ExpertsOn Cybersecurity: digitale veiligheid verlangt offers van ons allemaal!

ExpertsOn Cybersecurity: digitale veiligheid verlangt offers van ons allemaal!

ExpertsOn Cybersecurity: digitale veiligheid verlangt offers van ons allemaal!

14-03-2017 | door: Dick Schievels

ExpertsOn Cybersecurity: digitale veiligheid verlangt offers van ons allemaal!

Communicatiebureau Yellow Communications organiseerde onlangs zijn eerste ‘ExpertsOn-meeting’. Onderwerp is cybersecurity, aan tafel zitten mensen uit het bedrijfsleven, de overheid en de journalistiek. Een ieder heeft zich expliciet voorbereid  (voorwaarde voor deelname!) en brengt iets mee in de vorm van een stelling, een boek, een filmpje, of wat dies meer zij. Centraal thema: hoe halen we de discussie over cybersecurity uit het IT-domein?

Onze maatschappij wordt in toenemende mate afhankelijk van een goed functionerende digitale infrastructuur. Dat betekent dat het bestrijden van cybercrime steeds belangrijker wordt en cybersecurity steeds meer aandacht behoeft. De expert weet dat als geen ander, maar bij zowel de gewone burger als de doorsnee organisatie lijkt de noodzaak tot adequaat handelen maar slecht door te dringen. Dat komt met name, aldus de analyse van dagvoorzitter Volkert Deen van Yellow Communications, doordat cybersecurity teveel wordt beschouwd als een technisch probleem, een probleem waarvoor de IT-industrie maar een oplossing moet verzinnen. Zijn vraag: hoe veranderen we dat! Hoe zorgen we dat het bewustzijn rond cybersecurity uit de hoek van de IT wordt getrokken en de brede aandacht krijgt die het verdient?

Terreinverkenning

Als je een groep professionals aan tafel zet om 2,5 uur lang over zo’n precair onderwerp als cybersecurity te discussiëren, dan komen vanzelfsprekend alle essentiële vragen wel aan bod. Vragen als: wat zijn de kernaspecten van het vak; wat zijn de grootste risico’s en hoe bepaal je die; hoe vind je de balans tussen dreiging en beveiligingsinspanning; hoe beleg je de verantwoordelijkheden; wat leg je op en wat niet; wat moet respectievelijk de rol zijn van de overheid, de IT-industrie en de eindgebruiker; en wat is het belang van gedragsbeïnvloeding versus de techniek?

 

Wat die kernaspecten van cybersecurity betreft: De een (René van Buuren, Director Cybersecurity bij Thales) trekt een parallel met de zelfverdedigingssport Aikido, opgevat als ‘the art of self defense’. Een frappant inzicht dat hij in dat domein heeft opgedaan – en volgens hem ook voor cybersecurity, opgevat als ‘the art of cyber defense’ geldig is – luidt: een ieder heeft de verplichting jegens zichzelf en (nog veel belangrijker) jegens de maatschappij, om zich te verdedigen. Want verzuimt hij dat, dan is hij medeveroorzaker van de ellende die er om hem heen ontstaat! De ander (Peter Duin), werkzaam bij de Politie op een securityproject rond de Rotterdamse Haven, benadrukt vooral ‘resilience’ als kernaspect van cybersecurity. “Waarbij wij onder resilience verstaan: weerstand, veerkracht en aanpassingsvermogen.”

Centraal thema!

Maar terug naar het centrale thema van deze eerste ExpertsOn-meeting. Discussieleider Deen wil van het gezelschap vooral graag weten hoe we er voor kunnen zorgen dat partijen die weigeren zich druk te maken over cybersecurity, toch op een veilige manier met IT omgaan.

Een eerste antwoord, geformuleerd door Andreas van Wingerden (Manager Systems Engineering bij Citrix) luidt: “We moeten de belofte waarmaken die vervat is in het principe ‘security by design’. De gebruiker wil er niet over na hoeven denken. Die gaat er vanuit dat als hij bijvoorbeeld een IoT-device koopt, de fabrikant met genoeg kennis en kunde over de security van dat apparaat heeft nagedacht. Die gaat er vanuit dat als hij online een dienst afneemt, die dienst veilig is. Dat is wat de gebruiker verwacht. Die gaat die kleine lettertjes niet lezen.”

“Maar er zijn MKB’ers die kopen een goedkoop routertje voor vier tientjes en hangen daar vervolgens veertig werkplekken achter. Ja sorry, maar dan kun je niet verwachten dat je goed beveiligd bent”, klinkt het aan de overkant van de tafel. “Maar Je kunt toch zorgen dat bij dat soort producten alles ‘by default’ dicht staat”, riposteert een ander, “en dat je een paar A4’tjes bijvoegt waarin wordt uitgelegd hoe je de boel veilig inricht?”

Dat leidt natuurlijk ook weer tot allerlei fouten en problemen, stelt diens buurman, Jeroen van der Meer (CTO bij Solvinity, een managed hosting provider met een  focus op security van bedrijfskritische gegevens). Het enige wat je volgens hem moet doen, is dat je altijd primair naar de data kijkt. “Kijk, gehackt word je sowieso. Daarom moet je uitgangspunt zijn: als ik dan gehackt word, en ik ben mijn data kwijt, dan moet ik zorgen dat ik beschik over een goede, zo recent mogelijke backup. Het gaat uiteindelijk om die data, want IT-systemen zijn altijd wel op een of andere manier lek. Het vervelende is alleen: veel te veel gebruikers en bedrijven máken die backup niet!”

Focus op gedrag!

En daarmee zijn we min of meer weer terug bij af. Want als vanuit de technologie niet 100 procent het antwoord op afdoende cybersecurity is te geven, opnieuw: hoe dan? “Als mensen weigeren om uit zichzelf op een veilige manier te werken, moet je ze misschien tot veilig gedrag proberen te verleiden”, oppert Deen. Een interessante gedachte, die direct weerklank vindt bij de man die daarnet het ‘security by design’-principe in stelling bracht.

De gebruiker verleiden tot meer veilig gedrag is zeker een optie, zegt Van Wingerden. “Waarom staan al mijn foto’s in de cloud? Ik heb een iPhone en ik heb een iPad. En die heb ik niet primair aangeschaft om over een backup van mijn foto’s te beschikken. Ik heb dat gedaan omdat, als ik een foto maak met mijn iPhone, ik die foto ook meteen op mijn iPad heb.” Het is een mooi voorbeeld van een trigger die de gebruiker ‘impliciet’ van een backup voorziet. Maar de ene gebruiker is de andere niet, vervolgt hij. “Verschillende gebruikers hebben verschillende triggers nodig. Er zijn mensen die je moet verleiden, er zijn mensen die zelf heel goed de risico’s zien, en anderen reageren weer prima op voorschriften. Goed kijken naar de menselijke factor, kan een belangrijk deel van de oplossing zijn.”

Conclusie

Het is vanzelfsprekend onmogelijk om in een relatief kort artikel als dit recht te doen aan een uitwisseling tussen professionals die 2,5 uur heeft geduurd. Als er echter één conclusie mag worden getrokken uit deze eerste ExpertsOn-sessie over cybersecurity, dan is het wel deze: digitale veiligheid verlangt offers van ons allemaal! Van de IT-industrie die werk maakt van zaken als veilig programmeren, security by design, of zoals een van de deelnemers het formuleerde: die van programmeren weer echt een ambacht maakt. Van bedrijven, zowel klein als groot, die meer zullen moeten investeren in digitale veiligheid. (Een schatting aan tafel: “Voor gedegen IT-security zal een onderneming al snel 8 tot 12 procent van de omzet moeten investeren in zaken als awareness en beschermende hard- en software.”) Van educatieve instellingen die zorgen voor goede cybersecuritycursussen op elk niveau. Van de overheid die cybersecurity nadrukkelijker op de agenda plaats, partijen bij elkaar brengt, goede voorlichting geeft, en die niet alleen zorgt voor de nodige wetgeving rond gegevensbescherming, maar ook voldoende middelen verschaft om de regels te handhaven. En ‘last but not least’ van de eindgebruiker die – indachtig ‘the art of self defense’  – een eigen individuele en maatschappelijke verantwoordelijkheid heeft zich ook op cybersecuritygebied te verdedigen.

Door: Dick Schievels

Terug naar nieuws overzicht
Security