De kwetsbaarheid van onze IT-infrastructuur en informatiesystemen is de afgelopen jaren uitgegroeid tot een levensgroot issue. Van het Diginotar-debacle tot het lekken van medische gegevens van honderdduizenden Nederlanders, keer op keer wordt duidelijk dat de beveiliging van gevoelige informatiesystemen te wensen overlaat en dat dat leidt tot grote schade. Tegelijkertijd is er maar weinig verbetering in de beveiliging van onze systemen en lijkt het soms alsof we de afgelopen 10 jaar geen meter opgeschoten zijn. We lossen het maar niet op.
Maar het probleem ligt op tafel, en het is groter dan ooit. Een recent onderzoek van TNO geeft aan dat cybercrime de Nederlandse samenleving jaarlijks voor 10 miljard euro schade berokkent. Volgens de onderzoekers kan de werkelijke schade zelfs 20 tot 30 miljard zijn. Nederland is volgens TNO kwetsbaar voor cybercriminaliteit vanwege de hoge dichtheid in bekabeling, de geavanceerde infrastructuur en de grote hoeveelheid dataverkeer. Van de totale schade komt drie kwart voor rekening van het bedrijfsleven, de overheid draait op voor zo’n 15% en de burger voor 10%. Daarbij gaat het om inbreuken op intellectuele eigendom, bedrijfsspionage, belastingfraude, afpersing, phishing en diefstal van persoonsgegevens.
Een ander recent rapport is het Cybersecuritybeeld 2011 van Govcert.nl, onderdeel van het Nationaal Cyber Security Center. Ook dit rapport schetst een grimmig en snel grimmiger wordend beeld. Het maakt onderscheid tussen verschillende categorieën daders: vreemde mogendheden, beroepscriminelen, activisten en baldadige jongelui. Vooral de vreemde mogendheden en beroepscriminelen zijn zeer actief. De mogendheden bij het stelen van gevoelige informatie, de criminelen bij het stelen van identiteiten waarmee fraude kan worden gepleegd. Ze zitten allang niet meer zelf achter de knoppen maar maken gebruik van geavanceerde software die de noodzakelijke voorbereidingen treft, de aanval uitvoert met behulp van miljoenen geïnfecteerde computers, en ook nog de sporen probeert te wissen, dit alles volledig geautomatiseerd.
Cybercrime wordt mogelijk gemaakt doordat informatiesystemen inherent kwetsbaar zijn en beveiligingslekken bevatten. Daar kun je iets aan doen. Wat opvalt is dat de meeste slachtoffers van cybercrime niet eens de moeite hebben genomen om tot een basisniveau van beveiliging te komen.
Cybercrime komt zo snel op dat de oplossing er nog niet is. Het aantal kwetsbaarheden en het legioen potentiële daders zijn immens. Het bestuurlijk en wettelijke, institutionele kader maar ook het besef van de omvang van het probleem past zich onvoldoende snel aan aan de nieuwe situatie. Hierdoor ontstaat een incident gedreven probleemoplossing die je nu bijvoorbeeld bij de overheid waarneemt.
Hoe kan het, dat wij zo’n serieus probleem met zijn allen nog niet serieus nemen?
Dat heeft allereerst te maken met beleving en gewenning. Je moet eerst een situatie erkennen en “beleven”, dat wil zeggen er emotioneel contact mee maken, voordat je hem kan oplossen. De vorige uitvinding die zo massaal is uitgerold als internet is de pil, begin jaren 60. En eigenlijk zijn we daar ook nog niet over uitgepraat. Ook cybercrime heeft zijn tijd nodig om een ‘mentale categorie’ te worden. Dus dat het nu een onderschat probleem is, is ons nog niet aan te rekenen. Het kan echter niet zo blijven. Een andere reden ligt in de psyche van onze bestuurders. Zij die het probleem zouden moeten oplossen, hebben te weinig affiniteit met technologie en richten de aandacht liever op problemen die ze wel herkennen. Bovendien hebben zij een bijzonder vermogen om onheil te negeren of weg te redeneren. Wie het probleem binnen de eigen organisatie aankaart, wordt vaak niet serieus genomen en voelt zich Don Quichotte.
Het is nu tijd om over onze schaduw heen te stappen en cybercrime echt aan te pakken. Wij pleiten voor meer bewustwording, meer wetgeving en meer toezicht.
Bestuurders en commissarissen moeten zich veel meer bewust worden van de aard en omvang van cybercrime. Zij zijn verantwoordelijk voor veiligheid. Zorgen voor een veilige en betrouwbare informatievoorziening moet net zo vanzelfsprekend worden als zorgen voor een deugdelijke financiële administratie of een fabriek waar geen ongelukken gebeuren. Bestuurders en commissarissen hebben hier een zorgplicht. Als het huidige wettelijke kader daarvoor te weinig handvatten biedt, is aanscherping nodig. Tenslotte het toezicht op het toezicht. We pleiten voor een toezichthouder met vergaande bevoegdheden om onderzoeken uit te voeren en aanwijzingen te geven, net als in de luchtvaartindustrie (FAA/EASA) of de geneesmiddelenindustrie (FDA/EMA): toezichthouders die de materie snappen. Alleen op die manier kunnen we de huidige problemen het hoofd bieden en een onbeheersbare situatie voorkomen.
Wat we nu meemaken, is nog maar het begin. De komende decennia zal informatietechnologie nog krachtiger, kleiner en goedkoper worden. De cyberdreiging zal evenredig daarmee exponentieel toenemen. Snelheid en doortastendheid zijn geboden. Iedere burger heeft in de toekomst recht op een veilige digitale omgeving. En dat is toch echt een publieke taak.
Frans van der Reep, lector Digital World Hogeschool INHolland, senior strategist KPN
Ronald Prins, algemeen directeur/oprichter Fox IT
Edo Roos Lindgreen, hoogleraar IT & Auditing, Universiteit van Amsterdam, partner KPMG
Albert Brouwer, Business consultant KPN Trusted Services
Heimen Visser, Directeur KPN Gemnet
Dit artikel is op persoonlijke titel geschreven