“Medio juni publiceerde de NCTV het tiende CSBN, het Cybersecuritybeeld Nederland, met de veelzeggende titel ‘Ontwrichting maatschappij ligt op de loer’. Steeds meer online systemen bestaan uit ketens met allerlei andere diensten en soms zijn ook daarin onvoorziene zwakke plekken. Dat kan niet lang goed blijven gaan, aldus het NCSC.
Die alarmerende boodschap is al tien jaar te vinden in het CSBN. In de opeenvolgende rapporten wordt steevast alarm geslagen over onze ‘digitale weerbaarheid’. Toch is er nog steeds een flinke mismatch tussen het sombere beeld en het daadwerkelijke overheidsbeleid.
Je zou daarom een nationale, breed opgezette aanpak van dit probleem verwachten. Maar in de praktijk komt het niet veel verder dan beleid en ondersteuning door het NCSC voor de overheid zelf en de klassieke vitale diensten. Voor het bedrijfsleven is er slechts voorlichting door het Digital Trust Center en wat kleine, matig gesubsidieerde publiek-private initiatieven. En dat staat haaks op de conclusie uit het CSBN.
“Niet nog meer voorlichting, maar actie”
Wat moet er dan wel gebeuren? Naar de stellige overtuiging van securityexperts zoals Victor Gevers en Jaya Baloo en recent ook Kamerlid Kees Verhoeven wordt het tijd voor een stevige, gerichte aanpak van kwetsbaarheden. Ik sluit me daar van harte bij aan. Recent onderzoek van Sophos laat zien dat IT-managers 75% van de problematiek toeschrijft aan het te laat of te weinig patchen en beschermen. De zwakke plekken zitten uiteindelijk in technische systemen waar de bad guys digitaal bij kunnen.
We moeten het dus anders aan gaan pakken. Niet nog meer voorlichting, maar actie. Wat de bad guys kunnen, kunnen wij ook: gaten opsporen. Om vervolgens de informatie op de juiste plekken af te leveren en de ontvangers aan te sporen om de zwakke plekken te dichten. Een bottom-up, techniek-gedreven aanpak, die alle bedrijven een concreet handelingsperspectief geeft.
“Je zou daarom een nationale aanpak verwachten”
Recente ervaring met publiek-private projecten voor online abuse- en botnetbestrijding hebben laten zien dat die aanpak uitermate succesvol is. De overheid hoeft alleen nog maar een flinke duw in de rug te geven. Door het samenbrengen van ethical hackers, organisaties met crawlers, en meldpunten. Door het steunen en ontsluiten van informatiebronnen over kwetsbaarheden. Door het zorgen voor de continuïteit van al die actoren en voor de inrichting van de benodigde informatie-sharing netwerken. En mét een serieus budget.
Kortom, de hoogste tijd voor een nationaal, privaat-publiek “vulnerability-management programma”. Als we het echt menen met die grote kans op ontwrichting dan kan dat toch geen grote moeite zijn.”
Dit opinie-artikel van DINL-directeur Michiel Steltman verscheen op 30 juli 2019 op AG Connect. Luister ook naar de podcast van BNR Digitaal waarin Michiel Steltman een pleidooi houdt voor een nationaal vulnerability-management programma.
