Er is iets veranderd in onze wereld. Niet money makes the world go round, maar het internet houdt onze economie draaiend. Na de bankencrisis die het financiële systeem aan het wankelen bracht, wordt nu gevreesd voor een digitale crisis. De Nederlandse overheid slaat (bij monde van de AIVD) zelfs alarm: het verdienmodel van Nederland kan in gevaar komen.
Meestal rukt eerst de technologie op, dan de commercie en daarna volgen passende maatregelen om alles beheersbaar te houden. Regelgeving is vaak het resultaat van eerdere problemen en van toegenomen sense of urgency. Die bewustwordingsfase hebben burgers en bedrijven echter nog niet helemaal bereikt. Beiden zijn nog steeds verbaasd over het gemak waarmee hackers kunnen binnendringen, maar hebben de digitale samenleving al lang als vanzelfsprekendheid geaccepteerd. Bij ernstige IT-problemen van publieke organisaties wordt vooral gewezen naar verouderde systemen of naar slecht projectmanagement. Ontwrichtende problemen zijn tot nu toe uitgebleven, reden waarom de mogelijke impact van een digitale meltdown minder aandacht krijgt dan verdiend.
IT wordt steeds meer het digitaal zenuwstelsel van bedrijven en instellingen. Toch wordt in de boardroom, zo blijkt herhaaldelijk uit onderzoek, IT nog niet voldoende serieus genomen. Directies van grote bedrijven die in opspraak raken door datalekken en cyberaanvallen, maken zich in de eerste plaats druk over mogelijke reputatieschade. Voor de eventuele financiële gevolgen is minder aandacht, zo blijkt uit onderzoek van Clifford Chance. Dat is niet vreemd: slechts 8 procent van de CFO’s vindt dat hun commissarissen een hoog kennisniveau van digitalisering hebben, terwijl 29 procent van de commissarissen zichzelf in hoge mate als sparring partner voor de Raad van Bestuur ziet, aldus onderzoek van Deloitte. Het lijkt er op dat de mindset niet in orde is: het ontbreekt bij bedrijven aan vastberadenheid, die de cybercriminelen wel bezitten.
Brenno de Winter confronteerde eind 2012 een zaal vol CIO’s met een simpele en succesvolle hack. “Ik heb hier een mobiele telefoon. Die heeft bijna een gigabyte aan data met u gedeeld, omdat deze zichtbaar is als ‘KPN’. Uw telefoon denkt: ‘Leuk, een KPN Hotspot’ en meldt zich automatisch bij mijn telefoon aan. Dat is zojuist door veertien toestellen gedaan. U merkt daar niets van. Normaal gesproken moet u iets invullen om toegang te krijgen, denk aan Wi-Fi op Schiphol. Dat zal ik volgend jaar voor u maken, zodat ik dan ook uw username en password heb.”
In 2013 was een gemiddeld datalek goed voor een schadepost van 2,5 miljoen euro, aldus het jaarlijkse Cost of Data Breach-onderzoek van IBM. Dit is een stijging van 15 procent ten opzichte van 2012. En uit een door PwC gepubliceerd rapport blijkt dat bedrijven maar moeilijk mee kunnen komen in de strijd tegen cybercriminaliteit, omdat organisaties te weinig technologische kennis bezitten.
De Nederlandse Cyber Security Raad pleit voor meer aandacht op strategisch niveau: ieder datalek moet in de boardroom bekend zijn. Toch is het onze eigen overheid die met aanpassingen in de wetgeving bijdraagt aan bagatellisering van de risico’s. Zo hoeven in de onlangs afgezwakte wetsvoorstellen rondom de meldingsplicht van datalekken niet alle datalekken gemeld te worden, maar alleen ‘datalekken met ernstige nadelige gevolgen’. Hierdoor ontnemen we onszelf de kans maximale controle te houden en optimaal te leren van kwetsbaarheden. De overheid waarschuwt, maar legt gelijktijdig het digitale verdienmodel van ons land in de waagschaal. Nederlanders zijn niet helemaal blind voor de toekomst – dat blijkt uit de discussie over bijvoorbeeld de verzorgingsstaat en de pensioenvoorziening. Maar als het gaat om digitale duurzaamheid is het te stil. Ondertussen bouwen bedrijven en overheden driftig verder op een wankel IT-fundament; totale vernieuwing zou veel te veel geld kosten. Een korte time to market slaat bovendien veel beter aan in de boardroom.
De BBC zond onlangs een documentaire uit over zogenaamde ‘preppers’: personen die zich voorbereiden op rampen met behulp van vluchtplaatsen, zelfverdedigingstechnieken en noodvoorraden. Een van de preppers gaf aan dat als het internet wereldwijd plat gaat, het een kwestie van enkele dagen is voordat de hel losbarst. Dat klinkt als een goed Hollywood-scenario voor een rampenfilm, maar realistischer is het advies dat Duitse ondernemers krijgen wanneer ze naar China reizen. Hen wordt aangeraden hun laptop of mobiel vooraf schoon te maken; eenmaal in China is het niet toegestaan om in te loggen op het netwerk van het Duitse moederbedrijf aldus het FD.
In ons land is het wellicht wachten tot dat de eerste overheidsdiensten plat gaan (of de eerste CIO’s nat gaan). Want het duurt nog even voordat het Nationaal Cyber Security Centrum (NCSC) op kracht is. Govcert.nl, voormalige cyberwaakhond van de Nederlandse overheid en voorloper het NCSC, moest het in 2011 nog met zeventien (!) werknemers doen, maar er wordt gewerkt aan opschaling richting 70 security specialisten. Ter vergelijking: de Nederlandse defensieorganisatie bestaat uit zo’n 60.000 personen.
Deze post is tot stand gekomen in samenwerking met Cisco.