Overheidsbeleid staat haaks op het sombere beeld dat al jaren wordt geschetst.
Medio juni publiceerde de NCTV het tiende CSBN, het Cybersecuritybeeld Nederland, met de veelzeggende titel ‘Ontwrichting maatschappij ligt op de loer’. Steeds meer online systemen bestaan uit ketens met allerlei andere diensten en soms zijn ook daarin onvoorziene zwakke plekken. Dat kan niet lang goed blijven gaan, aldus het NCSC.
Die alarmerende boodschap is al tien jaar te vinden in het CSBN. In de opeenvolgende rapporten wordt steevast alarm geslagen over onze ‘digitale weerbaarheid’. Toch is er nog steeds een flinke mismatch tussen het sombere beeld en het daadwerkelijke overheidsbeleid.
Je zou daarom een digitaal Deltaplan verwachten. Maar in de praktijk komt het niet veel verder dan beleid en ondersteuning door het NCSC voor de overheid zelf en de klassieke vitale diensten. Voor het bedrijfsleven is er slechts voorlichting door het Digital Trust Center en wat kleine, matig gesubsidieerde publiek-private initiatieven. En dat staat haaks op de conclusie uit het CSBN.
Niet nog meer voorlichting, maar actie
Wat moet er dan wel gebeuren? Naar de stellige overtuiging van securityexperts zoals Victor Gevers en Jaya Baloo en recent ook Kamerlid Kees Verhoeven wordt het tijd voor een stevige, gerichte aanpak van kwetsbaarheden. Ik sluit me daar van harte bij aan. Recent onderzoek van Sophos laat zien dat IT-managers 75% van de problematiek toeschrijft aan het te laat of te weinig patchen en beschermen. De zwakke plekken zitten uiteindelijk in technische systemen waar de bad guys digitaal bij kunnen.
We moeten het dus anders aan gaan pakken. Niet nog meer voorlichting, maar actie. Wat de bad guys kunnen, kunnen wij ook: gaten opsporen. Om vervolgens de informatie op de juiste plekken af te leveren en de ontvangers aan te sporen om de zwakke plekken te dichten. Een bottom-up, techniek-gedreven aanpak, die alle bedrijven een concreet handelingsperspectief geeft.
Je zou daarom een digitaal Deltaplan verwachten
Recente ervaring met publiek-private projecten voor online abuse- en botnetbestrijding hebben laten zien dat die aanpak uitermate succesvol is. De overheid hoeft alleen nog maar een flinke duw in de rug te geven. Door het samenbrengen van ethical hackers, organisaties met crawlers, en meldpunten. Door het steunen en ontsluiten van informatiebronnen over kwetsbaarheden. Door het zorgen voor de continuïteit van al die actoren en voor de inrichting van de benodigde informatie-sharing netwerken. En mét een serieus budget.
Kortom, de hoogste tijd voor een nationaal, privaat-publiek “vulnerability-management programma”. Als we het echt menen met die grote kans op ontwrichting dan kan dat toch geen grote moeite zijn.
Michiel Steltman is directeur van Stichting Digitale Infrastructuur Nederland. Hij brengt het belang van de Nederlandse digitale infrastructuur en de digitale economie onder de aandacht bij politiek, bestuur en het brede publiek.
Bron: https://www.agconnect.nl/blog/tijd-voor-een-digitaal-deltaplan