Stop wapenwedloop in cybersecurity!

it-sec-afb

Duurzame digitale economie heeft baat bij aanpak via publiek private samenwerking

De investeringen in cybersecurity lopen op en blijken daardoor steeds lastiger financieel te verantwoorden. De zegeningen van de digitale transformatie dreigen ten onder te gaan. Zitten we in een ratrace of gaan we ooit de oorlog winnen van de cybercriminelen? Heliview organiseert op 13 februari een inspirerende dag in het Congrescentrum 1931 in Den Bosch, waar gerenommeerde deskundigen uit verschillende disciplines ons anders naar IT & Information Security laten kijken.

”We zitten inderdaad in een soort van wapenwedloop, waarvan we ons moeten afvragen of we die financieel wel kunnen veroorloven”, aldus Ad Krikke, Chief Information Security Officer (CISO) bij Koninklijke DSM. ”Onze primaire reactie op de cyberdreiging is gevoed door angst. Misschien moeten we voor een passend antwoord eens kijken naar andere sectoren en ontwikkelingen in het verleden.” Als voorbeeld noemt hij de Berlijnse muur. Die kwam nadat een prikkeldraadversperring de vlucht van mensen uit Oost-Duitsland naar het Westen niet kon verhinderen.

Berlijnse muurscenario

Krikke weet te vertellen dat er van de muur zes verschillende versies zijn geweest. Telkens als deze was verhoogd, bleek toch iemand in staat eroverheen te klimmen. Op den duur begon men de zinloosheid van deze grensbewaking in te zien. De politieke ontspanning tussen oost en west deed de rest: Duitsland verenigde zich; er was geen muur meer nodig. In de strijd tegen cybercriminaliteit wil de DSM-functionaris voorkomen dat we blijven steken in het muurscenario. Hij pleit voor minder angst en meer samenwerken.

Krikke ontvouwde zijn visie in een boek, getiteld ’Een Duurzame Digitale Economie’. In voor iedereen herkenbare voorbeelden schrijft hij hoe we de angst achter ons kunnen laten; we innoveren en daarmee pakken we de echte problemen aan. Het resultaat: we hoeven minder te beveiligen. We bouwen bruggen in plaats van muren. Getuigt dat niet van wensdenken zonder realiteitszin? Krikke: ”Natuurlijk moeten we op korte termijn ons volop inspannen in het beveiligen van onze OT- en IT-voorzieningen. Maar daar kunnen we niet mee blijven doorgaan wanneer de uitgavetrend zich voortzet. Vijf jaar geleden sprak ik met collega’s van andere ondernemingen en schatten wij de kosten voor informatiebeveiliging op 3% van het totale IT-budget. Enkele jaren later bleken deze te zijn gestegen naar 5 tot 7% en nu hoor ik percentages van 15 en 16%.”

Analogie met autogordel

Vanuit een positieve instelling zoekt de DSM CISO de oplossing in de publiek private samenwerking. Wat een bedrijf individueel niet voor elkaar krijgt, lukt wel wanneer overheid en bedrijfsleven een gezamenlijk belang nastreven. Voor een beveiligde IT-infrastructuur laten zich minimale eisen formuleren waaraan hardware, software en diensten moeten voldoen alvorens ze op de markt worden gebracht. Hij maakt een analogie met de veiligheidsgordel in auto’s.

”Die gordel is ooit bedacht door de autofabrikanten, maar verplicht gesteld door de overheid mede op basis van rapporten van verzekeraars. Alle belanghebbenden zagen het aantal auto-ongelukken toenemen en dat de schade vaak veel hoger uitviel door het lichamelijk letsel bij de inzittenden. Ze sloegen de handen ineen en stelden met elkaar een norm. Zou je toen als individuele automobilist apart gordels bij je garage hebben besteld, dan was je duur uit geweest. Tegenwoordig is het een standaardvoorziening voor alle auto’s. Niemand vraagt hoeveel ze kosten en wie ervoor betaalt. Als nu de IT-securityman binnen een bedrijf maatregelen voorstelt, volgt direct de vraag wie voor de kosten opdraait. Mijn reactie luidt dan: jij vraagt toch ook niet wie jouw autogordels betaalt”, aldus Krikke.

Gelijk speelveld zonder weerstand

Met die eis van autogordels ontstond volgens hem een gelijk speelveld voor de autofabrikanten. ”Niemand kon ze weglaten en daaruit kostenvoordelen halen. Je haalt dus met die gemeenschappelijke normstelling voor cybersecurity ook de weerstand en belangenverstrengeling weg.” Cybercriminaliteit is grensoverschrijdend. De regelgeving kan zich dus niet beperken tot Nederland. ”Klopt, ik ben dus ook blij met de berichten dat we op Europees niveau willen komen tot beveiligingsstandaarden voor bijvoorbeeld IoT-apparaten.”

Is de kans niet groot dat deze initiatieven gaan ontaarden in jarenlang oeverloos overleg? ”Het hoeft niet heel veel tijd te kosten om een redelijke set van beveiligingseisen samen te stellen. We hebben met Notpetya al een securityramp gehad met een wereldwijde schadepost van 10 miljard euro. Daarna zijn toch veel bedrijven in beweging gekomen. Echter, we moeten waken voor kortetermijnmaatregelen en toenemende regeldruk. Zonder echt effectief te zijn, maken we de zaken alleen maar complexer en duurder. Gerichte wetgeving, tot stand gebracht via publiek private samenwerking, draagt pas echt bij aan een verduurzaming van de digitale economie.”

’Just’ cultuur zonder claims

We moeten volgens Krikke beseffen dat de relatief jonge IT-sector een nog onvolwassen deel van onze economie vormt. Hij verwijst in dat verband naar de zogeheten ’just’ cultuur zoals die inmiddels is geïmplementeerd in de luchtvaart en de medische wereld. Het was lange tijd in die sectoren gebruikelijk om calamiteiten onder het tapijt te vegen uit angst voor claims. De ’just’ cultuur bood de mogelijkheid voor het geven van openheid van zaken zonder dat daar direct enorme financiële consequenties aan vast zaten. Iedereen wordt geïnformeerd over hetgeen er fout is gegaan en is daardoor in de gelegenheid passende maatregelen te treffen. Pas nadat een soortgelijk incident zich weer voordoet, kan een organisatie aansprakelijk worden gesteld als ze niets met die informatie hebben gedaan. Zo’n aanpak, gebaseerd op publiek-private samenwerking, getuigt van volwassenheid en is bovendien stimulerend voor de sector. ”Als we ook in de IT dit soort stappen maken, dan kunnen we het aantal en de impact van cyberincidenten verlagen”, verwacht Ad Krikke.

Auteur: Fred Franssen