Cybercrime en digitale spionage zijn fenomenen die de komende jaren met de steeds grotere nadruk op technologie alleen maar zullen toenemen. In de Cyber Security Raad (CSR), een strategisch adviesorgaan van het Kabinet, trekken vertegenwoordigers vanuit overheid, bedrijfsleven en wetenschap samen op om de risico’s van nieuwe technologische ontwikkelingen het hoofd te bieden en kansen te benutten. Wat zijn de strategieën tegen en de kosten van cybersecurity? Half oktober bracht het Nationaal Cyber Security Centrum (NCSC) het Cybersecuritybeeld Nederland (CSBN) uit.
De toename van cybercrime
Weinig verrassend blijkt dat cybersecurity een steeds dominantere rol krijgt in de maatschappij. Bedreigingen komen uit alle hoeken en gaten. CSR-lid en procureur-generaal van het Openbaar Ministerie (OM) Gerrit van der Burg verklaart de toename van cybercrime uit een combinatie van gemakkelijke toegankelijkheid van gegevens en het gebruik van steeds ingewikkeldere versleuteling door criminelen (encryptie). Dit laatste belemmert de opsporing.
Iedereen kan tegenwoordig op het ‘darkweb’ (verborgen internet) gemakkelijk en goedkoop een pakket ransomware kopen dat gegarandeerd netwerken verstoort. Met malware blokkeren criminelen bestanden en vragen vervolgens losgeld om het ongedaan te maken. Die technieken worden ingewikkelder en moeilijker te bestrijden en de omvang van criminele gebruikers groeit.
Cybercrime weren van bestaansrecht
Hoe kunnen bedrijven zich nu het beste wapenen tegen cybercrime? Een paar factoren zijn van belang. Allereerst moeten bedrijven en vooral bestuurders van bedrijven zich realiseren dat cybersecurity meer is dan een ICT-vraagstuk. “Het gaat om de bescherming van jouw kroonjuwelen: het bestaansrecht van jouw bedrijf”, vertelt Van der Burg.
De stand van zaken in cybersecurity zou daarom elke week op bestuursniveau moeten worden besproken. Belangrijk is wat het bedrijf aan preventie doet om een cyberaanval tijdig te kunnen doorgronden en bestrijden, hoe het staat met de continuïteit van het bedrijf als zich een aanval voordoet en hoe snel het herstelmaatregelen kan treffen na een incident.
Niet alleen intellectueel eigendom bij bedrijven is kostbaar, maar het gaat ook om persoonsgegevens en verlies van productiviteit. Het is geen ICT-zaak alleen; het raakt het hart van het bedrijf. Daarover moeten compliance-afspraken worden maken met medewerkers én met leveranciers in de keten, aldus Van der Burg.
Bewustwording impact cybersecurity noodzakelijk
Hier valt nog een wereld te winnen. Van der Burg bespeurt geen onwil bij bedrijven, maar de bewustwording over de impact van het fenomeen cybersecurity moet groter worden. Hij maakt een vergelijking met de ontwikkeling van de auto-industrie. In het begin was er geen aandacht voor veiligheid, maar na een aantal incidenten hielden ze er steeds meer rekening mee. “Ik zeg altijd: koester die incidenten.”
Daarna wordt men namelijk kritischer. Dat geldt ook voor softwareleveranciers. Zij redeneren bij het bouwen van software vanuit de driehoek: economische vooruitgang, gebruikersvrijheid en cybersecurity. Bij het laatste aspect kunnen zij nog stappen zetten. Printers hebben bijvoorbeeld vaak een simpel standaard wachtwoord die gebruikers zelf moeten wijzigen. Je kunt ook een applicatie inbouwen waarbij je als consument de printer pas in gebruik kan nemen nadat je die standaardcode hebt aangepast.
Barrièremodel inzetten tegen cybercrime
Politie en het OM werken samen in het internationaal bekende Team High Tech Crime. Dit team onderzoekt ingewikkelde zaken als grote hacks in computernetwerken en -infrastructuur. Dat vraagt om meer capaciteit voor de opsporing, maar strafrecht is maar een van de drukmiddelen. Van der Burg: “Met gezamenlijke maatregelen moeten we cybercrime proberen te voorkomen en de impact van eventuele incidenten zien te verkleinen.”
Het OM werkt vanuit de gedachte van het ‘barrièremodel’, een strategie om met verschillende partijen zoveel mogelijk barrières op te werpen en het verdienmodel van criminelen te doorbreken. Dat gebeurt op verschillende manieren, zoals door het goed in de gaten houden van het ‘darkweb’, het waarschuwen van mensen voor phisingmails en het aangaan van een dialoog met producenten van hardware en software om applicaties veiliger te krijgen.
Totale schade cybercrime onvoorspelbaar
Hoogleraar internetveiligheid aan de TU Delft en CSR-lid Michel Van Eeten onderzoekt economische mechanismen rond cybersecurity. Wat de totale schade van cybercrime in euro’s is, valt volgens hem onmogelijk te zeggen. Soms komen rapporten naar buiten van beveiligingsbedrijven die ‘krankzinnige bedragen’ noemen. “Daar erger ik mij aan. Het totale bedrag kun je niet weten.”
Ook het recente onderzoek van Deloitte die de totale kosten van cybercrime op 10 miljard euro schat, is volgens Van Eeten puur op theorie gebaseerd. De meeste data die je nodig hebt zijn onbekend. Hoe weet je immers wat verlies aan intellectueel eigendom kost? Als de hack van een Chinees bedrijf komt, kan die dat product alleen maar in Azië kwijt. Maar dat was sowieso al mogelijk, want die bedrijven maken producten na. Een cyberaanval verandert daar niets aan.
Cybercrime veroorzaakt arbeidsproductieverlies
Van Eeten neemt sinds twee jaar deel aan een Europees onderzoeksproject dat kijkt naar de kosten van cybersecurity voor bedrijven en organisaties. Volgens hem zitten de grootste maatschappelijke kosten niet in beveiligingsmaatregelen, omdat die naar de verkopers van producten en diensten gaan en dus in de economie blijven. Zelfs cyberdiefstal levert niet direct een verlies voor de maatschappij op, want ook dat geld blijft in de economie.
De kosten zitten vooral in de productiviteitsverliezen in een organisatie en in een langzamere of stagnerende welvaartsgroei in het algemeen. Organisaties maken zich druk over kosten van datalekken en reputatieschade, maar preventieve maatregelen zoals vaker in- en uitloggen kosten ook veel geld vanwege het arbeidsproductiviteitsverlies. Die kosten zijn vaak vele malen groter. “We moeten ons dus niet op de verkeerde dingen oriënteren. Het gaat niet alleen om de kosten van een incident, maar vooral ook om de preventiekosten”, benadrukt Van Eeten.
Kentering
Bij ziekenhuizen kan het productiviteitsverlies om honderden miljoenen per jaar gaan. Dat is veel meer dan de tienduizenden euro’s die ziekenhuizen soms in wanhoop betalen aan hackers die met ransomware delen van hun netwerk hebben versleuteld. “Dokters kunnen niet meer bij gegevens en dan is de logische keuze helaas om de criminelen maar te bevoordelen.” Van Eeten onderzoekt ook de transport- en energiesector.
Die laatste sector lijdt productiviteitsverliezen door beveiligingsinvesteringen in de infrastructuur. Die wordt vanwege het efficiënte beheer steeds meer online bediend. Toch bespeurt Van Eeten een kentering. Bedrijven zijn bang voor hacks, want systemen zijn kwetsbaar. ‘Better safe than sorry’ lijkt het adagium te worden. Innovaties en de ontwikkeling van onderscheidende diensten perk je daarmee in. Volgens van Eeten is het nog maar de vraag of we daar als samenleving beter mee af zijn.