Als cyberincidenten uit blijven, waarom beveilig je dan?
Bibi van den Berg, hoogleraar Cybersecurity Governance bij ISGA, was te gast bij BNR podcast 'De Strateeg' en bij NPO Radio 1 en besprak onder meer cybersecurity in coronatijd.
Door de coronacrisis begeven we ons massaal online. Vaker digitaal vergaderen, mailen, meer gebruik van bepaalde software en alle bijkomende kwetsbaarheden waar cybercriminelen maar al te graag gebruik van maken. Hoe moet Nederland zich hier tegen wapenen? Deze risico’s waren er ook al zonder coronavirus, maar het risico is nu vergroot. Naast de digitalisering die thuiswerken met zich meebrengt, zien we ook toenames in bijvoorbeeld DDoS aanvallen, phishing mails, en verstoringen in online vergaderingen. Naast georganiseerde criminelen zien ook startende hackers een kans. Zij hebben nu meer tijd thuis om met DDos aanvallen te experimenteren.
Van den Berg bespreekt op NPO radio 1 dat in coronatijd een goede bescherming van mobiele telefoons nog belangrijker is geworden. Al hebben veel mensen hun PC en laptop goed beveiligd, smartphones missen deze beveiliging vaak. Als we het hebben over smartphones, wordt de verantwoordelijkheid voor de beveiliging ervan vaak bij de consument gelegd. Dit is verwonderlijk, want zorg dragen voor een goede beveiliging is niet zo eenvoudig. Zou de producent dat niet eigenlijk moeten doen? Wetten op het terrein van consumentenbescherming stellen dat producenten ervoor moeten zorgen dat producten die op de markt gebracht worden niet gevaarlijk kunnen zijn. Als je een koffiezetapparaat koopt, mag je er van uit gaan dat je het veilig kunt gebruiken, en dat het niet in de brand vliegt. Maar software valt niet onder de regels voor consumentenbescherming. Als je een ‘smart’ koffiezetapparaat koopt, mag hij dus niet zomaar in brand vliegen, maar tegen hacken ben je niet beschermd. De verantwoordelijkheid voor de beveiliging van dit soort producten (en telefoons en laptops) wordt veelal bij de consument zelf neergelegd. Niet verwonderlijk dat daar risico’s zitten.
Tijd om door te pakken
Van den Berg spreekt zich bij BNR uit over de nood voor meer centrale coördinatie op het gebied van cybersecuritybeleid in Nederland. Er moet een deltaplan op cybergebied komen onder leiding van een Cybercommisaris. Zo’n plan zal alle ministeries en lagen binnen de overheid kunnen doorsnijden, want nu is dit landschap nog te versnipperd. Ministeries werken lost van elkaar en bepaalde onderwerpen binnen cybersecurity vallen in de gaten tussen deze onderwerpen en worden dus niet aangepakt. Een deltaplan met een regiehouder en een budget die voor samenwerking zorgt kan dit oplossen.
Nederland en cybersecurity
Volgens Van den Berg doen organisaties en de overheid veel dingen goed op het gebied van cybersecurity. Eén van de uitdagingen rondom beveiligen is: als je je beveiliging goed op orde hebt, dan neemt de kans op incidenten sterk af. Maar als incidenten uitblijven, bestaat de kans dat partijen zich na verloop van tijd afvragen waarom ze eigenlijk geld en mankracht steken in beveiliging. Blijft het incident uit omdat je je goed beveiligt, of omdat je nooit echt aangevallen wordt? De kans bestaat dan dat investeringen in beveiliging teruglopen, omdat er geen onomstotelijk bewijs is dat al die investeringen echt geleid hebben tot het voorkomen van incidenten. Maar àls er dan vervolgens echt een grootschalig incident plaatsvindt, wordt daarna gevraagd waarom we er niets tegen hebben gedaan. Om die dynamiek te voorkomen is het urgent dat we een deltaplan maken. Een plan voor de uitdagingen die nu tussen de kieren door glippen. We hebben meer investering nodig om de versnippering van cybervraagstukken tegen te gaan.
Luister de volledige BNR De Strateeg podcast en luister het NPO Radio 1 fragment.
Prof.dr. Bibi van den Berg heeft een MA en een doctoraat van de afdeling Filosofie van de Erasmus Universiteit. De onderzoeksinteresses van Van den Berg omvatten: cybersecurity, governance van veiligheid en beveiliging, regulering van menselijk gedrag door het gebruik van technologieën (techno-regulatie en nudging), privacy en identiteit, en robotica en kunstmatige intelligentie.