Aan de argeloze omgang met digitale veiligheid komt een eind, ziet Luuk Stadhouders van Adviesbureau Berenschot. ‘Organisaties beseffen dat efficiency alleen niet genoeg is. Veerkracht en digitale autonomie zijn net zo cruciaal.’ De nieuwe Cyberbeveilingswet die dit jaar van kracht wordt, maakt toereikende maatregelen verplicht. ‘Dat wordt een echte gamechanger’, verwacht hij.
Door Bart Mullink / Foto Femke van den Heuvel
Efficiënt is het zeker, alle digitalisering, weet Stadhouders. ‘Die efficiency was jarenlang een belangrijk doel van de digitale transformatie. Nu verschuift de aandacht naar robuustheid en continuïteit. Organisaties beseffen dat digitalisering niet alleen kansen, maar ook kwetsbaarheden en afhankelijkheden creëert.’
Als expert op het gebied van digitale veiligheid, weerbaarheid en continuïteit bij adviesbureau Berenschot adviseert Stadhouders overheden en andere spelers in het (semi-) publieke domein. ‘Zoals energiebedrijven, ziekenhuizen of onderwijsinstellingen.’
Hij memoreert hoe sinds de jaren 90 bij digitalisering efficiency steeds voorop stond, met grote gevolgen, en niet alleen positieve. ‘Dat beginnen we nu pas goed te merken. Door ontwikkelingen rond Oekraïne en in Amerika, krabben we ons achter de oren of het allemaal nog wel houdbaar is. Ik denk niet dat de digitalisering is doorgeslagen. Wel dat de vraag terecht is of er bijvoorbeeld naast de digitale systemen nog voldoende alternatieven zijn, waaronder ook analoge. Wat als bijvoorbeeld elektriciteit en ICT uitvallen?’
Toename aantal incidenten
Incidenten zoals datalekken, diefstal van gegevens, gijzelsoftware en privacyschendingen blijken aan de orde van de dag. De hoeveelheid incidenten groeit jaar na jaar, evenals de ernst, zo komt naar voren uit statistieken hierover. Een kanttekening van Stadhouders hierbij luidt: ‘Dat het aantal geregistreerde incidenten toeneemt, kan deels ook komen doordat de aandacht groeit, zodat meer in beeld komt. Zeker de komende jaren kan dat goed het geval zijn. Want alle partijen moeten er verplicht toereikende aandacht aan gaan besteden.’
De Cyberbeveilingswet wordt een echte gamechanger
De Cyberbeveilingswet, de Nederlandse uitwerking van de Europese richtlijn NIS2, wordt volgens planning in het tweede kwartaal dit jaar van kracht. De wet gaat er volgens hem flink aan bijdragen dat de benodigde aandacht er ook echt komt. ‘Het wordt op dat gebied een echte gamechanger.’
Aandacht voor risicomanagement
Een die overigens aansluit bij een ontwikkeling die al een tijdje gaande is, voegt hij daaraan toe. ‘De gedachte achter de Cyberveiligheidswet is: gij zult aan risicomanagement doen.’ Dit is wat hij her en der ook al flink opgepakt ziet worden. ‘Dat is ook al een omslag.’ Een kenmerk van de nieuwe benadering is dat bij de uitvoering niet meer precieze regels leidend zijn maar het doel dat ermee moet worden bereikt. De Cyberbeveiligingswet verplicht partijen bij voorbaat te hebben gedaan wat nodig is om incidenten te voorkomen. Als er dan toch nog iets fout gaat, moet geregeld zijn dat de gevolgen zo beperkt mogelijk zijn.
Aandacht voor meer digitale veiligheid is noodzaak, weet hij. Organisaties hebben te maken met dreigingen zoals onbedoelde datalekken, gerichte ransomware, verstoringen van vitale processen en geopolitiek gemotiveerde aanvallen met potentieel ontwrichtende gevolgen.
> LEES OOK: Cindy Wubben: ‘Organisaties moeten communicatie over cyberincidenten beter voorbereiden’
Dreigingen vanuit criminele bendes en statelijke actoren
‘Vaker blijken dreigingen afkomstig van een schimmige mix van criminele bendes en buitenlandse overheidspartijen. Dat heeft alles te maken met de geopolitieke ontwikkelingen. In Rusland bijvoorbeeld maar ook in andere landen zijn criminele groepen actief die door de overheid de hand boven het hoofd worden gehouden. Zelfs als we die criminelen in beeld hebben, kunnen we ze niet aanpakken.’
Elk onderdeel apart beveiligen
Volop reden dus, onderstreept hij, om systemen zo robuust te ontwerpen dat indringers geen toegang krijgen. En als ze dan toch nog binnenkomen niets weten uit te richten. ‘Je moet voorkomen dat iemand die, bij wijze van spreken, je voordeur inbeukt, meteen je hele huis kan doorzoeken. Zijn interne systemen goed gesegmenteerd en is elk onderdeel apart beveiligd, dan blijven de gevolgen beperkt. De spreekwoordelijke inbreker blijft steken in de hal als alle volgende deuren weer blijken te zijn voorzien van eigen sloten en autorisaties.’
Geen absolute veiligheid
Het is sowieso zaak te zorgen dat de gevolgen van een eventuele hack zo klein mogelijk zijn, voegt hij daaraan toe. ‘Want het is misschien een open deur, maar die trap ik toch maar weer in: absolute veiligheid bestaat niet. Maar er zijn wel manieren om te zorgen dat een aanval niets oplevert. Naast een goede afscherming van gegevens kun ook je gevoelige data versleutelen. Dat maakt eventueel buitgemaakte informatie waardeloos. Zo hoeft één lek niet meteen tot een ramp te leiden.’
Hack Clinical Diagnostics
‘Een inbraak zoals afgelopen jaar bij Clinical Diagnostics zou bij zo’n aanpak wellicht minder ernstige gevolgen hebben gehad. Nu zijn, zoals uitgebreid in het nieuws kwam, van een half miljoen vrouwen die hadden deelgenomen aan het baarmoederhalskankeronderzoek persoonlijke gegevens buitgemaakt die door criminelen kunnen worden misbruikt.’
Sleutelrol voor medewerkers
Naast systemen spelen, voegt hij daaraan toe, de mensen die ermee werken een sleutelrol in digitale veiligheid. ‘Hiervoor moet in een veiligheidsstrategie dus ook aandacht zijn. Het is van belang goed te kijken wie wel en wie geen toegang moeten hebben tot bepaalde data en te zorgen dat geen te simpele wachtwoorden worden gebruikt. Ook zullen mensen vaak betere instructies moeten krijgen over veilig werken, bijvoorbeeld ten aanzien van het gebruik van AI.’
Gemeente Eindhoven
De gemeente Eindhoven moest recent diep door het stof omdat bleek dat bestanden met privacygevoelige gegevens van inwoners maar ook van eigen medewerkers naar openbare AI-websites waren gestuurd. ‘Een gevolg van argeloosheid denk ik. Maar dit voorbeeld laat ook goed zien dat individuele medewerkers ondersteund moeten worden met goede instructies over wat wel en niet mag.
Daarnaast zijn technische waarborgen te bedenken in de vorm van een betere beveiliging van informatie die niet zomaar mag worden gedeeld. ‘Zo voorkom je dat het probleem aan een medewerker blijkt te liggen die dan een tik op de vingers moet krijgen. De echte oorzaak zal eerder zijn dat technische maatregelen hebben gefaald.’
Bij incidenten blijkt in veel gevallen niet aan simpele digitale basishygiëne te zijn voldaan
Voldoen aan digitale basishygiëne
Hoog tijd in elk geval, vindt hij, om flink aan de slag te gaan voor een betere digitale veiligheid. ‘Als je kijkt naar alle incidenten van de afgelopen jaren, blijkt trouwens in de meeste gevallen aan een simpele digitale basishygiëne niet voldaan. Met zaken als te simpele wachtwoorden, het ontbreken van meervoudige authenticatie, te late updates, onvoldoende segmentatie in de systemen en te veel mensen die er onnodig in kunnen. Op die gebieden valt dus al veel te verbeteren.’
Kritieke processen in beeld brengen
Daarnaast is het dan nog zaak, vervolgt hij, ‘om je kritieke processen goed in beeld te hebben. Zwakke plekken in die processen en systemen moeten in kaart worden gebracht. Specifiek moet daarbij ook aandacht zijn voor de leveranciers ervan. Wie zijn dat en met welke toeleveranciers werken zij. Je moet weten welke afhankelijkheden je in huis haalt. Dit raakt aan digitale soevereiniteit. Hoe afhankelijk wil je zijn van buitenlandse technologie en leveranciers? Zeker nu geopolitiek steeds meer invloed heeft op de digitale infrastructuur. Dit is een realiteit die duidelijk maakt dat digitale autonomie, oftewel het vermogen om zelf controle te houden over kritieke systemen en data, een strategische noodzaak wordt.’
Bewust onbekwaam
Hij besluit zijn betoog ondanks alle bedreigingen optimistisch: ‘Ontwikkelingen bij organisaties gaan van onbewust onbekwaam naar bewust onbekwaam. Dan komen ze in actie en worden ze bewust bekwaam. Dat zich vervolgens geen incidenten meer voordoen is niet honderd procent gegarandeerd, maar dat die geen ramp meer hoeven te zijn, is dan ingebakken in je systeem.’
Volg Security Management op LinkedIn
