Frans van der Reep
Frans van der Reep is een visionary practitioner, inspirational counceler, media futurist en "triple thinker". Hij is verbonden aan Hogeschool Inholland (lector) & KPN (senior strategist).
Op 3 december j.l. berichtte Nu.nl naar aanleiding van een gehouden onderzoek dat cyberaanvallen binnen twee jaar van nu als het grootste bedrijfsrisico in Nederland gezien moeten worden en als een groter risico dan economische onzekerheid.
Bijna de helft van de bedrijven (48%) geeft aan dat de beveiliging tegen online diefstal van intellectueel eigendom in hun bedrijf te wensen over laat. Bovendien geeft 51% toe machteloos te zijn tegen serieuze pogingen van cyberspionage. Wat kunnen Nederlandse IT infrastructuur spelers hier tegenover stellen? Aan welke beleidsrichting moeten we denken om cybercrime te stoppen en dit niet te laten gebeuren?
De analyse
Het bestuurlijk en wettelijk kader, maar ook het besef van de omvang van cybercrime, passen zich onvoldoende snel aan. Maatschappelijk gezien beseffen we nog niet echt wat cybercrime kan aanrichten in een mensenleven en hoe afhankelijk we van internet we zijn. Cybercrime komt zo snel op dat de oplossing er nog niet is. Dit resulteert op dit moment in incident gedreven probleemoplossingen die je nu bijvoorbeeld bij de overheid en volgens het door Nu.nl gerapporteerde onderzoek bij het merendeel van het bedrijfsleven waarneemt.
Het toekomstperspectief
Wat gaat er gebeuren als we via internet fysieke dingen, M2M, gaan besturen. Wat kan er met auto’s met een IP-adres? Dan kan een hacker het verkeer stilzetten. Dat gebeurt sneller dan wij denken. De eerste atoomcentrales zijn gehackt en bruggen zo maar opengezet.
Kan e-beveiliging beter? In ieder geval moet je op vitale plekken continu en ‘live’ meekijken via een security operating center (SOC). Twee keer per jaar een papieren controle over een periode die voorbij is heeft geen zin. Een voorbeeld waar het toezicht wel goed werkt en georganiseerd is, is de luchtvaart. Als de FAA-controleur op bezoek komt, gaat echt wel dat vliegtuig open. Kijk eens wat Boeing nu overkomt met zijn dreamliner. Als hij iets vindt wat niet in de haak is, blijft een hele vloot aan de grond. Dat is een goede economische prikkel voor de luchtvaart om zijn zaken permanent op orde te hebben.
Waar ligt de oplossing: Bouw e-Security en ICT op als maatschappelijke basisbehoefte
Waar ligt de oplossing tegen cybercrime? We moeten de basis ICT-infrastructuur leren zien als een maatschappelijke basisinfrastructuur. Het hoort thuis in het rijtje waterhuishouding, dijken, energievoorziening, riool. In de informatiemaatschappij dient informatie vrijelijk te kunnen stromen. In zo’n maatschappij is dat een basisbehoefte. Net als wegen, dijken en het riool basisbehoeften zijn. En dan gaat het niet alleen over veilige access maar over alle basis elementen die je voor digitaal zakendoen en digitaal communiceren nodig hebt. E-Herkenning, de digitale handtekening, aangetekend mailen, misschien wel de digitale notaris en zeker de ‘digitale postzegel’ horen hier bij.
De regelgeving rond de veilige digitale infrastructuur hoort in mijn visie thuis bij het Ministerie van Infrastructuur en Milieu, eventueel in combinatie met Veiligheid en Justitie. Volledig analoog aan andere maatschappelijke infrastructuren. Wellicht kan in de startfase het recent opgerichte European Network for Cyber Security (ENCS) deze rol als regelgever bestuurlijk vervullen en als zodanig gepositioneerd worden? Het Nationaal Cyber Security Centrum (NCSC) of misschien wel TNO’s cyberlab, mits TNO als leidinggevende innovatie-organisatie zich hierin naar het publiek belang zou voegen, zou in die visie uitgebouwd kunnen worden tot toezichthouder.
Zoals Rijkswaterstaat de regie voert over wegen en dijken zal er dus een regie en een toezichtsorgaan voor de basis ICT moeten komen. En zoals bijvoorbeeld Van Hattum&Blankevoort wegen aanlegt zo zal straks bijvoorbeeld KPN een van de partijen zijn die dit voor de digitale infrastructuur zal doen in opdracht van het Rijk.
Ik als burger ga ervan uit dat ik veilig over een brug kan rijden. Bruggen hebben geen veiligheidscertificaat. Evengoed moet ik ervan uit kunnen gaan dat veilig internet goed geregeld is. En dat ik mijn belastingpapieren veilig naar Apeldoorn kan sturen over het internet.
In lijn met de redenering dat e-security en ICT een maatschappelijke basisvoorziening is zou bijvoorbeeld met monitoren van het internetverkeer niet als commerciële propositie in de markt gezet moeten worden maar als publieke bewaker van de digitale ruimte. Net zoals de camera’s in het winkelcentrum waar u ook geen rekening voor krijgt en die ook via publieke middelen worden gefinancierd. Wellicht moeten we toe naar een ICT-belasting naar analogie van de wegenbelasting.
Anti-Ddos zouden we niet per bedrijf moeten regelen, maar op de twee internationale Nederlandse Internet Exchanges. 90% van de Ddos attacks komt toch uit het buitenland. Aan de landgrenzen tegenhouden via twee grote ‘Anti-Ddos wasstraten’ lijkt een efficiëntere oplossing. Ik denk zomaar dat “Brussel” erg blij zou zijn met dit beleid. Het zou Nederland verduurzamen en een plaats geven in dit debat.
Het positioneren van ICT als maatschappelijke basisinfrastructuur laat overigens onverlet dat de overheid geen sturing moet hebben op de informatie die over die infrastructuur wordt vervoerd. Dat is een andere discussie maar ligt natuurlijk wel op de loer. Ik denk dat we ons met kracht moeten verzetten tegen bewegingen in die richting.
ICT bedrijven zouden zich moeten verbinden om in principe alleen secure ICT-aanbiedingen aan klanten te doen. Dat is een kwestie van maatschappelijk verantwoordelijk gedrag en dat past Nederland.
Daarnaast zullen internet bedrijven ook gaan bijdragen aan de bewustwording van de risico’s voor cybersecurity door bijvoorbeeld klanten bij aankoop van een smartphone te attenderen op het feit dat een smartphone een computer is die e-security maatregelen nodig heeft. Op dit moment is het merendeel van de smartphones onbeveiligd, niet echt handig als je via je smartphone wilt gaan internetbankieren..
Het goede nieuws voor bedrijven in deze hoek is dat ze zich op het standpunt kunnen stellen dat leveringen in het kader van ICT basisinfra en secure access onder het lage btw-tarief vallen. Dat is de consequentie van deze redenering, scheelt de klant geld en compenseert in het concurrentievermogen waar het gaat om het default meeleveren van een security package.
Onderzocht zal moeten worden hoe dit beleid zich verhoudt tot de Europese Mededingingswet. Ik verwacht op dit punt overigens geen moeilijkheden. Ook hier een analogie met de situatie bij fysieke wegenaanleg.
Het is zaak dat ICT spelers in dit vlak samenwerken. Geen enkele partij kan dit alleen. Gestart zou kunnen worden met samenwerking in het kader van het ENCS of onder regie van TNO, met andere partijen en met de politiek verantwoordelijken engaged om deze visie uit te dragen en in concrete actie om te zetten.
De maatschappelijke basisinfrastructuur is te belangrijk om alleen aan de markt over te laten KPN zou hiertoe eigenlijk niet het initiatief moeten nemen, maar in lijn met de voorgaande redenering een van de Ministeries.
Aanvullende acties
Productaansprakelijkheid van software is niet geregeld. Ter vergelijking. Auto’s, vliegtuigen en medicijnen mogen pas de markt op als het aan bepaalde eisen voldoet en ‘gelicenseerd’ is. Waarom is dat met software niet zo? De schade van niet deugdelijke software is groot genoeg. Hier ligt wellicht een aanknopingspunt bij de bestrijding van cybercrime.
Wellicht kan e-security meegenomen worden in de accountantscontrole zoals dit inmiddels voor de bancaire sector wel is geregeld. Kernvraag hierbij is of een gehackt bedrijf nog betrouwbare gegevens heeft en dus een goedkeurende verklaring op de jaarrekening kan krijgen. Cybersecurity als onderdeel van de accountantscontrole zou een forse incentive betekenen voor meer bewustwording op dit gebied in het bedrijfsleven.
Tot slot
Wellicht internetten een vak op de basisschool? En de overheid een campagne over cybercrime, net zoals ‘veilig vrijen’, om burgers en bedrijven bewuster maken van cybercrime en wat je er aan kunt doen? Tevens is het noodzaak het onderwerp op Europees niveau agenderen. Misschien kan mw Kroes in Brussel nog enige invloed op de Googles en Microsofts van deze wereld organiseren?
Ik denk dat deze strategie een belangrijke bijdrage aan een secure internet in Nederland zou kunnen opleveren en een gids zou kunnen voor anderen. Er moet echt iets meer gebeuren dan nu ondernomen wordt.
Verder lezen over ICT
Technology15.04.2024
Waarom zou elk modern bedrijf moeten overwegen een Document Management Systeem te implementeren?
DC Business27.09.2023
Denk je aan een carrièreswitch? Overweeg deze 4 banen eens!
Technology13.07.2023
IT-vacaturebank No Fluff Jobs pleit voor salaris-transparantie
Cybercrime07.04.2023
Waarom het voor elke werknemer belangrijk is om iets te weten over cybersecurity
Technology22.02.2023
Aan de slag met Kubernetes: wat je moet weten
Automotive02.02.2023
Audi ziet zichzelf langzaam veranderen in softwarespecialist
Cybercrime02.12.2021
Waarom ethische hackers de Sherlock Holmes’ van cyberbeveiliging zijn
DC Business01.10.2021
Bedrijven kunnen niet groeien door tekort aan ICT-personeel
Verder lezen over Security
Cybercrime15.04.2024
Bescherm jij je online identiteit wel genoeg?
Gaming28.03.2024
Zo omzeil je drukke servers in Call of Duty
Online18.03.2024
Digitaal mijmeren: Zullen AI’s op het internet op enig moment ontwaken?
Mogelijk ontwikkelen AI's een vorm van gedecentraliseerd interactiviteitsbewustzijn
Online15.02.2024
Je AI-geliefde is onbetrouwbaar: onveilig en uit op geld
Doe het veilig
Cybercrime12.02.2024
Nieuwe techniek haalt door muren heen data van je camera’s
Cybercrime06.02.2024
Safer Internet Day: 5 tips om veiliger te internetten
Cybercrime05.02.2024
Consumenten bezuinigen op kosten, maar helaas ook op privacy en security
Online29.01.2024