Aanscherping en uitbreiding van maatregelen noodzakelijk voor een cyberweerbare samenleving
De Cyber Security Raad (hierna de raad) stelt dat aanscherping en uitbreiding van de huidige maatregelen voor cybersecurity noodzakelijk zijn voor een cyberweerbare samenleving. Dat staat in het advies dat de raad vandaag heeft gepubliceerd. Ondanks alle goede stappen die we zetten, is onze cyberweerbaarheid nog niet overal voldoende op orde en dat maakt ons kwetsbaar.
In het advies dringt de raad aan op een versnelde uitrol van het Landelijk Dekkend Stelsel van informatieknooppunten en verbetering van de informatie-uitwisseling tussen slachtoffers, het Nationaal Cyber Security Centrum (NCSC), het Digital Trust Center en de verschillende opsporingsinstanties. We kunnen het ons niet veroorloven dat onze cyberweerbaarheid in het geding komt doordat de informatievoorziening in ons land hapert.
De raad acht het ook noodzakelijk dat regie op samenwerking voortvarend wordt aangepakt en adviseert met klem om de overheidspartijen aan cybersecurity- en opsporingskant te voorzien van het benodigde mandaat en voldoende slagkracht om in samenhang op te treden bij incidenten. Zo moet er stroomlijning van de advisering aan en ondersteuning van getroffen organisaties plaatsvinden, met evenwichtige aandacht voor het opsporingsbelang en beperking van maatschappelijke schade. Eventuele (juridische) obstakels dienen hierbij te worden weggenomen.
Tevens is aan de minister van Justitie en Veiligheid geadviseerd een cyclus van jaarlijkse publiek-private cyberoefeningen in te voeren, inclusief evaluaties. De raad wil tot slot ook dat er standaard evaluaties plaatsvinden bij cyberincidenten met grote impact. Verbeterpunten uit evaluaties en conclusies en aanbevelingen van toonaangevende onderzoeksrapporten van instanties moeten worden doorgevoerd.
Aanleiding advies
Aanleiding voor dit advies is de beleidsreactie van de minister van Justitie en Veiligheid aan de Tweede Kamer over de verschijning van het rapport ‘Voorbereiden op digitale ontwrichting’ van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) en de evaluatie rondom de Citrix-problematiek. Ook het onlangs uitgebrachte Cybersecuritybeeld Nederland 2020 schetst een onverminderd zorgwekkend beeld. De huidige coronacrisis versterkt de urgentie; we zijn versneld in een nieuwe fase van onze digitale samenleving gekomen. De cyberweerbaarheid van onze samenleving is daarmee belangrijker dan ooit. We moeten slagvaardig kunnen blijven reageren op misstanden en/of cyberaanvallen en kunnen vertrouwen op de veiligheid en continuïteit van onze digitale infrastructuur, juist nu en in de toekomst. Technische (basis)maatregelen zijn daarom noodzakelijk. Er moet zo snel mogelijk sprake zijn van een volwassen stelsel van informatie-uitwisseling en er moet een cyclus ontstaan van oefening, evaluatie en implementatie van verbeterpunten. Tevens moet er onverminderd ingezet worden op het opsporings- en vervolgingsbelang. Om dit te bereiken acht de raad het noodzakelijk dat er meer regie komt op samenwerking in combinatie met de invoering van een meerjarenprogrammering en dekkende financiering.
Raadslid Ineke Dezentjé Hamming over het CSR Advies inzake kabinetsreactie WRR-rapport en korte Citrix-evaluatie
Welkom. Kunt u zich kort voorstellen?
Ik ben Ineke Dezentjé Hamming, voorzitter van FME...
dat is de ondernemersorganisatie voor de technologische sector, met 2200 leden.
Namens FME ben ik lid van de Cyber Security Raad.
Vorig jaar heeft de Wetenschappelijke Raad voor het Regeringsbeleid...
het rapport over digitale ontwrichting gepubliceerd.
Hierin stelt de WRR dat Nederland zich beter moet voorbereiden...
op digitale ontwrichting.
De minister van Justitie en Veiligheid heeft maatregelen aangekondigd...
om beter voorbereid te zijn op digitale ontwrichting.
Waarom komt de Raad met een reactie hierop?
Het is ontzettend belangrijk dat we maatregelen treffen...
want we zijn vreselijk kwetsbaar op het gebied van cyber security.
En als de coronacrisis ons één ding heeft geleerd...
is het dat wij de dingen die van ons zijn echt moeten beschermen.
Mensen hebben sociale contacten op afstand, werken en leren op afstand...
en daarmee word je natuurlijk een enorme prooi voor cybercriminelen.
Wat mij betreft gaat dit rapport dus niet ver genoeg.
En daar vraag ik aandacht voor. Het moet sneller en intensiever...
en ook moet bijvoorbeeld het MKB erbij worden betrokken.
Wat vind de Raad dat er moet gebeuren als aanvulling op de maatregelen?
Wat mij betreft is hier het credo:'Delen is het nieuwe hebben.'
Er moet zo snel mogelijk...
een landelijk dekkend stelsel van informatieknooppunten komen...
dat niet alleen voor de vitale sector bereikbaar is...
maar juist ook voor de niet-vitale sectoren en het MKB.
Dat is ontzettend belangrijk.
Het tweede is dat er veel meer geoefend moet worden, publiek-privaat.
Het is ontzettend belangrijk om elkaar te leren kennen...
dus niet alleen departementen onderling, maar zeker ook het bedrijfsleven.
Dat is cruciaal.
Je moet vertrouwen in elkaar krijgen, maar je moet ook met elkaar oefenen.
Dat is heel belangrijk.
Tot slot denk ik dat er standaardevaluaties moeten komen...
van incidenten met een grote maatschappelijke impact.
Dat biedt veel informatie en is een basis om verder op te borduren.
Kunt u tot slot een voorbeeld uit de eigen praktijk geven...
van het belang van oefenen?
Het oefenen is cruciaal.
Een aantal bedrijven uit onze achterban deed zelfs mee aan een NAVO-oefening.
Op dit punt werken we samen met Defensie.
Dat waren echt eyeopeners, voor de bedrijven, maar ook voor Defensie.
Je leerde elkaar kennen, elkaars zwakheden en kwetsbaarheden.
Dat is natuurlijk cruciaal als je je cyberweerbaarheid wil vergroten.
Dit is dus essentieel en ook hier zeg ik weer: 'Delen is het nieuwe hebben.'