Onderzoeksrapporten pleiten voor sterk nationale, centrale cyberweerbaarheidsdienst
Door Artikel IB2-2022 - Ard Ruiter 8 jul 2022
Auteur: mr. A.IJ. (Ard) Ruiter werkt als privacy- en beveiligingsfunctionaris/senior inspecteur bij de ILT Inlichtingen- en Opsporingsdienst (ILT-IOD); hij schreef dit artikel op persoonlijke titel en is bereikbaar via LinkedIn.
Er moet meer worden gedaan om te voorkomen dat de maatschappij wordt ontwricht door cyberaanvallen. Essentieel is dat er een sluitend nationaal stelsel zal moeten opgericht dat organisaties helpt om de digitale veiligheid op systematische en doelmatige wijze te beheersen. Ze moeten samen een effectieve aanpak bedenken om Nederland weerbaarder te maken. Fabrikanten van IT-middelen en IoT-apparaten zullen (meer) gedwongen moeten worden om dat te realiseren en afnemers moeten ze daartoe kunnen dwingen. Dat is de strekking van een reeks van aanbevelingen die vele gezaghebbende instituten (AR, WRR, CSR, RvS, IvhO en OvV) hebben gegeven naar aanleiding van verrichte onderzoeken naar digitale incidenten.
Digitalisering is allang niet meer een geïsoleerd of op zichzelf staand proces dat gestart is om ‘papieren’ middelen om te zetten in techniek. Digitalisering is bovendien al veel meer dan het gebruik en de werking van IT. De gigantische ontwikkelingen en de diverse informatiesystemen, telecommunicatie(middelen), digitale informatie, data, informatie- en computersystemen hebben ook een steeds verdergaande en toenemende invloed op de economie, op de samenleving en op de menselijke gedragingen. Nee, het is zelfs veel sterker dan dat: veel beter kan worden gesproken over een doorgaande digitale transitie; de verdergaande intense verwevenheid en verknoping van IT in steeds meer aspecten van het dagelijks leven en de economische processen die vervolgens op hun beurt in steeds meer netwerken opgenomen zijn met allerlei verbindingen en afhankelijkheden.
Digitalisering biedt oplossingen voor maatschappelijke problemen, maar brengt ook risico’s met zich mee. Strategische punten bij de verdere ontwikkeling van digitalisering zijn de informatiebeveiliging, de interoperabiliteit van data/gegevens en binnen organisaties de rollen en verantwoordelijkheden van de verschillende stakeholders: professionele medewerkers en management. Voldoende goed gekwalificeerd personeel zal beschikbaar en het ‘IT-budget’ zal toereikend moeten zijn voor – ook – die andere aandachtsgebieden. Voor informatiebeveiliging zal bijzonder aandacht moeten zijn binnen de organisatiestructuur om recht te doen aan de toegenomen digitale dreigingen en de noodzaak om hier een goed gefundeerde besturing voor in te richten. Daar komen ook nog de afhankelijkheden bij in een ‘digitale monocultuur’: een kwetsbaarheid in één product raakt vele andere informatietechnologieën, dat een groot deel van de publieke sector en het bedrijfsleven kan raken.
Op nationaal niveau zijn de afgelopen jaren enkele belangrijke onderzoeken gedaan en is er gerapporteerd over het thema digitale veiligheid. Adviezen zijn gegeven over hoe ‘verstoring van de digitale infrastructuur’ dan wel een ‘digitale ontwrichting’ en ‘cyberrampen’ voorkomen kunnen worden alsook hoe ‘cyberincidenten’ zo spoedig mogelijk bestreden dan wel beheersbaar kunnen worden gemaakt.
De aanbevelingen uit al die rapporten geven vaak een eenduidige tendens aan: het Nederlandse digitale poldermodel is niet goed toegesneden, er dreigen digitale ontwrichtingen, de instanties reageren te traag én zowel aanbiedende fabrikanten, consumenten c.q. burgers, ondernemingen die gebruik maken van IoT-apparaten en andere IT-middelen kunnen en moeten veel meer doen aan cybersecure en cybersafe handelen. Nederlandse overheidsorganisaties en bedrijven zijn zeer kwetsbaar voor cyberaanvallen en er bestaat geen nationale structuur waarlangs alle potentiële slachtoffers van cyberaanvallen tijdig worden gewaarschuwd.
Dit artikel voorziet in een zeer beknopt overzicht van die rapporten.
AR: al meer dan tien jaar onderzoek
De Algemene Rekenkamer (AR) doet al meer dan tien jaar onderzoek naar informatiebeveiliging en heeft deze recent weer geanalyseerd. ‘Hieruit blijkt herhaaldelijk dat de gestelde ambities op het gebied van digitalisering niet goed in balans zijn met de mensen, middelen en organisatie’, zo valt op rekenkamer.nl/onderwerpen/ICT-en-digitalisering te lezen. De AR vraagt regelmatig aandacht voor het eenduidig beleggen van taken en een adequate invulling van verantwoordelijkheden, bijvoorbeeld rondom cybersecurity, informatiebeveiliging, het e-ID stelsel en het stelsel van basisregistraties. Zo wordt ook gevraagd om een (meer) coördinerende rol voor de verantwoordelijke bewindspersoon in het kabinet. ‘Dat kan een uitbreiding van bevoegdheden van de minister inhouden, zoals bij informatiebeveiliging, waar resultaten achterblijven’, zo schrijft de AR [1].
WRR: voorbereiden op digitale ontwrichting
De Wetenschappelijke Raad voor het Regeringsbeleid (WRR) startte in 2018 een adviestraject over hoe Nederland kan omgaan met een mogelijke cyberramp. De overheid en aanbieders van vitale processen hebben beperkt zicht op de partijen van wie zij afhankelijk zijn. Op het terrein van cybersecurity krijgt de voorbereiding op ontwrichting echter weinig aandacht. Dit maakt het lastig om de ernst van incidenten te kunnen vaststellen en het hoofd te bieden aan een digitale ontwrichting. Bij de bestrijding hiervan ontbeert de overheid bovendien een duidelijk omschreven bevoegdheid om in te grijpen. In het rapport Voorbereiden op digitale ontwrichting [2] pleit de WRR voor een betere voorbereiding op een digitale ontwrichting door o.a. adequate bevoegdheden om escalatie te voorkomen en inspanningen op het terrein van cyberverzekeringen te verrichten.
Van ‘digitale maatschappelijke ontwrichting’, of kortweg ‘digitale ontwrichting’ is volgens de WRR sprake als - door de groeiende verwevenheid van de digitale wereld met de fysieke en de sociale wereld - verstoringen van het maatschappelijke leven steeds vaker samenhangen met een ernstige verstoring of uitval van digitale processen. Van digitale ontwrichting is sprake wanneer het normale leven ernstig is verstoord.
De WRR stelt dat incidenten – door onderlinge afhankelijkheden en door de complexiteit en diversiteit van netwerk- en informatiesystemen – sneller grootschalige en grensoverschrijdende effecten bezitten. Volgens de WRR moeten zowel de overheid als het bedrijfsleven samenwerken ten einde voorbereid te zijn op incidenten in de digitale ruimte.
De WRR deed een aantal aanbevelingen, waaronder de volgende:
- besteed bij het beleid voor vitale infrastructuur meer aandacht aan de ketens en netwerken die vitale processen ondersteunen;
- onderzoek bovendien of digitalisering het nodig maakt de prioritering van die processen aan te passen; en
- benut nationale en internationale incidentdata beter, om lessen te trekken met het oog op toekomstige verstoringen.
CSR: integrale aanpak cyberweerbaarheid
Ook de Cyber Security Raad (CSR) liet in april 2021 op een vergelijkbare wijze van zich horen. In het rapport Integrale aanpak cyberweerbaarheid [3] stelde de CSR dat digitale veiligheid op het hoogst bestuurlijke niveau moet worden belegd. Op dit moment is de cyberweerbaarheidsketen in Nederland niet op alle punten even sterk. Hierdoor ontstaan er lacunes en gebreken waardoor de cyberweerbaarheid van Nederland op diverse onderdelen zwakheden vertoont.
De CSR adviseert voor de langere termijn te verkennen hoe het besturingsmodel zo kan worden ingericht dat overheden, inclusief de decentrale overheden, bedrijfsleven en wetenschap gezamenlijk kunnen werken aan één nationale cyberweerbaarheidsstrategie. “Wij gaan hier echt stevig werk van maken. Niet omdat het kan, maar omdat het moet”, zei de demissionair minister van JenV bij de inontvangstneming.
RvS: precisie, standaardisatie en centralisatie
In mei 2021 bracht de Raad van State (RvS) een publicatie uit waarin het zijn visie ontvouwt op het gebied van digitalisering. Natuurlijk adviseert de RvS dat de wetgever waarborgen moet bieden voor de bescherming van de rechten van burgers en bedrijven bij algoritmische besluitvorming. Algoritmische besluitvorming is complex en vaak lastig uit te leggen. De bestuursrechter moet burgers rechtsbescherming bieden bij algoritmische besluitvorming. Er is een verscheidenheid in situaties en van complicaties waarmee men bij de uitvoering geconfronteerd zal worden. De RvS geeft na deze beschouwing aan op welke wijze dat beter kan: ‘Dat wordt dan op de klassieke manier opgelost: door de bepalingen vaag te formuleren en in de toelichting alle mogelijkheden open te laten. Juristen en beleidsmakers gaan er doorgaans vanuit dat een gedigitaliseerde uitvoering de ruimte voor flexibiliteit, variëteit en oneindige mogelijkheden biedt. Het is echter precies omgekeerd: gedigitaliseerde uitvoering vraagt om precisie, standaardisatie en centralisatie, want alleen zo heeft men de voordelen van digitalisering’ [4].
IvhO: meer sturing op cyberveiligheid
Naar aanleiding van de cyberaanval op de Universiteit Maastricht besteedde ook de Inspectie van het Onderwijs (IvhO) aandacht aan het thema cyberveiligheid in haar rapport met het heldere adagium ‘Binnen zonder kloppen’ [5]. Onderwijsinstellingen zijn voor een groot deel zelf verantwoordelijk en daardoor onvoldoende beschermd. De IvhO vindt dat de overheid meer verantwoordelijkheid en regie moet nemen. ‘Want de kennis en kunde blijkt in het veld zeker aanwezig, maar de sturing ontbreekt’, aldus de IvhO. ‘Het verhogen van de digitale weerbaarheid van de onderwijssector is niettemin noodzakelijk’, maar ‘ook moet het duidelijk zijn welke verantwoordelijkheden individuele instellingen zelf kunnen invullen, waar ze in gezamenlijkheid kunnen optreden om de kennis en expertise van alle ketenpartners optimaal te benutten en waar aanvullende coördinatie of ondersteuning vanuit de overheid nodig is’, schrijft de demissionaire minister van OCW [6].
OvV: ‘Kwetsbaar door software’: fundamenteel ingrijpen
Het meest recente rapport over dit thema komt van de Onderzoeksraad voor Veiligheid (OvV). De OvV is duidelijk en zeer helder. De Nederlandse aanpak van digitale veiligheid moet snel en fundamenteel veranderen om te voorkomen dat de maatschappij ontwricht raakt door cyberaanvallen. Tot deze stevige conclusie kwam de OvV in het rapport Kwetsbaar door software [7]. De OvV onderzocht beveiligingslekken die ontstonden bij duizenden organisaties door kwetsbaarheden in de software van Citrix. De OvV-voorzitter stelde duidelijk: ‘Uit dit voorval blijkt dat Nederlandse overheidsorganisaties en bedrijven zeer kwetsbaar zijn voor cyberaanvallen en dat er geen nationale structuur is waarbinnen alle potentiële slachtoffers van cyberaanvallen tijdig worden gewaarschuwd.’ De OvV merkt in het bijbehorend persbericht op dat aanvallers ‘tot op de dag van vandaag’ illegale toegang hebben ‘tot systemen en data in bedrijven en organisaties die zij op elk moment kunnen activeren met disruptieve effecten op bedrijfsprocessen, dienstverlening, privacy en veiligheid.’
De OvV ziet ‘opvallende overeenkomsten’ tussen de onderzochte voorvallen. Organisaties, mensen die afhankelijk zijn van organisaties en ketenpartners waren digitaal onveilig omdat zij kwetsbare software gebruikten. De OvV geeft ook aan dat ‘incidentbestrijding nog geen sluitende, vanzelfsprekende, systematische ingebouwde reflex is.’
Vanwege de doorgaande digitale transitie verkrijgen we steeds meer mogelijkheden, maar daarmee creëren we ook een steeds grotere afhankelijkheid van de digitale systemen. Fabrikanten, overheden en organisaties zullen samen tot een effectieve aanpak moeten komen om Nederland weerbaarder te maken tegen cybercriminaliteit; dus voorbereiden van een organisatie om repressief te kunnen reageren. ‘Fabrikanten overstelpen softwaregebruikers nu met patches en updates om gebreken in hun software te verhelpen zonder met structurele oplossingen te komen’. ‘Er zijn geen instrumenten die afnemers van software onafhankelijk inzicht bieden in de veiligheid van de software. Ook schiet de eigen kennis en positie van afnemers vaak tekort om zelf eisen te stellen aan fabrikanten en veiligere software af te dwingen, of zien zij daar het belang niet van in’, aldus de OvV. Dit vraagt van fabrikanten dat zij de veiligheid van hun software voortdurend en fundamenteel verbeteren. Door samen te werken kunnen afnemers hun positie richting softwarefabrikanten versterken en hun schaarse expertise beter benutten.
Dat vergt dat er één bewindspersoon en één centrale dienst komt die hierop toeziet, zo nodig kan ingrijpen en verantwoording aflegt. Ook beveelt de OvV aan dat grotere bedrijven en organisaties wettelijk worden verplicht om verantwoording af te leggen over de wijze waarop zij hun digitale veiligheid beheersen.
Korte beschouwingen
De inhoud van deze rapporten komen grosso modo overeen, al dan niet soms anders geformuleerd.
- De publieke sector en het bedrijfsleven zijn onvoldoende voorbereid om mogelijke, digitale ontwrichtingen te voorkomen en te bestrijden. De digitale polder functioneert onvoldoende of te traag door de vele lagen om de toenemende bedreiging goed het hoofd te kunnen bieden;
- De onderzoeken geven aan dat de kennis en kunde aanwezig is, maar overheden en het bedrijfsleven moeten hun krachten bundelen, meer regie, meer centralisatie, meer (en aanvullende) coördinatie tot stand brengen;
- De wens is om te komen tot één nationale cyberweerbaarheidsstrategie;
- Er wordt steeds meer geadviseerd een nationale ‘instanz- und behördenübergreifende’ structuur te laten ontstaan waarbij een effectieve vorm van regie met betrekking tot samenwerking vorm moet krijgen. Deze centrale dienst zal de informatiedeling sneller moeten verspreiden zodat alle belanghebbende organisaties tijdiger geworden gewaarschuwd om zodoende snel mitigerende maatregelen te nemen;
- Een aardige gedacht is om grotere bedrijven en organisaties wettelijk te verplichten om verantwoording af te leggen over de wijze waarop zij hun digitale veiligheid beheersen; dit naar analogie van de verplichte accountabilityverplichtingen uit de AVG/GDPR;
- Fabrikanten zullen de veiligheid van hun software voortdurend en fundamenteel moeten verbeteren. Dit zijn eigenlijk de alom bekende vereisten van ‘privacy/security by design’ en verbeteringen die worden doorgevoerd na toepassing van die ontwikkelprincipes! Inkopende organisaties kunnen dat uiteraard zelf afdwingen. In het bestek van aanbestedingsprocedures en bij andere inkoopprocedures kunnen eisen worden gesteld alvorens die IT-middelen daadwerkelijk aan te schaffen. Wellicht dat als IT-middelen door een virus getroffen worden, zouden achteraf de leveranciers aansprakelijk kunnen worden gesteld. Dan is het leed echter al geschied. Een zorgplicht voor fabrikanten – voor levering van veilige hard- en software aan burgers, bedrijven en overheid – kan leiden tot een vooraf beschermen alsook tijdig en snel leveren van eventuele updates en patches.
De zwakste schakel
De rapporten en de aanbevelingen zijn er. Nu is het te bezien hoe de CEO’s en de bestuurders dit gaan oppakken hoe deze aanbevelingen georganiseerd worden. De sterke schakel is dat er voldoende kennis en kunde aanwezig is om Nederland voldoende cyberveilig te houden en nog cyberveiliger te krijgen. Fabrikanten kunnen meer doen om cybersecure en cybersafe producten te ontwikkelen. ‘De zwakste schakel in de cyberketen is de mens. Maar dat is niet per se de gebruiker. Het kan ook de ontwerper van de beveiliging van het informatiesysteem zijn’ [8]. Het op peil houden van de cyberawareness voor burgers c.q. consumenten c.q. werknemers is van groot belang. Er zal maar dat ene mailtje met malware binnenkomen; hopelijk wordt dat niet geopend.
De soft controls goed realiseren blijft altijd het lastigst en probeer de boodschap positief over te brengen. En, o ja, denk niet aan de smaak van citroen.
Bijlagen bij dit artikel
Lexicon
Kleine catalogus van cyberrisico's [1, 2]
Enkele kwetsbaarheden
Nederlandse securitycentra
Referenties
[1] AR (2019), https://www.rekenkamer.nl/onderwerpen/ict-en-digitalisering
[2] WRR (2019), Voorbereiden op digitale ontwrichting (rapport nr. 101, 2019) Den Haag; wrr.nl/adviesprojecten/digitale-ontwrichting
[3] CSR (2021), Integrale aanpak cyberweerbaarheid, Advies 2021, nr. 2, Den Haag; cybersecurityraad.nl/documenten/adviezen/2021/04/06/csr-adviesrapport-integrale-aanpak-cyberweerbaarheid
[4] RvS (2021), Digitalisering - wetgeving en bestuursrechtspraak, Den Haag, p. 116-117; raadvanstate.nl/publicaties/studies-onderzoeken/
[5] IvhO (2021), Binnen zonder kloppen - digitale weerbaarheid in het hoger onderwijs, Utrecht
[6] Kamerstukken II, 2021/22, 31 288, 31 524 en 26 643, nr. 922
[7] OvV (2021), Kwetsbaar door software - Lessen naar aanleiding van beveiligingslekken door software van Citrix, Den Haag; onderzoeksraad.nl/nl/page/17171/kwetsbaar-door-software-lessen-naar-aanleiding-van
[8] Kok, T. de (2021), De zwakste schakel in de cyberketen kan ook de ontwerper zijn! agconnect.nl/blog/de-zwakste-schakel-de-cyberketen
Dit artikel verscheen in iB2-2022.
Voor het opgemaakte artikel inclusief de figuren (pdf), klik hier onder op 'Document downloaden'.