Naar inhoud

De dwaling van Grapperhaus over slechte digitale beveiliging

Minister Ferdinand Grapperhaus van Justitie en Veiligheid heeft deze week in Het Financieele Dagblad laten weten dat de overheid in moet kunnen grijpen bij ondernemingen die hun digitale veiligheid niet op orde hebben. Deze uitspraak heeft hij gedaan naar aanleiding van een onderzoek van de Volkskrant, waaruit is gebleken dat veel Nederlandse bedrijven een kwetsbaarheid maandenlang niet hadden gedicht.

Wie aangeeft geen tijd of geld te hebben om zijn beveiliging helemaal op orde te hebben, is volgens de minister “een oliebol”. In het specifieke geval van de kwetsbaarheid uit het Volkskrant-onderzoek – waarbij veel bedrijven te laat waren met het updaten van het virtual private network (VPN) die de kwetsbaarheid bevatte – kun je je inderdaad afvragen of deze niet eerder gedicht had kunnen worden. Maar willen we dit soort bewoordingen echt gebruiken wanneer bedrijven slachtoffer worden van cybercrime? Is vingerwijzen naar de slachtoffers de beste manier om cybercrime in de toekomst te voorkomen?

Is vingerwijzen naar de slachtoffers de beste manier om cybercrime in de toekomst te voorkomen?

Het antwoord daarop is nee, dat is het niet. Dat weet de minister zelf ook, want Grapperhaus moest na zijn uitspraken bekennen dat zijn eigen ministerie dezelfde fout had gemaakt. In het huidige complexe IT-landschap, dat ook nog eens continu in beweging is, is het onmogelijk alle gaten altijd te dichten. Bovendien kun je vandaag alles gedicht hebben, maar morgen weer worden blootgesteld aan een nieuw lek. Wanneer bedrijven zich daar bewust van zijn, zullen ze zich beter voorbereiden op toekomstige aanvallen. Dat is beter dan je veilig voelen terwijl je dat eigenlijk niet bent.

In het huidige complexe IT-landschap, dat ook nog eens continu in beweging is, is het onmogelijk alle gaten altijd te dichten.

Door bedrijven aan de schandpaal te nagelen, of – zoals Grapperhaus wil – te bestraffen of beboeten, verdwijnen details over cyberaanvallen naar de achtergrond. Bedrijven maken dan niet meer bekend tegen welke beveiligingsproblemen zij aanlopen, waardoor andere organisaties niet meer kunnen leren van hun best practices. Daar komt nog bij dat regulering door de overheid zou verzanden in een lijst van eisen waar bedrijven aan moeten voldoen. Wanneer ze deze lijst op orde hebben, wordt een schijnveiligheid gecreëerd die niets zegt over het daadwerkelijke securityniveau.

Door bedrijven aan de schandpaal te nagelen, of – zoals Grapperhaus wil – te bestraffen of beboeten, verdwijnen details over cyberaanvallen naar de achtergrond.

In plaats van in harde bewoordingen te roepen wat hij van deze bedrijven vindt en zich te beraden op onhaalbare straffen, zou ik de minister willen adviseren beter te kijken naar organisaties die cyber defense wél succesvol op de agenda zetten, zoals De Nederlandsche Bank. Het door DNB opgezette testraamwerk Threat Intelligence Based Ethical Red Teaming (TIBER) wordt internationaal geprezen. Binnen het TIBER-programma huren deelnemende instellingen gespecialiseerde bedrijven in, die op basis van de meest actuele dreigingsinformatie met een red team gecontroleerde aanvallen uitvoeren op kritieke systemen. Informatie uit deze testaanvallen wordt vervolgens – op een veilige manier – met elkaar uitgewisseld, zodat iedere instelling de leerpunten direct kan verwerken in het eigen securitybeleid.

De minister zou er goed aan doen geen schuldigen aan te wijzen, want cyber defense is een probleem van ons allemaal.

Met het TIBER-programma worden financiële instellingen gemotiveerd hun eigen security onder de loep te nemen, waarna waardevolle inzichten binnen de branche worden gedeeld. De minister zou er goed aan doen geen schuldigen aan te wijzen, want cyber defense is een probleem van ons allemaal. Hij zou er verstandiger aan doen te kijken naar een breed overheidsprogramma waarbij bedrijven hun cyber defense op voorhand kunnen testen, zodat ze bij een volgend onderzoek niet door de mand vallen. En als dat dan toch gebeurt, hebben ze daarvan geleerd en kunnen ze die informatie beter met andere bedrijven delen dan boetes betalen of hun excuses aanbieden.

Roel van Rijsewijk is director cyber defense bij cybersecuritybedrijf Thales.

Bron: CustomerTalk
0
Logo CustomerTalk

Cookie-instellingen

CustomerTalk maakt gebruik van cookies voor een optimale gebruikerservaring.

Graag vragen wij je toestemming voor het plaatsen van deze cookies.

Accepteren Meer informatie