17 mei 2018

Column Lotte de Bruijn: ‘Cybersecurity bestaat niet’

CYBERSECURITY, VERTROUWEN

Ransomware, ddos-aanvallen, phishing, cryptojacking. Vijandige staten, pubers op zolderkamers, digitale voyeurs, criminele bendes. Encryptie, sterke wachtwoorden, zero days, updatebeleid, datalekprotocollen, netwerksegregatie. De Wiv, de Wet computercriminaliteit III, de Avg, de NIB-richtlijn. Het NCSC, de CSR, het DTG, de NCTV, het ministerie van JenV… Zomaar wat onderwerpen die aan bod kwamen in gesprekken over cybersecurity de afgelopen maanden.

Waar hebben mensen het eigenlijk over als ze het over cybersecurity hebben? Wat bedoelt een CTO, een it-manager, een Kamerlid, een pentester, een managing director, de minister van Justitie en Veiligheid? En, belangrijker nog, wat bedoelen ze niet? Het lijken misschien flauwe vragen. Maar het antwoord erop is vaak lastiger dan je denkt. In mijn ervaring zorgt deze permanente spraakverwarring over ‘cyber’ ervoor dat we worden beperkt in ons vermogen om Nederland digitaal veiliger te maken. Een gemiddeld gesprek over cybersecurity begint bij ddos-aanvallen en gaat via goedkope webcams uit China naar security by design en eindigt bij een voorlichtingscampagne voor consumenten.

Laten we beginnen met de constatering dat cybersecurity eigenlijk niet bestaat. We hebben het over de beveiliging van onze persoonsgegevens, onze vakantiefoto’s, webcams, ovens, fabrieken, bruggen, staatsgeheimen, intellectueel eigendom, persoonlijke correspondentie, medisch dossier, vitale infrastructuur en nog duizenden andere dingen. Daar is weinig cyber aan. Dat is ons dagelijks leven in de digitale economie. We moeten ophouden met praten over cybersecurity alsof het een aparte dimensie is en iets spannends of zelfs schimmigs.
De tweede constatering is dat je bij het bevorderen van digitale veiligheid naar de hele keten moet kijken. Infrastructuur, hardware, software, implementatie, onderhoud, gebruikers: elke schakel vraagt om eigen maatregelen. Soms zijn dit technische oplossingen, soms is er nieuw beleid nodig, soms zit het hem in de organisatie. Vaak is het alle drie tegelijk. Ik zie nu te vaak organisaties die zich op één oplossing richten, in één schakel. En twee stappen verderop in de keten zijn ze met hun eigen project bezig. Dat leidt ertoe dat partijen naar elkaar gaan wijzen en elkaar verwijten niet de juiste maatregelen te nemen. In het ergste geval zorgt het voor collectieve passiviteit.

Begin dit jaar was ik spreker bij een ronde tafel over cybersecurity in de Tweede Kamer. Twee dingen vielen me op. Om te beginnen alle metaforen die de aanwezige experts nodig hadden om hun punt te maken. Auto’s, olifanten, kralen, eenden, schepen: de vergelijkingen vlogen je om de oren. Ik vraag me af of het hielp de spraakverwarring te voorkomen. Ten tweede hadden de Kamerleden zichtbaar moeite om de complexiteit van de keten te doorgronden. Telkens als er een oplossing voor één schakel werd genoemd, kwam de volgende spreker weer met een nieuw probleem.

De echte oplossing zit hem wat mij betreft in het bestrijden van versnippering. Het is onvermijdelijk dat er basiseisen komen voor de beveiliging van hard- en software. Dat moet op Europees niveau, maar liever nog wereldwijd. Laten wij in Nederland kijken of we in het verlengde daarvan met standaarden en best-practices kunnen komen die bruikbaar zijn voor de hele keten. Dat is een goede basis voor gerichte oplossingen en toepassingen die digitale veiligheid verbeteren. Ik voorspel dat niemand de term cybersecurity dan nog hoeft te gebruiken.

Deze column verscheen in mei 2018 in ICT Magazine.

NLdigital respecteert jouw privacy. Daarom geven we je de controle over de manier waarop wij met je data omgaan.

In onze privacyverklaring lees je hoe we dat doen. Hieronder lees je over de cookies die we gebruiken.

Privacystatement
Instellingen

NLdigital respecteert jouw privacy

Daarom geven we je de controle over de manier waarop wij met je data omgaan. In onze privacyverklaring lees je hoe we dat doen. Hieronder lees je over de cookies die we gebruiken.

Deze cookies zijn noodzakelijk voor het tonen van de website en de bijbehorende functionaliteit, en voor het uitvoeren van de gevraagde dienstverlening.

Lees meer

We optimaliseren continu onze website. Daarvoor analyseren we websitebezoek via Google Analytics. Dit hebben we op de privacyvriendelijke wijze, volgens de handleiding van de Autoriteit Persoonsgegevens, ingericht.

Lees meer

Met Linkedincampagnes introduceren we ons collectief en onze diensten in de digitale sector. We slaan gegevens over websitebezoek op om de effectiviteit van onze advertenties te meten, om advertenties te leveren die relevant zijn en om het aantal keren dat je een advertentie ziet te beperken.

Lees meer
Vergeet alles Jouw voorkeuren zijn verwijderd