We zitten midden in een digitale transformatie dankzij de mogelijkheden van big data, de cloud, mobiele technologie, sociale media, kunstmatige intelligentie en het internet of things (IoT). Tijdens een rondetafelbijeenkomst discussieerden een aantal beveiligingsexperts over de kansen en bedreigingen van het internet of things.
Aan de hand van vijf stellingen discussieerden Richard Franken, algemeen directeur The Hague Security Delta, Bert den Hartog, business developer bij Securitas, Rolf van den Hoek, key-accountmanager Zuid-Nederland bij Hikvision en Jan Wilterdink, channel partner-manager bij Nedap, over de kansen en bedreigingen van het internet of things. De discussie stond onder leiding van Max Remerie.
Goede beveiliging: een zaak van de overheid?
Het IoT schept economische kansen en helpt onze steden om slim te worden, maar datzelfde IoT maakt onze digitale infrastructuur kwetsbaar en vergroot de kans op cybercriminaliteit en black-outs. Wachten we voor een goede beveiliging van het internet op de overheid, laten we dit over aan de markt, of pakken we het samen op?
De deelnemers aan de rondetafeldiscussie: Richard Franken, Jan Wilterdink, Max Remerie, Bert den Hartog, Rolf van den Hoek (v.l.n.r.).
Stelling 1: Het IoT biedt kansen voor de samenleving in het algemeen en de beveiligingsbranche in het bijzonder.
Alle deelnemers aan de discussie beamen volmondig dat het IoT volop kansen biedt, kansen die de beveiligingsbranche moet pakken. Wilterdink ziet hierbij voor de branche een rol weggelegd als verbinder van verschillende partijen. Den Hartog wijst op het belang van informatie delen en bruggen bouwen. Initiatieven als het gebruik van sensoren kunnen de samenleving verder helpen. Dit bevordert niet alleen de veiligheid van mensen en eigendommen, maar helpt ook bij het delen van informatie om processen te kunnen verbeteren.
Investeren in cyberveiligheid is uiteindelijk een gouden USP
Franken pleit voor brede samenwerking op het gebied van beveiliging. “Het IoT veiliger maken doe je niet alleen als beveiligingsbranche. Met elkaar, van gebruiker tot de wetenschap en van leverancier tot producent, moeten we de wereld veiliger maken. En daar moet de overheid zijn steentje aan bijdragen. Dat is nodig want er kan bizar veel fout gaan; heel Nederland kan worden stilgelegd. Het motto is wat mij betreft dan ook: internet of everything. Ook de mens en niet alleen apparaten zijn met elkaar verbonden.” Daarbij vindt hij dat de securitybranche kritisch moet zijn als het gaat om de beveiliging. Door anderen bewust te maken van de gevaren die ook in de beveiligingstechniek verstopt kunnen zitten, kunnen bedrijven in de beveiligingssector het verschil maken en een belangrijkere rol spelen op het gebied van totaalbeveiliging. Franken: “Het zijn de fabrikanten die ballen moeten tonen. Investeren in een hoger niveau van cyberveiligheid kost in eerste instantie geld, maar het is uiteindelijk een gouden USP, wat geld gaat opleveren in de nabije toekomst.”
Stelling 2: Het IoT brengt securityrisico’s met zich mee, maar deze worden overdreven. De beveiligingsbranche is zo volwassen dat zij deze zelf kan aanpakken met zelfregulering, standaarden, certificering.
De markt wordt overstelpt met huis-, tuin- en keukenapparatuur die met het internet verbonden kan worden. Deze apparaten zijn vaak goedkoop en niet voorzien van goede securitystandaarden. Te lang is gekeken naar alleen de kansen van dit fenomeen en niet naar de risico’s van bijvoorbeeld onbeveiligde wifi-verbindingen. Sinds er ransomware-aanvallen zijn, is er pas het besef dat er een keerzijde is en dat we kwetsbaar zijn. Remerie: “De elektriciteitsvoorziening van een heel land kan platgelegd worden door een DDoS-aanval en zo kan de maatschappij ontwricht raken.”
Een APK-keuring voor apparatuur zou een goede oplossing
Franken: “Een apparaat zonder adequate beveiliging de markt in pushen, kan niet. Fabrikanten moeten bijvoorbeeld geen producten met een beveiligingscode van vier keer nul verkopen. Er moeten beveiligingsnormen zijn met bijbehorende certificaten. En er moet een instantie zijn die controleert, want de risico’s van één zwakke schakel in deze keten worden zwaar onderschat.” Of zoals Den Hartog het noemt: “Een APK-keuring voor apparatuur zou een goede oplossing zijn om zo de certificering en borgstellingen aan de branche te garanderen.”
Van den Hoek bevestigt die zienswijze: “De installatiebranche is niet volwassen genoeg om het zelf te doen en denkt nog te traditioneel.” Hij pleit ook voor kruisbestuiving tussen de installatiebranche en IT-bedrijven. “Nu zijn het nog te vaak twee werelden die te ver uit elkaar liggen.” Den Hartog: “Iedereen denkt vanuit zijn eigen domein en heeft zijn eigen belangen, bijvoorbeeld snel vermarkten bij commerciële partijen versus veiligheid bij de politie. Maar wat mij betreft is de markt leidend.” Franken: “Het is zaak dat we ergens in het midden uitkomen; iedereen zal boven zijn eigen belang moeten kunnen uitstijgen. Alleen dan kunnen we de juiste slagen maken. We moeten het goed en snel gaan regelen en de sluizen dicht zetten. Anders krijgen wij ‘natte voeten’.”
Kenniscentra, standaarden voor videoapparatuur en certificaten kunnen hierbij helpen, bepleit Wilterdink. Maar
Van den Hoek betwijfelt of dit helpt. “Niemand vraagt naar een certificaat.” De oplossing ligt volgens Franken in het zelf verantwoordelijk maken van de branche dan wel zorgen dat de branche zelf de verantwoordelijkheid oppakt: “We moeten het niet van de overheid hebben. Het gaat om bewustwording: mensen moeten niet eerst om de wifi-code vragen, maar zich om te beginnen afvragen hoe veilig het is. Een veiligheidszegel kan hierbij helpen.”
Stelling 3: Er is geen incentive voor producenten en gebruikers voor een veilig gebruik van bijvoorbeeld slimme camera’s. Dit is een vorm van marktfalen waartegen de overheid moet optreden met het afdwingen van regelgeving.
Dat er camera’s in omloop zijn zonder beveiliging, heeft alles te maken met het feit dat gebruikers vragen om goedkope camera’s, is het oordeel van Den Hartog. Hij wijst erop dat eindgebruikers veelal geen verstand van zaken hebben als het gaat om de beveiliging en de impact hiervan. Het zijn daarom de fabrikanten en leveranciers die de gebruikers hierop dienen te wijzen, volgens hem. “Zij moeten lef tonen. Daar hebben ze in een later stadium profijt van.” Van den Hoek vult aan: “Wij zijn inderdaad verantwoordelijk voor de beveiliging van de camera’s. Maar dat is slechts een deel van het verhaal. Het gaat ook om het gedrag van de gebruiker. Vergelijk het maar met appen in de auto. Je kunt een auto veilig maken, maar als de bestuurder met een mobiele telefoon achter het stuur zit, loopt hij risico.”
> Lees ook Grootste gevaar zit achter de computer
In dit soort zaken is er een rol weggelegd voor de verzekeraars, vindt Den Hartog. “Voor hen is er werk aan de winkel. Verzekeraars dienen in hun polissen eisen en normen voor de beveiliging op te nemen.” Franken laat een ander geluid horen en verwacht op korte termijn niet al te veel van de verzekeraars: “Verzekeraars weten niet wat ze kunnen verwachten, zij hebben nog een te klein referentiekader op dit terrein; risico’s zijn hierdoor nog onvoldoende tot niet af te dichten.”
Wilterdink pleit voor een beveiligingscertificaat dat door de overheid moet worden geïnitieerd. Daarbij is snelheid geboden, want de techniek verandert razendsnel. Doordat de overheid reactief is, is er ook volgens hem een belangrijke rol weggelegd voor de fabrikanten. Den Hartog vult aan: “De overheid loopt achter, maar kan participeren in de vorm van publiek-private samenwerkingsverbanden, waarbij de overheid de ondergrens moet aangeven. We moeten die samenwerking met elkaar oppakken en niet aan de overheid overlaten.” Hij wijst in dit verband ook op het feit dat veel wetgeving verouderd is. Franken gaat nog een stapje verder: “De overheid werkt momenteel met, voor dit item, deels achterhaalde wetgeving en opsporingsmethodieken. Out of the box denken en pilotmatig veranderingen in gang zetten, is de oplossing. Het hierbij betrekken van bedrijven en kennisinstellingen is aan te bevelen.”
Stelling 4: Er is bij alle betrokken partijen een gebrek aan expertise, geld en goed opgeleid personeel.
Het Nederlandse cyberlandschap is momenteel nog sterk gefragmenteerd. Er is een noodzaak om de samenwerking en kennisdeling te intensiveren. Kennisinstituten, vitale- infrastructuurmanagers, ICT-bedrijven en startups moeten samenwerken om innovatie rondom nieuwe cybersecuritytechnologieën en -methodes te versnellen. Door (zelf)regulering en het toetsen van eisen kunnen de maatschappelijke risico’s worden geminimaliseerd, stelt Remerie.
Wilterdink trapt af door te stellen dat fabrikanten weten waar ze mee bezig zijn. Dat moeten ze onder de aandacht brengen van klanten. Zeker het MKB wil ontzorgd worden en huurt expertise in, want zij hebben geen eigen IT-functionarissen in huis, zoals bijvoorbeeld internationaal opererende banken wel hebben. Die besteden hun IT niet uit.
Ook Den Hartog meent dat zijn bedrijf voldoende kennis en oplossingen in huis heeft om klanten te helpen, ook grote internationale concerns. “Wij nemen onze verantwoordelijkheid, investeren juist in nieuwe ontwikkelingen en werken samen met partners om de beveiliging goed te regelen. Dit heeft ertoe geleid dat we complete integrale veiligheidsconcepten kunnen aanbieden aan onze klanten. Hierbij geldt wel dat bedrijven de plicht hebben om op de hoogte te blijven van de ontwikkelingen en actuele gebeurtenissen. Leveranciers kunnen hen ontzorgen, maar de bedrijven blijven zelf verantwoordelijk.”
Franken gaat vervolgens in op de beveiliging van de Nederlandse IT-infrastructuur. Hij pleit voor een ‘Rijkswaterstaat-achtige instantie’ die toeziet op de vitale infrastructuur, parallel aan het onderhoud van en het toezicht op de fysieke wegen. Wilterdink voegt toe: “Zoals er iemand is die erop toeziet dat we niet harder rijden dan 130 kilometer per uur op de snelweg, zo moet ook het toezicht op de digitale snelweg geregeld worden, waarbij ook gekeken wordt naar wie er op die snelweg rijden, een soort digitale douaniers.”
Je moet de risico’s managen en veerkrachtig zijn
Stelling 5: Cybercrime is niet te voorkomen. Wat rest is omgaan met de gevolgen en de impact te beperken. Is resilience het nieuwe toverwoord?
Cybercriminelen lopen qua kennis voor, worden wellicht gesteund door overheden en verenigen zich op het dark web. Het is onmogelijk om je als bedrijf tegen alles te beschermen. Monitoren, reageren en klaar zijn voor een aanval (lees: dataverlies en imagoschade) zijn de enige opties. “Je moet de risico’s managen en veerkrachtig zijn”, vat gespreksleider Remerie de materie samen.
“Criminaliteit is er altijd al geweest”, nuanceert Franken. “Wat dat betreft is er niets veranderd. Dit is ’slechts‘ een nieuwe vorm. Wat wel veranderd is, is dat deze ontwikkelingen veel sneller gaan en dat de impact van cybercrime veel groter is. Het is daarom zaak dat iedereen wakker wordt.”
Criminelen werken samen, dus moeten wij dat ook doen, voegen de anderen toe, ook bijvoorbeeld door goede scholing en voorlichting. Daar wacht men op. Door het IT-verkeer te monitoren kun je cybercrime zoveel mogelijk voorkomen. En gebeurt het toch dan is het als met een virus in een ziek lichaam: dat moet er zo snel mogelijk uit.
Je moet het risico van cybercrime accepteren, maar er tegelijkertijd iets aan doen
Remerie wijst in dit verband op een ziekenhuis dat de IT-infrastructuur vernieuwde. Onderdeel hiervan was een campagne onder de medewerkers van het ziekenhuis om hen bewust te maken van de privacy-aspecten van de patiënten inclusief een voorbeeld van een werknemer die een onbeveiligd bestand naar het werk stuurde, waardoor het elektronisch patiëntendossier eruit vloog. Franken afsluitend. “Je moet het risico van cybercrime accepteren, maar er tegelijkertijd iets aan doen.”
Henk Hogewoning is freelance journalist en eindredacteur van Security Management.
Lees ook
Dit artikel is verschenen in Security Management nummer 12. Vraag hier een gratis proefnummer aan.