Cybersecurity: de kansen en uitdagingen van digitale zorgplichten

03 jul Cybersecurity: de kansen en uitdagingen van digitale zorgplichten

Cyberrisico’s nemen toe – en de preventie ervan is steeds ingewikkelder. Dat is af te leiden uit rapporten van onder meer Deloitte, het Rathenau Instituut en het Centraal Planbureau. Marcel Krom, CIO van PostNL en raadslid van de Cyber Security Raad (CSR), vertelt over de noodzaak van digitale zorgplichten.

De cyberrisico’s waarmee het Nederlandse bedrijfsleven te maken krijgt, veranderen ingrijpend. En initiatieven om cybersecurity te verbeteren kunnen de ontwikkelingen maar nauwelijks bijbenen. Dat signaleert Deloitte in het rapport Cyber Value at Risk in The Netherlands 2017. Cybercrime kan het Nederlandse MKB uiteindelijk een schadepost opleveren van tien miljard euro per jaar.

De digitale wereld is steeds meer een afspiegeling van onze dagelijkse werkelijkheid – en de risico’s van criminaliteit nemen daardoor ook toe

“De digitale wereld is steeds meer een afspiegeling van onze dagelijkse werkelijkheid – en de risico’s van criminaliteit nemen daardoor ook toe”, reageert Marcel Krom, CIO van PostNL en lid van de Cyber Security Raad (CSR). De raad is een nationaal en onafhankelijk adviesorgaan van het kabinet en het bedrijfsleven dat zich op strategisch niveau inzet om de cybersecurity in Nederland te verhogen. Krom is lid van de CSR vanuit zijn rol als voorzitter van het CIO Platform Nederland, een vereniging van de CIO’s en CDO’s van ruim honderd publieke en private organisaties die zich bezighoudt met de transitie naar een digitale samenleving.

Digitale zorgplichten

De CSR signaleerde in 2017, bij de publicatie van zijn handreiking over digitale zorgplichten, dat het Nederlandse bedrijfsleven nog te weinig doet aan digitale veiligheid, ook al is dit wel verplicht. Volgens de huidige wet- en regelgeving hebben bedrijven de plicht om te zorgen voor een adequate digitale beveiliging: software, mobiele telefoons en andere producten of diensten met een ICT-toepassing moeten adequaat beveiligd zijn tegen hacken. Mocht zich toch een incident voordoen, dan moeten de gevolgen ervan worden beperkt en verdere incidenten voorkomen.

Onwetendheid, onbekwaamheid en onkunde

Krom: “Veel bedrijven zijn zich onvoldoende bewust van de verplichte beveiliging van producten en diensten waarin digitale componenten zijn verwerkt. Producenten willen snel nieuwe producten op de markt brengen en beseffen dan niet dat bijvoorbeeld een koelkast, cv-ketel, wasmachine of auto die met software wordt bediend een cyberrisico meebrengt. Er is sprake van onwetendheid, onbekwaamheid en onkunde. Tegelijkertijd zijn gebruikers zich ook niet altijd bewust van de risico’s van het Internet of Things(IoT).”

> Lees ook Hoe beveiligen we ons tegen het IoT?

Schade van cybercrime zal steeds vaker verhaald worden

Het bestuur of de directie van een bedrijf is er verantwoordelijk voor dat er inzicht is in cybersecurityrisico’s en daartegen adequate maatregelen worden genomen. Gebeurt dit niet, dan kunnen zij aansprakelijk zijn voor de schade die consumenten en andere bedrijven lijden. Door nieuwe technologische ontwikkelingen, zoals IoT en e-health, nemen cyberrisico’s sterk toe. De verwachting van de CSR is dan ook dat schade die dit veroorzaakt in de toekomst steeds vaker verhaald zal worden.

Bij software die gebruikmaakt van internet moet je er op kunnen vertrouwen dat het systeem bestand is tegen bijvoorbeeld hacken

“Bedrijven weten vaak wel dat hun producten veilig moeten zijn, maar zijn zich er niet van bewust dat die veiligheid ook gaat over de digitale extensies”, zegt Krom. “Het besef dat producenten ook verantwoordelijk zijn voor de beveiliging van de digitale laag van producten en diensten maken we als CSR daarom nadrukkelijk onderwerp van gesprek. We willen dat er een minimumniveau van veiligheid ontstaat waarop gebruikers – consumenten, overheden én bedrijven – kunnen vertrouwen. Als je een auto koopt dan mag je ervan uitgaan dat de rem het doet. En zo zou je bij software die gebruikmaakt van internet er ook op moeten kunnen vertrouwen dat het systeem bestand is tegen bijvoorbeeld hacken. Je wilt dat er goede producten op de markt komen, zodat afnemers erop kunnen vertrouwen dat ze veilig zijn en producenten en leveranciers hun werk kunnen blijven doen.”

Van handreiking naar implementatie

Inmiddels brengen organisaties zoals Nederland ICT, FME (de ondernemersvereniging voor de technische industrie), VNO-NCW en het CIO Platform Nederland de digitale zorgplichten onder de aandacht van hun achterbannen. Krom: “De handreiking van de CSR schept een kader dat nu kan worden doorvertaald naar de diverse branches. Vanuit het gezamenlijke gedachtengoed werken we toe naar praktische implementatie. We denken na over wat we precies gaan doen, welke standaards er mogelijk zijn en hoe we die kunnen toepassen.”

Aandacht meer richten op preventie

Het Centraal Planbureau (CPB) stelde in de ‘Risicorapportage Cyberveiligheid Economie’ dat de overheid zich in haar beleid meer zou moeten richten op preventie van cybercriminaliteit. Zo kunnen verplichte beveiligingsstandaarden software, smart-tv’s en andere digitale producten veiliger maken. En toezichthouders zouden volgens het CPB prioriteit moeten geven aan het vooraf opsporen van cyberrisico’s en zich niet moeten beperken tot het onderzoeken van incidenten achteraf.

Huidige maatregelen volstaan niet meer

Het Rathenau Instituut gaat nog een stap verder: het instituut stelde eerder dit jaar in het rapport ‘Een nooit gelopen race’ dat de huidige maatregelen van overheid en bedrijfsleven tegen cyberdreigingen niet meer volstaan. Het instituut pleit onder andere voor een onafhankelijk kennis- en adviescentrum voor MKB-bedrijven en landelijke afspraken over een jaarlijkse hacktest voor bedrijven die actief zijn in vitale sectoren. Bovendien adviseert het instituut om te verkennen of toezichthouders, zoals de Autoriteit Consument & Markt en het Agentschap Telecom, wel voldoende kunnen optreden tegen onveilige producten. Tot slot zou de overheid, die in Nederland zo’n dertig procent van de beveiligingsproducten en beveiligingsdiensten afneemt, volgens het Rathenau Instituut nadrukkelijker een voorbeeldrol kunnen vervullen als launching customer.

Zelfregulering is de eerste stap

De CSR staat positief tegenover dit soort initiatieven en voorstellen, zegt Krom. “Vanuit het thema van digitale zorgplichten jagen we graag de bredere discussie over cybersecurity aan. Cybersecurity is een ingewikkeld onderwerp en het bedrijfsleven ziet dat er een noodzaak en verantwoordelijkheid bestaat om passende maatregelen te nemen. Maar pas als zelfregulering niet blijkt te werken kunnen we kijken naar extra juridische verplichtingen.”

Privacywet als trigger

De komst van de Algemene Verordening Gegevensbescherming (AVG), die op 25 mei 2018 in werking treedt, scherpt de regels rond gegevensverwerking aan én stelt strengere eisen aan de beveiliging van persoonsgegevens. Het vak van cybersecurity zal alleen maar belangrijker worden, verwacht Krom. “De AVG zal voor veel bedrijven en overheden fungeren als een trigger om de cybersecurity onder de loep te nemen. Dat vraagt om specialistische kennis en mankracht voor de uitvoering van preventieve maatregelen. Er ligt een hausse aan werk in het verschiet, die ertoe zal leiden dat cybersecurity de komende decennia steeds meer een standaard wordt.”

Digital Trust Centre en samenwerking voor MKB

In 2018 gaat het nieuwe Digital Trust Centre (DTC) van start, dat bedrijven helpt om cybersecurity te verbeteren. Bijvoorbeeld door ondernemers bij cyberaanvallen direct te waarschuwen en advies te geven over internetveiligheid. Voor ondernemers in vitale sectoren, zoals de energie- en telecomsector, bestond al zo’n kenniscentrum, het Nationaal Cyber Security Centrum (NCSC). Het NCSC is er ook voor overheidsdiensten, maar niet voor onder meer het MKB.

Landelijk dekkend informatiepunt over cyberveiligheid

Het ministerie van Economische Zaken en Klimaat gaat samen met het ministerie van Justitie en Veiligheid invulling aan het DTC geven. Het plan is om samenwerkingsverbanden van bedrijven een belangrijke rol te geven binnen het DTC. Ook komt er een digitaal platform waar de bedrijven terechtkunnen. De CSR vindt het belangrijk dat Nederland beschikt over een landelijk dekkend stelsel van informatieknooppunten over cyberbeveiliging, zodat alle organisaties in Nederland op eenvoudige wijze toegang hebben tot de laatste inzichten.

> Lees ook Fysieke beveiliging en cybersecurity: integrale aanpak vereist

Eenvoudige maatregelen kunnen al helpen om veiligheid te verhogen

Vooral de informatievoorziening richting het MKB verdient daarbij aandacht, benadrukt Krom. “De samenwerking tussen de CSR en onder meer FME en VNO-NCW levert een bijdrage aan de awareness van cyberrisico’s binnen het MKB. Het DTC kan deze aanjagende rol verder oppakken. Tegelijkertijd is het van cruciaal belang dat MKB’ers zelf nadenken of de gegevens die ze in huis hebben mogelijk interessant zijn voor cybercriminelen. Ondernemers die bezig zijn met creatief design, uitvindingen die met Intellectueel Eigendom zijn beschermd of andere unieke componenten zijn een aantrekkelijk doelwit voor cybercrime. Maar we moeten niet vergeten dat bij een deel van het MKB een minimumset van relatief simpele maatregelen is door te voeren die ondernemers al een heel stuk veiliger maken. Eenvoudige maatregelen, zoals penetratietests, security updates, firewalls en wachtwoordbeheer, kunnen al helpen om op een voldoende niveau van beveiliging te komen. Daarom adviseert de CSR bedrijven om tien procent van hun ICT-budget te investeren in cybersecurity. Soms hoeft cybersecurity niet zo spannend te zijn.”

Deze bijdrage is geschreven door Lynsey Dubbeld (trendanalist, contentstrateeg en copywriter) en verscheen eerder op: https://www.securitymanagement.nl/cybersecurity-kansen-en-uitdagingen-digitale-zorgplichten.