“Niemand heeft een beeld van het totale internetgebruik en de daaraan gekoppelde risico’s. De gebruikers niet, maar ook de hoogste autoriteiten en slimste denktanks niet. Het wordt daarom tijd dat we de risico’s van cyberspace serieus gaan nemen en structureel aanpakken”, zegt Jan van den Berg over cybersecurity.

De opkomst van cybersecurity

Van den Berg is hoogleraar Cyber Security aan de TU Delft. “Vrijwel alles wat we vandaag de dag doen is afhankelijk van IT. Cybersecurity-incidenten zijn aan de orde van de dag. Eyeopener was de bedreiging van de privacy van burgers, zoals Edward Snowden onthulde. Maar ook creditcardfraude, aanvallen van staten op industriële processen (Stuxnet), DDoS-aanvallen op banken en overheidsinstellingen, cyberpesten en kinderporn

De uitdagingen van ‘Bring Your Own Device’

In hoeverre is je business afhankelijk van hoe je IT gebruikt? Het is belangrijk een analyse van de risico’s te maken. Wat is bijvoorbeeld de bedoeling van ‘Bring Your Own Device’? BYOD wil zeggen dat werknemers gebruikmaken van hun eigen apparatuur.

Draait het alleen om bellen, data uitwisselen, data opslaan, betreft het gevoelige of publieke data, moeten er transacties plaatsvinden, enzovoort? En hoe bescherm je dat allemaal? Van den Berg: “Hang je je kritische processen in een publieke, private of hybride cloud? En ga je je data encrypten of niet? Maak een goede kostenbatenanalyse en stel strikte eisen in een SLA. Het is noodzakelijk per domein kennis op gaan te stellen, want bijvoorbeeld de zorgsector is totaal anders dan de industrie, overheid of een energieleverancier.”

Verschillende risicoprofielen per branche

Pieter Hartel, hoogleraar Informatica aan de Universiteit Twente, vult aan: “En niet alle organisaties zijn hetzelfde. Grote bedrijven als Shell, Unilever of Philips hebben vaak IT-specialisten in huis en daar is het wel goed geregeld. Maar de Europese economie bestaat voor 98 procent uit midden- en kleinbedrijf zonder deskundigen in huis. Hier ligt een serieuze opgave.”

Vaak is kostenbesparing een drijfveer om bijvoorbeeld dataopslag in eigen huis te houden in plaats van uit te besteden. Of medewerkers zelf hun apparatuur te laten kopen. Van den Berg: “Elke branche heeft eigen risicoprofielen, breng dus je afhankelijkheden goed in kaart. Dat is de afgelopen vijftien jaar niet gedaan, het is allemaal te snel gegaan. De financiële sector is zich wel bewust, andere sectoren ontwaken nu pas.”

De aanpak van cybercrime

Je moet er inderdaad niet aan denken dat bijvoorbeeld robots in de zorg gehackt worden, zodat een lichaamsscanner op afstand bestuurd kan worden. Of dat een hacker toegang krijgt tot onze waterwegen en dijken. Van den Berg: “De overheid doet veel te weinig aan de aanpak van cybercrime, terwijl het niet alleen een technologisch maar ook een maatschappelijk probleem is.” Zoals een autogordel, rijbewijs en APK bij een auto horen, hoort veiligheidssoftware op een laptop. Voor veilig internetten heeft de overheid geen regels. Van den Berg vindt dat er nog een naïeve houding is ten opzichte van de cybermaffia. “IT is ingewikkeld, maar we ontkomen er niet aan. Het is onderdeel van het bedrijfsleven, je eigen leven en dat van je kinderen.”

Het probleem van controle

Hartel: “Bedrijven moeten zich aan wet- en regelgeving houden, maar hoe kun je dat controleren als je alles uitbesteedt? Dat is het probleem. Een bedreiging van ‘Bring Your Own Device’ kan slecht beheer zijn. Als je deskundigen in huis hebt, kunnen zij de tablets en smartphones in de gaten houden. Maar anders gebeurt dat dus niet. Sommige bedrijven doen er niet aan mee, daar krijgen werknemers een telefoon van de zaak voor business.

Eigen apparatuur lijkt voordelig, maar het kan wel schade berokkenen. Wat denk je van de gratis apps, daar moet wel aan verdiend worden. Met reclame. Zo wordt je toestemming gevraagd om internet op te gaan. Maar waarom moet dat als je alleen maar een zaklamp wilt downloaden? Dat is natuurlijk om je reclame te sturen. Het is als werkgever lastig om te verbieden apps te installeren. Nog erger zijn apps met schadelijke software, de zogenoemde malware.”

Bewustwording over veiligheid

Cybersecurity heeft natuurlijk met veel meer aspecten te maken. Zoals een beleid voor wachtwoorden, de opslag van spullen, Dropbox encrypten, niet je telefoon in de trein laten liggen, enzovoort. Op de universiteit van Hartel hebben studenten een experimentje met medewerkers gedaan. “Ziekenhuizen en universiteiten zijn open organisaties en de medewerkers zijn vaak goed van vertrouwen. Dat is goed voor de samenwerking, maar niet voor de veiligheid. Met smoesjes probeerden de studenten sleutels van medewerkers te ontfutselen en dat lukte in vijftig procent van de gevallen! De studenten hoefden zich niet eens te legitimeren. Besef dat bijvoorbeeld phishing ook zo werkt. Het is belangrijk je medewerkers te bewapenen en te waarschuwen. Met simpele bewustwordingscampagnes om het zo makkelijk mogelijk te maken. We leven tenslotte in het internettijdperk.”

Integraal risk management

Van den Berg ziet het als zijn missie om de veiligheidsrisico’s van cyberspace volledig in kaart te brengen. Dit wil hij doen samen met wetenschappers uit uiteenlopende vakgebieden en universiteiten, de onderwijswereld, overheden, bedrijven en NGO’s. Het doel is om zo cyberspace tot een veilig leef- en werkdomein te maken. “Het wordt tijd dat alle betrokkenen cybersecurity serieus gaan nemen en dat er een gestructureerde aanpak komt. Het probleem van cybersecurity moeten we zien als een probleem van integraal risk management. Er is kennis en bewustwording voor nodig op alle niveaus en er moeten politieke afspraken worden gemaakt over wat we acceptabele risico’s vinden. Experts weten wel hoe internet werkt, maar weten nog weinig van de risico’s.”