Column


Column Chris van ’t Hof

De onvoltooide race van Rathenau

In Nederland zijn we dol op cyberdreigingsanalyses. De grote consultancybureaus en IT-bedrijven komen er jaarlijks mee, we hebben een wijdverbreid analistennetwerk dat de overheid van analyses voorziet en elk jaar publiceert het NCSC het Cybersecuritybeeld Nederland. De AIVD en NCTV hebben het Rathenau Instituut gevraagd dit dunnetjes over te doen. Volgens het rapport gaan we in Nederland niet goed om met cyberdreigingen, maar waar die constatering vandaan komt, blijft een raadsel.

Het rapport Een nooit gelopen race – Over cyberdreigingen en versterking van weerbaarheid is ambitieus: een vergelijking tussen Nederland en buitenland, van nu tot aan 2020. Waar baseert het rapport zich dan op? Twee workshops en wat interviews met ingewijden en de reeds genoemde dreigingsanalyses. Het lijstje deelnemers lijkt divers, maar ze delen duidelijk een belang: het zou hun goed uitkomen als er meer geld en aandacht komt voor cybersecurity. Dat is ook de conclusie van het rapport. De vraag blijft hangen: doet Nederland het dan zo slecht vergeleken met andere landen?

Cyberspionage en –sabotage?
De analyse van dreigingen is flinterdun. Neem cyberspionage. Die zou vooral vanuit China en Rusland komen, volgens bronnen van de opdrachtgever, al volgt er geen bewijs. En de VS dan? Die worden blijkbaar vergeven dat zij zo’n beetje over het hele internet spionagesoftware hebben draaien. Zijn ze Snowden vergeten? Nee, maar die wordt alleen genoemd als het gaat om de zorgen die de burger zich maakt, vanwege krantenkoppen... Naïviteit of toch inmenging van de opdrachtgever?

Cybersabotage dan? Na wat bekende incidenten, zoals in Estland en Oekraïne, volgt de ontnuchterende conclusie: “Voor zover bekend hebben zich in Nederland nog geen situaties voorgedaan waarbij actoren van buitenaf succesvol sabotage hebben gepleegd.” Mooi. Maar we hebben hier wel veel waterwerende systemen online staan, waarschuwt het rapport. Ja, dat roept TNO al 20 jaar. En na wat SCADA-onthullingen in 2013 hebben onder andere het NCSC, de IBD en waterschappen veel werk verricht om verantwoordelijken te informeren, training te geven en normen af te spreken. Staat er niet in.

Te weinig regie en standaarden?
Even ongefundeerd is het betoog over standaarden. Die zouden er te weinig zijn en de Nederlandse overheid voert hierover te weinig regie. In de VS doen ze dat beter, aldus het rapport. Daar hebben ze een concrete richtlijn waar de overheid iedereen aan probeert te houden. Dat zo’n staatsbemoeienis alleen maar leidt tot compliance, oftewel hokjes aanvinken, gaan ze aan voorbij. ISO 27001 is hier een goed voorbeeld van. Al is dat momenteel de belangrijkste standaard voor informatiebeveiliging, hebben de onderzoekers ook die over het hoofd gezien.

De standaarden voor internetveiligheid die door het Forum Standaardisatie worden uitgedragen, worden een beetje flauw afgedaan, omdat daar geen handhaving achter zit. Ik ben van mening dat die forumbenadering juist wel werkt, omdat alles wat werkt op internet nu eenmaal voortkomt uit multi-stakeholderstandaarden. Nederland is niet voor niets koploper in DNSSEC. Het rapport meldt wel dat volgens het NCSC een groot deel van de Nederlandse gemeenten zich niet houden aan de standaarden. Dat lijkt zorgwekkend, maar blijkbaar wordt er dus wel gecontroleerd. Gemeenten zullen de beveiliging overigens wel moeten verbeteren, vanwege de Algemene Verordening Gegevensbescherming. Dat nu overal privacy-officers moeten worden aangesteld en hele legers consultants zijn aangerukt om aan de verordening en ISO 27001 normering te voldoen, wordt voor het gemak ook maar even weggelaten.

Meest opvallend vond ik de evaluatie van de ISAC’s, de Information Sharing and Analyses Centers. Dit is het regie-instrument van de overheid bij uitstek. Daar komen immers alle stakeholders van de vitale sectoren bijeen, om in vertrouwen dreigingsanalyses te delen. Dit netwerk zorgt ervoor dat we als land incidenten voor zijn door een kennisvoorsprong in plaats van elkaar wantrouwend de maat te nemen. Daarom treedt de staat niet controlerend op, maar vooral modererend, anders raakt ze de deelnemers kwijt. Aldus, werkt deze regievoering volgens het Rathenau Instituut? Ja! Er staat zelfs dat de ISAC’s een internationaal voorbeeld zijn van hoe het moet.

Negatieve bewijslast
Dit soort negatieve bewijslast bereikt in dit rapport het hoogtepunt bij een van de weinige cijfermatige onderbouwingen. Dit gaat over iets wat ons allen direct raakt: fraude met internetbankieren. Daar zien we echter vooral dramatisch dalende lijnen, dankzij een goed georganiseerde samenwerking van banken en overheid. De campagne ‘Hang op! Klik weg! Bel uw bank!’ was wellicht irritant, maar ook zeker effectief.

Daar moeten we er meer van hebben, stelt het rapport terecht. Maar hoe dan? De onderzoekers weten geen andere voorbeelden te noemen. En Alert online dan? Elk jaar doen meer dan 100 partners van allerlei pluimage hun best om te laten zien hoe belangrijk goede wachtwoorden, updates en trainingen zijn. Het kan zijn dat de onderzoekers dit ook te weinig vinden, maar noem het dan op zijn minst.

Dan hadden ze ook wat meer feitenmateriaal gehad over die andere kwetsbare groep: het mkb. Daar waren in 2015 immers zowel de Alert online-campagne als de Week van de Veiligheid immers op gericht. De ondernemers kregen toen gratis een hele reeks aan congressen, workshops, trainingen, tests, ja, zelfs pentests en beveiligingsupdates. Ministers kwamen aan het woord, een grote pr machine werd opgetuigd, het kon niet op.

Wat bleek? De mkb’ers zijn niet geïnteresseerd in cybersecurity. Ze zien IT als een van de ondernemersrisico’s, brengen het daarom onder bij een dienstverlener en betalen naar zekerheidsniveau. De oplossing die het Rathenau biedt, zal daar weinig aan bijdragen. Ze pleiten namelijk voor een Digital Trust Centrum dat de ondernemers moet gaan voorlichten. Weinig effectief, maar ook hier zal menig cybersecurity-expert niet tegen zijn.

Uitleg ontbreekt
Interessant is dat het rapport pleit voor jaarlijkse hacktests. Maar ook hier vraag ik me af: hoe dan? Bedoelen ze pentests door gecertificeerde IT-securitybedrijven, audits door ambtenaren, hackathons of Crisis Management Training? Alle vier lijken me relevant, dus het is jammer dat het rapport op geen enkele manier uitlegt wat verstaan wordt onder hacktests.

Hetzelfde geldt voor certificering. Er komt immers een enorme stroom aan onveilige Internet of Things-devices op ons af, die bijvoorbeeld ingezet kunnen worden voor DDoS-aanvallen. Kan niet een onafhankelijk instituut die dingen testen of certificeren? Wat dat betreft heb ik goed nieuws voor het instituut: er komt een Cyber TestBed, dat precies dat gaat doen. Dit aankomende platform werd nog voor de verschijning van dit rapport gelanceerd bij HSD, nota bene bij het instituut bij Rathenau om de hoek...

Onvoltooide race
Al met al is deze Rathenau studie vooral een onvoltooide race. Het blijft hangen bij de constatering waarmee het opent: “Nederland is, als een van de meest ICT-intensieve economieën ter wereld, een aantrekkelijk doelwit is voor cybercriminelen, cyberspionnen en andere hackers.” Ook met die open deur zullen de meeste lezers het wel eens zijn. Echter, volgens mij is dit waar het meteen al misgaat. Door ‘hackers’ in een adem te noemen met spionnen en criminelen is het instituut in een klap een belangrijke doelgroep kwijt: hackers die juist helpen de beveiliging te verbeteren. Juist daar is Nederland goed in.

Op menig internationaal congres zie ik buitenlandse beveiligingsexpert verlekkerd kijken naar hoe de Nederlandse overheid, het bedrijfsleven en de hackers community eendrachtig Responsible Disclosure hebben ingevoerd. In dit rapport wordt echter het woord Responsible Disclosure niet eens genoemd. Dat, terwijl het al meer dan honderd keer in de Tweede Kamer aan bod is gekomen en nu, na jaren, als maatregel effectief blijkt te zijn.

Ook Open Source Intelligence tiert welig in Nederland. Kennis over cybersecurity ligt immers niet bij de ambtenaren, maar bij bedrijven en vrije geesten. Die lok je niet met meer geld en regels, maar met een vrije en open cultuur, waarin iedereen kwetsbaarheden kan delen, online en tijdens bijeenkomsten. Door te pleiten voor meer regels en handhaving vanuit de overheid, gebaseerd op weinig kennis van zaken, worden dit soort open samenwerkingsverbanden plat geslagen.

En oh ja, dan waren er nog de twee olifant in de kamer, de AIVD en NCTV. Het instituut dat al sinds de invoering van de Wet Persoonsregistratie in 1995 privacy hoog op de agenda heeft staan en al tien jaar roept dat we van een privacyparadijs naar controlestaat gaan, neemt het ineens op voor de veiligheidsdiensten. Vind ik op zich stoer, maar er niets over geschreven staat is toch vreemd. Ik mag hopen dat dit vooral komt door het inzicht, dat samenwerking beter is dan alleen maar kritiek geven. Hebben ze er toch nog wat van opgestoken.


Lees meer over