groep in die organisaties met vitale maatschappelijke functies bijstaat bij het oplossen van het incident. In januari 2012 is een bij de Raad horend Cyber Security Centrum van start gegaan waarin de kennis van verschillende calamiteitendiensten zoals Govcert is ingebracht. Bundeling Een van de leden van deze nieuwe Cyber Security Raad is Harry van Dorenmalen, die er als voorzitter van branchevereniging ICT~Office vanuit de IT-sector zitting in heeft. Hij heeft tijdens de cybersecuritytop in Londen afgelopen zomer geconstateerd dat deze bundeling van publieke en private kennis over informatiebeveiliging vrij uniek is. “Er zijn weinig landen die op deze manier samenwerken”, aldus Van Dorenmalen. “De beveiliging en de hackaanvallen zijn zo complex geworden dat geen enkele partij dat meer alleen kan oplossen. De overheid en het bedrijfsleven hebben elkaar nodig om die cyberdreiging het hoofd te bieden.” Volgens Van Dorenmalen hebben organisaties nog steeds vooral hun eigen verantwoordelijkheid om de beveiliging van systemen goed uit te voeren. In het beleid van de Raad is er dan ook vanuit ICT~Office juist veel aandacht voor voorlichting. Daarnaast moet de weerbaarheid van systemen omhoog en moeten er oplossingen klaarliggen als zich calamiteiten voordoen. Terwijl andere landen als de VS en Engeland grote budgetten reserveren voor het bestrijden van cybercrime kiest Nederland heel duidelijk voor de bundeling van bestaande kennis. “Engeland zet 650 miljoen euro in om de cybersecurity te verhogen”, vervolgt Van Dorenmalen. “Dat is een klassieke stap die Nederland nog niet neemt. De economische tijden zijn er niet naar. Bovendien is het de vraag of zo’n grote financiële investering de beste oplossing is. De bundeling van publieke en private kennis waar Nederland nu voor kiest is een slimmere aanpak.” Die mening is ook beveiligingsexpert en directeur van Fox-IT Ronald Prins toegedaan. “Deze bundeling van publieke en private kennis zorgt er in ieder geval voor dat het wiel niet op diverse plekken opnieuw uitgevonden hoeft te worden.” Financiële prikkels Toch vraagt Prins zich af of het voldoende is. “Op het moment dat er een incident bestreden moet worden pakken we het probleem gezamenlijk aan”, stelt hij. “Zo aan tafel is men heel lief voor elkaar en heeft iedereen hetzelfde doel. Alleen, eenmaal teruggekeerd in de eigen organisatie is het nog maar de vraag of er daadwerkelijk maatregelen getroffen worden. Het kost geld of er zijn andere praktische bezwaren om de extra stappen te zetten. Om dit te verhelpen heb je eigenlijk financiële prikkels nodig om organisaties de goede kant op te duwen.” Volgens Prins is de voorgestelde wettelijke plicht om beveiligingsincidenten openbaar te maken voor organisaties met een vitale maatschappelijke functie daar al een voorbeeld van. “Het is geen populair standpunt, maar organisaties moeten een zekere pijn voelen, anders komen maatregelen er gewoonweg niet. Boetes zullen ook werken. Een boete van twee euro voor elk persoonsgegeven dat door een geslaagde hackpoging gecompromitteerd wordt, zou geen slecht idee zijn. Uiteindelijk komen deze aan de directietafel ter sprake en wordt er geld voor maatregelen tegenover gezet zodat het niet weer gebeurt.” Nummer 1 - januari 2012 Daarnaast wijst Prins erop dat de bundeling van kennis in de Cyber Security Raad en het Centrum niet de enige maatregelen zijn die de overheid neemt. Het ministerie van Defensie trekt 50 miljoen euro uit om een legeronderdeel voor cyberwar op te zetten. “Daar zal zeker iets moois uit voort gaan komen”, vervolgt Prins. “Het zal alleen moeilijk zijn om deze kennis ook in andere domeinen te gebruiken. Neem een fysieke dreiging als een overstroming. Als zo’n calamiteit optreedt, dan kunnen burgemeesters van getroffen gemeenten een beroep doen op hulp door het Nederlandse leger. Het nieuwe legeronderdeel maakt geen deel uit van Cyber Security Center. Dat is jammer, want je weet bij een hackpoging nooit wie er achter zit. Het kan een individuele hacker zijn, maar het kan ook een spionagepoging van een veiligheidsdienst zijn. Gaat het om een hacker, dan is de politie de aangewezen instantie om op te treden, maar als blijkt dat de vervalste DigiNotar-certificaten ingezet zijn om de gmail-accounts van Iraniërs binnen te dringen, dan kan het net zo goed om de veiligheidsdienst van Iran gaan.” 55 De crisis rond de DigiNotar-certificaten heeft de overheid het besef gegeven hoe afhankelijk we in Nederland inmiddels van IT-systemen zijn geworden, denkt Jaap Uijlenbroek.
56 Online Touch Home