijke initiatieven. Ook de komst van het Digital Trust Center voor het mkb is een goede stap.
Voorkomen we met die aanpak op den duur alle cybercrime en cybersecurityincidenten? Die illusie heb ik niet. Af en toe zal het misgaan en haalt een incident de krant. Dan leren we wat, en stellen we onze normen weer bij. Dan resteert alleen nog de vraag of we voldoende bestendig zullen blijven tegen falen van de echt vitale structuren, en of we met het restrisico durven en willen leven.
Dit artikel van Michiel Steltman verscheen op 16 februari 2018 bij AG Connect