ITsec bij rondetafelgesprek Cybersecurity in Tweede Kamer

Woensdag 7 februari organiseerde de Vaste commissie voor Justitie en Veiligheid een rondetafelgesprek over cybersecurity. Verschillende partijen waren uitgenodigd om hun visie te delen op het gebied van cybersecurity. Namens ITsec schoof Willem Westerhof aan bij de tafel uit het bedrijfsleven. Hij deelt met ons de highlights uit het statement van ITsec.

Solar panel security

ITsec is, net als Insite Security, onderdeel van Insite Groep.

Welke concrete stappen moeten er genomen worden om de cyberveiligheid van mensen, bedrijven en overheden te vergroten?

Daar is niet meteen een eenvoudig antwoord op te geven. De oplossing begint met discipline, samenwerking en goede coördinatie. De cyberwereld kent nauwelijks of geen grenzen. Oplossingen die we in Nederland bedenken zullen dan ook breder in Europese of zelfs wereldwijde kringen gedragen moeten worden. Concreet denk ik aan de volgende stappen voor het vergroten van cyberveiligheid:

  • Het vereenvoudigen en stimuleren van internationale samenwerking.
  • Een hoge mate van cyberveiligheid financieel belonen.
  • Het weren van zwak beveiligde apparatuur en dienstverleners.
  • Verantwoordelijkheid van bedrijven eisen en handhaven.
  • Het aanmoedigen van ethisch hacken.
  • Het trainen van de individuele burger.

Welke rol ligt er weggelegd voor de overheid?

De overheid zou als het aan mij ligt een faciliterende, beschermende en controlerende rol spelen. Internationale samenwerking verhoogt de pakkans van cybercriminelen en ontmoedigt cybercriminaliteit. Cybercriminaliteit veroorzaakt nu al extreme economische schade. Denk aan NotPetya. Een gerichte aanval kan zelf levens kosten of een complete maatschappij ontwrichten. Ik ben een voorstander van veiligheidscertificeringen voor apparaten in de vitale infrastructuur. Voor overige apparatuur zou een optionele certificering moeten komen die zich richt op de basale veiligheid. Denk aan het gebruik van encryptie, sterke authenticatie mechanismen en mogelijkheid tot responsible disclosure. Beloning voor het gebruiken, danwel leveren van gecertificeerde apparatuur zouden we kunnen zoeken in de vorm van fiscaal voordeel. Door via wetgeving een extra stimulans aan de markt te geven, kunnen we de maatschappelijke cybersecurity risico’s terugdringen en de voorlopers belonen, terwijl de structurele achterlopers bestraft worden.

Er moet een controlerende dienst worden gecreëerd die het recht heeft om steekproefsgewijs te controleren en boetes uit te delen aan bedrijven en overheidsinstanties die structureel onveilig zijn op cybersecurity vlak. Op deze manier zijn er financiële consequenties voor bedrijven die structureel onveilig zijn, voordat er daadwerkelijk iets “mis” gaat.

Is er in het bedrijfsleven voldoende aandacht voor cyberveiligheid?

Bedrijven beginnen steeds meer in te zien dat een onvoldoende cybersecurity niveau de continuïteit van het bedrijf in gevaar brengt. Door concurrentie verschuift dit aandachtspunt helaas naar de achtergrond. Security awareness verhogen is een belangrijke sleutel in het voorkomen van problemen. Daarnaast zouden bedrijven die technologische producten leveren hun verantwoording moeten nemen voor het uitleveren van producten met een hoog cybersecurity niveau.

Wat is de rol van ethische hackers?

Sterke security is niet gebaseerd op de kennis van een individu, maar op die van de hele gemeenschap. Ethische hackers spelen een grote rol in het zichtbaar maken van security kwetsbaarheden en het verhogen van het cybersecurity niveau van organisaties. Door responsible disclosure en bug bounty’s aan te moedigen of wellicht te subsidiëren kunnen we tevens technisch begaafden op het goede pad houden. Onlangs stapte Insite Security ook in een pilot om jonge cyberdelinquenten in te laten zien dat er ook op ethische wijze gehackt kan worden.

Hoe draagt preventie bij aan het cybersecurity besef van de burger?

We kunnen niet van iedere burger verwachten dat zij zichzelf volledig kunnen beschermen tegen cybercriminaliteit. Wel kunnen we ons richten op een basis weerbare burger. Door bijvoorbeeld media campagnes over veilig wachtwoord gebruik, phishing, beveiligde verbinding etc. Veilig internetten zou een standaard onderdeel moeten worden van onderwijsprogramma’s in het basis en voortgezet onderwijs. We leren kinderen veilig te zijn in de echte wereld, maar die wereld wordt steeds digitaler. Het is tijd dat we ze ook op de digitale wereld voorbereiden.

Security by design is een mooi principe om een situatie te creëren waarbij hard- en software veilig uit de doos komen en gebruiksvriendelijk zijn. We moeten van bedrijven verwachten dat niet iedere willekeurige robot of hackende puber zomaar op apparatuur kan in breken. De huidige situatie, waarin er zomaar op apparatuur kan worden ingebroken, heeft niet alleen vervelende gevolgen voor het individu. Het kan ook voor de maatschappij als geheel vervelende problemen veroorzaken.

Het volledige statement is te lezen op de website van de Tweede Kamer.

 

 

Meer artikelen

Bekijk al het nieuws