Soms moeten dingen eerst eens goed misgaan, dan komt er tenminste budget

11 mrt Soms moeten dingen eerst eens goed misgaan, dan komt er tenminste budget

Een geliefd onderwerp is het niet, enorm belangrijk wel: de digitale kwetsbaarheid van Nederlandse bedrijven. Twee leden van de Cyber Security Raad, Lokke Moerel en Hans de Jong, president van Philips Nederland, praten hier bij hoge uitzondering over met het FD. Want dat is nodig. ‘We hebben hier te maken met de nieuwe maffia.’

Bestuursvoorzitter Jim Hagemann Snabe van rederij Maersk stapte in januari 2018 met een bijzondere missie het podium op van het World Economic Forum in Davos: hij wilde boardrooms wereldwijd waarschuwen tegen hackers. ‘Niet naïef zijn’, zei Snabe. ‘Ook de grootste, machtigste multinational wordt lamgelegd als die cyberveiligheid niet serieus neemt.’

Het was hem het jaar ervoor dan ook persoonlijk overkomen: een malwarevirus maakte 50.000 laptops van zijn bedrijf onbruikbaar, verstoorde wekenlang het containertransport en kostte Maersk uiteindelijk tussen de $200 mln en $300 mln.

Lokke Moerel, advocaat op het gebied van cyber- en dataprotectie en lid van de Cyber Security Raad (CSR), een adviesorgaan van het kabinet, memoreert het optreden. ‘Ik heb dit jarenlang gezien. Eerst wordt cybersecurity op bestuursniveau vooral gezien als een kostenpost. Maar na zo’n verwoestend incident is de bestuursvoorzitter de cyberevangelist en ligt er een blanco cheque. Soms moeten dingen eerst eens goed misgaan, dan komt er tenminste budget op tafel.’

Dringend advies: maak geld vrij
Op 25 maart biedt de CSR een rapport aan bij minister Ferd Grapperhaus (Justitie en Veiligheid). Het dringende advies: investeer de komende kabinetsperiode een kleine €1 mrd extra in de Nederlandse cyberweerbaarheid. Dat geld is voor versterking van de vitale infrastructuur, extra menskracht bij handhaving en opsporing, en onderwijs en onderzoek.

Een ander dringend advies: laat de overheid meer kritieke informatie delen met bedrijven die gevaar lopen, of die zijn gehackt (zonder het zelf te weten).

Een belangrijk gegeven uit het rapport: Nederland geeft veel minder uit aan cyberveiligheid dan omringende landen. De Franse president Emmanuel Macron trok twee weken geleden €1 mrd extra uit, en Frankrijk gaf al veel meer uit. Zelfs België heeft €3,6 mrd gereserveerd. Nederland doet het met €380 mln.

Taboe
Twee leden van de CSR, Lokke Moerel en Hans de Jong, topman van Philips Nederland, praten bij hoge uitzondering over de kwetsbaarheid van Nederlandse bedrijven. Doorgaans is het onderwerp cybercrime taboe voor het bedrijfsleven.

‘Voor veel organisaties is het nieuwe problematiek’, zegt De Jong. ‘Het siert de Maersk-ceo dat hij zei: leer van de fouten die ik heb gemaakt. Want we hebben hier te maken met de nieuwe maffia. Het gaat niet alleen om staatsgeleide inbraken bedoeld om technologie te ontvreemden, maar ook om criminelen die bedrijfssystemen lamleggen en losgeld eisen.’

Inmiddels hebben ‘alle Nederlandse multinationals een wake-up call gehad’, zegt hij. De vraag of ook Philips zo’n wake-upcall heeft gehad, beantwoordt hij bevestigend. ‘Een aantal jaar geleden. Details krijg je van mij niet te horen.’ Hij spreekt nadrukkelijk in zijn rol als co-voorzitter van de CSR, niet als Philips-directeur.

Slachtoffers
Als acute juridische crisisbestrijder heeft Moerel gezien hoe grote klanten zijn ‘leeggetrokken’ door staatsgeleide spionnen. Of hoe ze werden gechanteerd door professionele hackers. ‘Het idee dat je als multinational die groepen buiten de deur kunt houden is achterhaald’, zegt ze. ‘De focus moet dan ook verschuiven. Niet hoe je ze tegenhoudt, maar hoe te reageren als ze binnen zijn. Kunnen we zien waar ze zijn geweest, wat ze hebben meegenomen? Kunnen we netwerken opknippen zodat ze niet overal bij kunnen?’

Dat bedrijven doorgaans zwijgen over cyberinbraken, heeft in Nederland ook te maken met het handhavingsbeleid, constateert Moerel. ‘Dat was tot een paar jaar geleden nog: dit bedrijf is fout want ze hebben hun cyberveiligheid niet op orde. Dat is nu aan het kantelen. De gedachte is nu dat onze multinationals de slachtoffers zijn. De diensten moeten voor onze topsectoren gaan staan, zoals dat ook in het Verenigd Koninkrijk en Amerika gebeurt. Nu kunnen ze nog een toezichthouder achter zich aan krijgen, als ze openheid geven over een inbraak.’

Nederland moet echt meer uitgeven aan cyberveiligheid, aldus Moerel: ‘Wij wilden een open economie, zakendoen met iedereen, een lucratief knooppunt zijn van het mondiale internetverkeer. Maar we namen niet de werkelijke kosten die bij die openheid horen. Zo zijn we ook altijd met ons milieu omgegaan. Dat ondermijnt op termijn je verdienvermogen.’

Miljard is de ondergrens
Een miljard extra voor cybersecurity is wat haar betreft een ‘ondergrens’: het minimum aan vereiste investeringen om te voorkomen dat internetknooppunt Nederland qua cyberveiligheid ‘het laagste punt’ wordt binnen Europa.

De veiligheid in de digitale wereld is ‘disruptief’ veranderd, zegt De Jong. ‘Daarom is cybersecurity chefsache. Het is niet zoals de Deltawerken. Die bouw je één keer, en dan ben je vijftig jaar veilig. Nee, morgen is het alweer anders. Je moet continu verbeteren. Om tegen de houden wat morgen over je heen stroomt. Als onze buurlanden meer uitgeven aan cybersecurity dan wij, dan komt de criminaliteit hierheen. Daarom durf ik te zeggen dat er honderden miljoenen bij moeten komen.’

Zijn zorgen betreffen vooral de mkb-bedrijven, met hun relatief kleine IT-budgetten, ziekenhuizen en universiteiten. Die laatste hebben de maatschappelijke taak om hun kennis zo breed mogelijk te delen, maar tegelijk worden ze steeds meer doelwit van criminelen en spionnen die nieuwe technologie stelen. Computersystemen van de Universiteit van Maastricht bijvoorbeeld werden eind 2019 bevroren door gijzelsoftware, en de universiteit betaalde gedwongen losgeld aan criminele hackers.

Enorme omslag
‘Het wordt een enorme omslag voor de universitaire wereld’, zegt De Jong. ‘Zij zullen een steeds groter percentage van hun budget in digitale veiligheid moeten steken. Van standaard open toegang, naar besloten toegang.’ Het moet echt een wake-upcall zijn voor alle universiteiten, meent hij. ‘De raden van bestuur moeten hun verantwoordelijkheid nemen.’

De westerse houding tegenover China verandert, vult Moerel aan, maar de academische wereld loopt hierin achter. ‘China koopt onze technologie, mag onze bedrijven overnemen en vol deelnemen aan onze onderzoeksprogramma’s en doet ook nog aan economische spionage. Ze spelen niet volgens onze spelregels. De universiteiten worden leeggetrokken door statelijke actoren. Maar ze hebben veel te weinig geld om te investeren in nieuwe IT.’

Originele link van het artikel: https://fd.nl/economie-politiek/1375741/soms-moeten-dingen-eerst-eens-goed-misgaan-dan-komt-er-tenminste-budget