Onder het motto “vertrouwen in de toekomst” is vorig najaar het nieuwe kabinet Rutte III gepresenteerd. Deze Prinsjesdag is daardoor het eerste moment waarop de ministers hun ambities middels financiële onderbouwingen kunnen laten zien. Cyberveilig Nederland heeft de plannen bestudeerd en komt tot de conclusie dat daadkracht zich afwisselt met gebrek aan ambitie.
"Cyberveilig Nederland roept het kabinet op om meer lef en daadkracht te tonen met betrekking tot cybersecurity. Cybersecurity is vandaag de dag verweven in alle processen. Dat vraagt om een integrale aanpak en visie. De plannen van de verschillende ministeries laten een groot verschil in visie zien. Een meer holistische aanpak is nodig om Nederland digitaal weerbaar te maken."
Niet alle ministeries besteden voldoende aandacht aan cybersecurity
Absoluut dieptepunt is de begroting van het ministerie van Onderwijs, Cultuur en Wetenschap. Hoe kan het dat in de plannen van het ministerie niet eenmaal de woorden “cybersecurity” of “veilig programmeren” voorkomen? Het ministerie laat hiermee zien dat toekomstgericht onderwijs nog niet in het DNA van de OCW-ambtenaren en minister Van Engelshoven is doorgedrongen.
Ook het ministerie van Infrastructuur en Waterstaat komt in haar plannen niet verder dan dat ‘cybersecurity een belangrijke kabinetsprioriteit is omdat we onze infrastructuur veilig en operationeel willen houden.’ Rijkswaterstaat is steeds meer afhankelijk van ICT en Internet of Things. Daarbij opgeteld zijn er diverse cybersecurity-incidenten binnen de vitale infrastructuur bekend. Dit moet toch overtuigend genoeg zijn om concrete maatregelen rondom veilige hard- en software prioriteit te geven?
Cybersecurity als kans - een positieve ontwikkeling
Het ministerie van Economische Zaken en Klimaat investeert in verschillende maatregelen die ervoor zorgen dat Nederland op een veilige manier de economische en maatschappelijke kansen die de digitalisering biedt kan verzilveren. Alleen als burgers en bedrijven zich veilig kunnen bewegen in het digitale domein, kunnen kansen worden benut. De kwetsbaarheden en dreigingen in het digitale domein nemen helaas toe. Omdat het ministerie van EZK investeert in meer digitale veiligheid via het beter cyberweerbaar maken van ondernemers en burgers, het bevorderen van veilige (hard- en software) producten en cybersecurityonderzoek lijkt het bedrag van € 5 mln wat schraal (oplopend tot € 9 mln vanaf 2021. Ook wordt een meerjarig publiek-privaat samenwerkingsprogramma onderzoek en innovatie gestart voor kunstmatige intelligentie en voor cybersecurity.
Cybersecurity in de veiligheidsketen mag concreter
Gelukkig kan het ook anders. Zo is er veel aandacht voor cybercrime: het verbeteren van het aangifteproces, meer aandacht voor preventie door voorlichting en het opbouwen van specifieke kennis en capaciteiten zijn enkele voorbeelden. De publiek-private samenwerking vanuit de politie wordt benoemd. Hier is volgens Cyberveilig Nederland nog meer winst te behalen omdat veel kennis over cybercriminaliteit aanwezig is binnen de cybersecuritysector.
Ook kan samenwerking met de sector helpen om burgers en organisaties voor te lichten over maatregelen die zij zelf kunnen nemen om minder kwetsbaar te zijn voor cybersecurity incidenten. Bestaande initiatieven als “No More Ransom”, waar de High Tech Crime Unit samenwerkt met verschillende cybersecurity bedrijven, laten zien wat de kracht is van publiek-private samenwerking. Cyberveilig Nederland gaat graag het gesprek aan met de Korpsleiding om bij te dragen aan de dadendrang van de politie.
Positief is verder dat de AIVD meer geld tegemoet kan zien, oplopend naar €21 miljoen in 2021, om beter zicht te krijgen op economische spionage die onder andere het verdienvermogen van Nederland aantast en digitale aanvallen op vitale infrastructuur om digitale sabotage mogelijk te maken. Van belang is wel dat de AIVD deze kennis niet voor zich houdt, maar actief deelt met de Nederlandse samenleving. Omdat bedrijven zelf verantwoordelijk zijn voor het beschermen van data en digitale weerbaarheid is het belangrijk dat de cybersecuritysector inzicht krijgt in (specifieke) aanvalsmethodieken.
Het gros van de € 95 miljoen die structureel in cybersecurity wordt geïnvesteerd gaat naar het ministerie van Justitie en Veiligheid. Enkele concrete maatregelen die voor 2019 op de agenda staan zijn onder andere de versterking van het Nationaal Cyber Security Centrum als Computer Emergency Response Team (CERT) voor de rijksoverheid en de vitale infrastructuur, het organiseren van rondetafelgesprekken om te komen tot een visie voor een landelijk dekkend stelsel van cybersecuritysamenwerkingsverbanden voor overheden, het bedrijfsleven en maatschappelijke organisaties en het versterken van publiek-private samenwerkingsverbanden.
Cyberveilig Nederland vindt dit nog veel te weinig concreet. Juist als coördinerend ministerie moet de ambitie concreter. Hang een duidelijk prijskaartje aan de ambities en doelstellingen van de Nationale Cyber Security Agenda en maak duidelijk waar de prioriteiten liggen. Stimuleer zo veel mogelijk de vorming van cybersecurity-samenwerkingsverbanden en lever, waar mogelijk, zo veel mogelijk informatie over cybersecurityontwikkelingen en dreigingen.
Tenslotte is ook binnen het ministerie van Defensie cybersecurity een belangrijk onderwerp. Kennisopbouw op onder andere cyber is prioriteit. De ambitie van het ministerie is om samen met andere ministeries nieuwe gemeenschappelijke cyber onderzoeks- en innovatieprojecten op te starten. Ook is Defensie van plan een Cyber Innovation Hub (CIH) op te richten waarin departementen, onderzoeksinstellingen en bedrijven samen aan uitdagingen op het gebied van cyber werken.