‘Ik hoop dat het nieuwe kabinet flink investeert in cybersecurity’
Van beveiligingsadviezen, 24 uurs monitoring van incidenten en kwetsbaarheden en dreigingen in kaart brengen. Het Nationaal Cyber Security Centrum (NCSC-NL) waakt over onze #cyberveiligheid. Dat moet ze binnenkort doen zonder Hans de Vries, die na 9 jaar stopt als directeur. Hij heeft de cyberdreigingen in die tijd een vlucht zien nemen. Toch mist hij nog de urgentie en eigenaarschap bij veel bestuurders hierover. ‘Je moet dagelijks bezig zijn met wat er allemaal op ons afkomt.’
“Toen ik negen jaar geleden startte in deze rol had digitalisering vooral te maken met een applicatie waar een probleem in zat”, kijkt De Vries terug. Inmiddels praten we over de impact van digitalisering op verkiezingen, of over desinformatie, grote gelddiefstallen of zelfs het platleggen van een land en infrastructuur. Het gaat over landsgrenzen heen. Het is van iets technisch tot ook iets geopolitieks geworden.”
Eigenaarschap
Natuurlijk brengt digitalisering vooral ook veel kansen met zich mee, benadrukt De Vries. De wereld is echter in zo’n rap tempo gedigitaliseerd, dat onze afhankelijkheid ervan enorm is geworden, waarschuwt hij tegelijkertijd. “Daardoor nemen ook de digitale dreigingen toe. Boeven realiseren hoeveel geld ze hiermee kunnen verdienen, maar ook statelijke actoren realiseren zich hoe makkelijk ze desinformatie kunnen verspreiden of kunnen interrumperen. Was het ooit nog een noviteit hoe beroepshacker Kevin Mitnick liet zien hoe je in een systeem inbreekt, nu kan de gemiddelde script kiddie online makkelijk de tools vinden voor een DDoS aanval. Die kun je gewoon per creditcard bestellen. Je hebt er niet eens veel kennis voor nodig.”
Daarom moeten we ons nog meer realiseren hoe groot onze afhankelijkheid van digitalisering is, adviseert De Vries. “Daar moet je als bestuurder bijna dagelijks mee bezig zijn, en risicomanagement toepassen. Dat is mijn boodschap. De bewustwording in de hoofden van vele bestuurders is nog te klein. Terwijl juist eigenaarschap bij bestuurders onmisbaar is. Digitale veiligheid moet chefsache worden, je moet het bij elk besluit wat je neemt laten meewegen. Cyberdreigingen zijn geen IT-dingetje dat je bij je CIO wegstopt. Ze hebben vergaande consequenties voor je organisatie als je er de verkeerde keuzes voor maakt.”
Dat komt dus straks ook terug in de NIS2, de Network and Information Security directive, die eind 2024 ingaat. Door deze nieuwe wet moeten overheden en andere organisaties aan veel meer eisen voldoen op securitygebied en worden overheden een ‘regieorganisatie’ die input moet leveren aan hun leveranciers. Daarin is ook gewoon persoonlijke aansprakelijkheid opgenomen. “Als je als bestuurder de nodige maatregelen niet hebt genomen, zoals risicomanagement, updaten van contracten of cyberoefeningen, ben je aansprakelijk bij een cybercrisis.”