Terwijl Trump als een olifant door de diplomatieke porseleinkast banjert en vriend en vijand uitdaagt voor een robbertje armworstelen is stiekem de derde wereldoorlog al begonnen. Trump wees de Europese bondgenoten fijntjes deze week op het feit dat ze de bijdragen aan de Navo maar eens flink op moesten schroeven. Het is toch te gek dat de VS veruit het grootste deel van de troepen en materieel levert en betaalt. De tijden van de Marshall-hulp liggen ver achter ons. Op zich heeft hij een punt. En in een wereld waar oorlogsdreiging gevoed door totalitaire dictaturen in wording om de hoek ligt, kunnen de Europese Navo bondgenoten inderdaad niet meer wegkijken. Hij vergeet erbij te zeggen dat hij zelf vaak de reden is dat er oorlogsdreiging is ontstaan. Maar die afhankelijkheid van de Verenigde Staten voelt toch niet goed. Zeker niet voor ons.
Door de overmacht van de Amerikanen hebben we feitelijk niet veel in te brengen in de Navo, al zal men anders doen geloven. Als de inbreng beter is verdeeld, heb je ook meer te vertellen. Maar waar Trump nog denkt dat een leger bestaat uit marcherende soldaten, muren en obstakels, is er al een oorlog aan de gang op een heel ander vlak: in cyberspace. En daar hebben we geen kanonnenvoer voor nodig. Als we ergens een leger voor nodig hebben, dan is het om onze informatie-architectuur te beschermen. We worden aan alle kanten door duistere regimes en bendes aangevallen en de verantwoordelijkheid voor de veiligheid ligt niet in handen van de overheden, maar bij een aantal CIO’s van bedrijven. En het is niet de vraag of we worden aangevallen, maar wanneer. De CIO’s die voor de veiligheid van hun informatiearchitectuur vaak onvoldoende budget krijgen, doen hun best, maar komen vaak niet verder dan hun mensen laten beseffen dat ze gevaar lopen en ze leren om cybercrimialiteit te herkennen. Cybersecurity wordt nog vaak gezien als een kostenpost zonder waarde toevoeging door de business. Werkt het perfect dan merkt er niemand iets van en zijn de businessdirecteuren alweer geneigd aan de dure poten van de security aan het zagen. Er gebeurt niets, dus die dure maatregelen kunnen wel een tandje minder. Het voorkomen van schade is super ondankbaar. Je hebt van alles gedaan en er gebeurt niets. Wat wel goed werkt is als er iets ernstigs gebeurt en er heel snel een adequate oplossing wordt geboden. Dan is de urgentie weer duidelijk geworden.
Ook onze overheid vindt eigenlijk wel dat we meer aandacht aan internetbeveiliging moeten doen. Zeker nu er een tijd komt waarbij alles en iedereen connected is en met elkaar gegevens deelt. In Europa heeft men zich met de GDPR al wel wat druk gemaakt over de veiligheid van persoonsgegevens en daar regelgeving voor gemaakt, maar als het gemak van de burger door deze maatregelen in de weg wordt gestaan, zal de burger al gauw zwichten en zijn privacy -wellicht ongewild- te grabbel gooien. En daarmee is de burger, maar ook het bedrijf een makkelijk slachtoffer voor criminelen.
De overheid wil ons een digitale kluis gaan aanbieden. We hebben al DigID. Maar de beveiliging hiervan is eigenlijk alweer achterhaald. Veel burgers kunnen nog enkel met een gebruikersnaam en een nooit gewijzigd wachtwoord bij de gegevens van ‘Mijn Overheid’. Het gebruik van SMS om een extra wachtwoord te genereren via de smartphone van de burger is nog niet verplicht. Dat stuit ook op grote weerstand van de burger, omdat nog een deel van het volk volslagen digibeet is en het liefst afgekoppeld zou worden en niets van een smartphone moet hebben. En dat terwijl alle bedrijven en overheden hoe langer hoe meer inzetten op digitale dienstverlening. Allerlei logistieke kosten kunnen worden teruggebracht; systemen kunnen met robottechnologie menseninzet -en daarmee kosten- verlagen en het gaat allemaal een stuk sneller. Win-win-win lijkt het. Maar met de toename van alle digitale koppelingen wordt de dreiging van lekken van data en cybercriminaliteit steeds groter.
De aan te bieden digitale kluis moet meer te vergelijken zijn met de oude bankkluis: in principe alleen toegankelijk voor de eigenaar of diens gemachtigde. En wat er in ligt, dat bepaalt niet de overheid maar de persoon zelf. Met dit idee beginnen de sceptici onder ons al direct te mekkeren. “Oh nee toch, alweer een megalomaan IT project van de overheid; dat gaat miljoenen kosten en komt nooit af, zoals alle grote IT-projecten van de overheid”. De kans op succes lijkt me, met alleen een stap door de overheid, niet erg groot.
Inmiddels is er op beleidsterrein een instantie actief: Het Nationaal Cyber Security Centrum (NCSC). Dit is het centrale informatieknooppunt en expertisecentrum voor cybersecurity in Nederland. De missie van het NCSC is het bijdragen aan het vergroten van de weerbaarheid van de Nederlandse samenleving in het digitale domein, en daarmee aan een veilige, open en stabiele informatiesamenleving. De kerntaken van het NCSC zijn: antwoord op dreigingen en incidenten; Inzicht en handelingsperspectief; Versterken van de crisisbeheersing en het bieden van ee samenwerkingsplatform cybersecurity.
Helaas is de organisatie ambtelijk ingestoken. In juni van dit jaar heeft de nationaal coördinator terrorismebestrijding en veiligheid het Cybersecuritybeeld Nederland 2018 gepresenteerd; een jaarlijks rapport. Hierin staat dat het aantal cyber-criminele incidenten cumulatief toeneemt en vaak blijkt bij veel organisaties de basis beveiligingsmaatregelen niet in orde te zijn. Conclusie is dat bij een complexer wordend IT-landschap de digitale weerbaarheid onder druk staat. De overheid weet echt wel dat het allemaal niet goed geregeld is. Dit rapport toont dit aan. Onze nationale veiligheid wankelt en is niet op te krikken met tanks en vliegtuigen. Maar ligt er iemand wakker van in Den Haag? Ik heb nog weinig politiek gekletter gehoord.
(Lees ook eens deze column terug: klik hier)