De urgentie om Nederland weerbaarder te maken tegen cybercriminaliteit neemt toe. Onderwijsinstellingen, instituten en instanties slaan steeds vaker de handen ineen om incidenten te voorkomen en te bestrijden. Die samenwerkingen slagen alleen als digitale veiligheid bij de hele Nederlandse beroepsbevolking hoog op de agenda staat én een gewoonte wordt. Dat zeggen Lodewijk Asscher, aanjager van het Centrum voor Veiligheid en Digitalisering (CVD), en IJle Stelstra, algemeen directeur Nederlands Instituut Publieke Veiligheid (NIPV).
Asscher en Stelstra bespreken wat nodig is, van investeringen in onderzoek en onderwijs tot en met een nationale database voor cybercriminaliteit. Stelstra: “Er zit een stijgende lijn in de manier waarop wij in Nederland naar de risico’s van digitalisering kijken. De urgentie om de digitale weerbaarheid van Nederland te verhogen neemt toe. Ook de bereidheid om kennis en ervaringen met elkaar te delen neemt toe. Het huidige geopolitieke conflict en daar bijbehorende spanningen dragen daar ook aan bij. Toch zijn we nog niet voldoende voorbereid op incidenten. En het gaat nog wel een paar jaar duren voordat we een dikke voldoende bereiken.”
ToenameAsscher: “Op het gebied van digitale weerbaarheid is veel gaande. Tegelijkertijd zijn de dreigingen de afgelopen tien jaar ook enorm toegenomen. Het feit dat alle kritieke infrastructuur die Nederland draaiende houdt is aangesloten op het internet, en ook al onze communicatie, zelfs onze apparaten in huis, maakt dat je kwetsbaarder bent en dat je meer weerbaarheid nodig hebt.’Stelstra: ‘Dat is precies de reden dat we nog een lange weg te gaan hebben. Je kunt nog zo zorgvuldig omgaan met je bedrijfssystemen, maar als een medewerker via een onbeveiligde verbinding gevoelige informatie deelt, ben je alsnog kwetsbaar. Om Nederland weerbaarder te maken, moet digitale veiligheid onderdeel worden van onze dagelijkse routine. Het moet net zo vanzelfsprekend worden als het afsluiten van je voordeur of het op slot zetten van je fiets. Het is een nieuw soort hygiëne die je moet betrachten. Of het nu gaat om het gebruik van je persoonlijke telefoon of om je bedrijfsaccount.”
IJle Stelstra: “Digitale veiligheid is een nieuw soort hygiëne die je moet betrachten. Of het nu gaat om het gebruik van je persoonlijke telefoon of om je bedrijfsaccount.”
Samenwerking
Asscher: “Het Centrum voor Veiligheid en Digitalisering (CVD) is een samenwerking tussen een aantal bijzondere partijen die hun krachten bundelen om Nederland veiliger te maken. Juist omdat iedereen en iedere digitale interactie invloed heeft op onze veiligheid, willen we dat dit thema onder de hele beroepsbevolking gaat leven. Daarom investeren we in onderwijs om jonge mensen voor te bereiden op een carrière in veiligheid en om professionals bij te scholen. We investeren in onderzoek om onze kennis te vergroten en beter onderwijs te kunnen leveren. En we brengen de juiste bestuurders bij elkaar aan tafel. Die praktische benadering, die invalshoek, is uniek in Nederland.
> LEES OOK: Cybercriminelen blijven pandemie misbruiken: 9 trends in cybersecurity voor 2022
“Stelstra: “Wat ik bijzonder vind is dat het CVD, ondanks de concurrentie in het onderwijs, verschillende instellingen bij elkaar brengt om Nederland weerbaarder te maken. Daardoor ontstaat een ecosysteem van partijen die van nature niet snel met elkaar samenwerken, maar elkaar wel kunnen versterken en samen een vliegwielfunctie hebben. NIPV vormt een soortgelijk ecosysteem met de Rijksoverheid, de veiligheidsregio’s en andere crisispartners om op de belangrijkste dreigingen te kunnen reageren. Maar zo’n ecosysteem – of knooppunt – werkt alleen als de juiste kennis aanwezig is. Anders zitten het Rijk, de regio’s en de gemeentes elkaar aan te kijken van ‘wie heeft de bal en wie lost het op?’ Het CVD zou wat mij betreft ook als doel moeten hebben om ervoor te zorgen dat dit soort knooppunten daadwerkelijk kunnen functioneren.”
Uitdaging
Asscher: “Het centrum richt zich daarom minder op beleid en meer op de werkvloer. Op de professional die te maken krijgt met digitale veiligheid en de kennis nodig heeft om te kunnen handelen. De uitdaging is om de schaal te bereiken die je nodig hebt om de hele beroepsbevolking voor te bereiden. We weten dat er een tekort is aan docenten en aan mensen met voldoende verstand van ICT en cybercriminaliteit om als docent aan de slag te gaan. Dus moet je andere manieren verzinnen om mensen om- en bij te scholen. We zijn daarom bezig met het ontwikkelen van ‘learning communities’ waarin je mensen uit de wetenschap verbindt met mensen in grote organisaties, van ministeries tot aan bedrijven. Op die manier kun je anderen leren hoe zij zich verder kunnen ontwikkelen en hoe je medewerkers kunt trainen op het gebied van veiligheid. Het idee achter deze communities is dat je kennis opbouwt en vervolgens verspreidt binnen je organisatie.”
Bewustwording
Asscher: “Om die digitale hygiëne te bereiken waar IJle het over had, is het belangrijk dat mensen zich bewust worden van de risico’s. Als bedrijven begrijpen dat ze kwetsbaar zijn, zullen zij op de deur bonzen om hun mensen te laten opleiden. Wat wij in Nederland ook beter kunnen doen, is open zijn over incidenten. Veel organisaties en bedrijven willen een cyberaanval of hack niet aan de grote klok hangen. En dat begrijp ik. Maar het helpt om hierover te communiceren. Want als je dat doet, kun je elkaar waarschuwen en van elkaar leren.”
Stelstra: “Het delen van kennis over andere veiligheidskwesties is al heel normaal. We hebben bijvoorbeeld al een database voor brandonderzoek. Professionals over de hele wereld maken gebruik van de informatie in deze database, van rapportages tot en met 3D-animaties, om van elkaar te leren: wat heeft het onderzoek uitgewezen? Wat was de oorzaak? Ik zou het fantastisch vinden om eenzelfde soort database te creëren voor digitale veiligheid met cases waar onderwijsinstellingen en onderzoekers uit kunnen putten. Op die manier bouwen we een veel bredere kennisbasis op die we vervolgens weer in ons eigen dagelijks leven en in onze organisaties kunnen toepassen.” Asscher: “Dit soort cases zijn ontzettend belangrijk. De gemeente Lochem is een goed voorbeeld hiervan. In 2019 ontdekte de gemeente dat hun ICT-systeem was gehackt. Op het eerste gezicht lijkt dat misschien niet zo spannend, want Lochem is een kleine gemeente. Totdat je erachter komt dat het grootste veevoederbedrijf van Europa in Lochem zit. Met de informatie uit het ICT-systeem van de gemeente Lochem komen hackers een stuk eenvoudiger in de systemen van zo’n veevoeder fabrikant terecht. Het platleggen van die systemen heeft de potentie om de voedselproductie in Europa te ontwrichten. Dus opeens loopt de vitale infrastructuur gevaar. Door juist dit soort voorbeelden met elkaar te delen, verschuift de denkwijze van: het zal mijn tijd wel duren, naar: hier moeten we allemaal wat mee. Veel organisaties en bedrijven willen een cyberaanval of hack niet aan de grote klok hangen. En dat begrijp ik. Maar het helpt om hierover te communiceren. Want als je dat doet, kun je elkaar waarschuwen en van elkaar leren.”
Politieke aandacht
Stelstra: “De aanstelling van een staatssecretaris Koninkrijkrelaties en Digitalisering, een nieuwe rol die wordt belegd door Alexandra van Huffelen, is een heel goede ontwikkeling. Want digitalisering, en de rol van veiligheid daarin, is zo urgent en belangrijk dat zelfs een minister niet zou misstaan. Dus eigenlijk is de staatssecretaris ‘second best’. Want die functie, maar ook het CVD, kun je zien als een vliegwiel dat de ontwikkelingen die nodig zijn aanjaagt.”
Asscher: “We weten dat dit onderwerp eigenlijk meer politieke aandacht verdient. Dat was ook zo toen ik in de politiek zat. Destijds heb ik een ronde tafel bijeenkomst georganiseerd over de kwetsbaarheid van het verkiezingsproces voor cyberaanvallen. Daar waren zorgen over, zeker gezien de rol van Facebook in de Amerikaanse presidentsverkiezingen. Toch kwamen weinig Kamerleden op deze ronde tafel af. Dat is een slecht teken. Daarom is het positief dat een staatssecretaris nu meer aandacht geeft aan dit onderwerp. Het enige risico is dat iedereen denkt: nou die doet het wel. Want dit onderwerp is ook heel belangrijk voor de minister van Justitie en Veiligheid. Hetzelfde geldt voor Defensie. Zij moeten zich met dit onderwerp blijven bemoeien.”
Stelstra: “Ik bekijk het vanuit het vlinderdas- of BowTie-model dat wij bij NIPV vaak hanteren. Aan de linkerkant staan de preventieve maatregelen die je kunt nemen om een incident te voorkomen en aan de rechterkant de repressieve maatregelen om een incident te bestrijden. De staatsecretaris zit aan de preventieve kant en houdt zich bezig met beleid. Defensie en Justitie en Veiligheid staan aan de repressieve kant en gebruiken dit beleid om te kunnen functioneren. Dat is volgens mij de samenwerking die daar moet ontstaan. Het CVD zit in het midden. Die waait uit naar zowel de preventieve als de repressieve kant. Uiteindelijk zijn beide noodzakelijk voor integrale veiligheid.”
Stelstra: “Zoals Lodewijk aangaf, hebben we een groot tekort aan ICT’ers. Op dit moment zijn er 44.000 vacatures in de ICT-sector. Bedrijven krijgen die maar moeilijk vervuld. Op de korte termijn is het een kwestie van ICT-beroepen nog aantrekkelijker maken voor jonge professionals. Om digitale weerbaarheid echt te laten leven, moeten we investeren voor de langere termijn. Ik geloof het meest in de kracht van het basisonderwijs. Lespakketten en -programma’s, zoals Risk Factory-simulaties, leveren een belangrijke bijdrage aan het bewustzijn en aan de kennis van dit onderwerp onder de nieuwe generatie.”
Asscher: “Het opleiden en bijscholen van de beroepsbevolking kost tijd. Toch zijn er ook ‘quick wins’ te behalen. Open zijn over wat er speelt en elkaar waarschuwen, zoals de gemeente Lochem dat deed toen hun ICT-systeem werd gehackt, levert heel snel wat op.” Stelstra: “Ook op communicatievlak is winst te behalen. Je moet goed nadenken over hoe je verschillende doelgroepen kunt bereiken. Phishing raakt bijvoorbeeld met name oudere mensen. Software-kwetsbaarheden raken voornamelijk bedrijven. Door communicatiestrategieën af te stemmen op de doelgroep, wordt digitale veiligheid voor iedereen relevant.”
Asscher: “Er is een wereld te winnen en daar kan iedereen aan bijdragen. Dat is de boodschap die we willen uitdragen en het perspectief van waaruit wij Nederland veiliger proberen te maken.”
Lodewijk Asscher is gepromoveerd informatiejurist en werkte aan de Universiteit van Amsterdam. Lodewijk was raadslid, wethouder, waarnemend burgemeester, minister van Sociale Zaken en Werkgelegenheid, vicepremier en fractieleider namens de PvdA. Hij is als partner verbonden aan Van de Bunt en adviseert over maatschappelijke vraagstukken. Asscher is aanjager van het Centrum voor Veiligheid en Digitalisering in Apeldoorn.
IJle Stelstra is sinds 2018 algemeen directeur van het Nederlands Instituut Publieke Veiligheid (NIPV). In maart 2022 is de naam IFV veranderd in NIPV. Van 2008 tot 2016 was IJle achtereenvolgend Hoofd Voorbereiding Crisis- en Incidentbestrijding, sectormanager Expertise en Regie Brandweer Amsterdam Amstelland en van medio 2015 tot medio 2016 commandant van Brandweer Amsterdam Amstelland a.i. Op 1 september 2016 trad hij in dienst bij NIPV als directeur Brandweer. In die functie heeft hij bijgedragen aan de versterking van NIPV als de landelijke ondersteuningsorganisatie voor de veiligheidsregio’s in de volle breedte. Nu draagt hij, samen met bijna 300 NIPV-professionals, bij aan een veiliger en veerkrachtig Nederland door het versterken van de veiligheidsregio’s, Rijksoverheid en crisispartners bij het professionaliseren van hun taken.
Meer over cybercriminaliteit:
- ISIDOOR 2021: NCTV en NCSC organiseerden grootste cybercrisisoefening ooit in Nederland
- NCTV: Digitale dreiging blijft toenemen
- Voorbereiden op digitale ontwrichting vraagt om coördinatie overheid
Volg Security Management op LinkedIn
BRON: NIPV