Inbreng CVN in Algemeen Overleg Cybersecurity

Op woensdag 9 december 2020 stond het Algemeen Overleg Cybersecurity gepland. CVN heeft middels een brief input gegeven voor dit overleg. Lees de brief intergraal hier:

Op woensdag 9 december aanstaande staat het Algemeen Overleg Cybersecurity gepland.
Cyberveilig Nederland wil u graag enkele suggesties meegeven voor dit overleg.

Belang van digitalisering voor Nederland
De digitale economie is niet meer weg te denken binnen onze maatschappij. De huidige
corona-pandemie heeft deze transformatie alleen maar versneld. Een keerzijde van deze
digitale afhankelijkheid is dat we kwetsbaar zijn voor cyberincidenten. Het verkleinen van de
digitale kwetsbaarheid is een gemeenschappelijke uitdaging die vraagt om een actieve en
stimulerende rol van de overheid en politiek. Cyberveilig Nederland geeft in deze brief haar
visie over het belang van informatie delen en het vaststellen van belangrijke capaciteiten in
het digitale autonomie vraagstuk.

Maak informatie delen (nu echt!) de norm
In 2019 werd tijdens de kerstvakantie de Universiteit van Maastricht getroffen door een
grootschalige ransomware-aanval. Enige maanden daarvoor was de Universiteit van
Antwerpen door eenzelfde ransomware-aanval getroffen. Deze voorbeelden laten helaas zien
dat het delen van informatie over best practices, kwetsbaarheden en cybersecurity incidenten
nog steeds niet de norm is. Uiteraard zijn hierop uitzonderingen. Denk hierbij aan de
verschillende ISAC’s (Information Sharing Analysing Centre) die zijn opgericht om informatie
te delen binnen een bepaalde sector (met de banken als beste voorbeeld) en de CERT’s
(Computer Emergency Respons Team, zoals govcert en Zorg-CERT) die organisaties helpen
bij incidenten (en om deze te voorkomen). Deze initiatieven betreffen helaas maar een beperkt
aantal organisaties, waardoor een landelijk dekkend stelsel vooralsnog een utopie blijft, zoals
vastgesteld door de WODC en de Cyber Security Raad (CSR).1
De overheid zou volgens Cyberveilig Nederland het goede voorbeeld moeten geven rondom
informatie delen. Hiertoe moet gestimuleerd worden dat opgedane informatie, bijvoorbeeld
naar aanleiding van datalekken (AP), aangiftes (politie) of incidenten (NCSC) gedeeld en
onderzocht worden in een breed publiek – privaat consortium. Dit consortium zou moeten
bestaan uit organisaties die een hoog volwassenheidsniveau van cybersecurity hebben,
waardoor zij ook kunnen handelen naar aanleiding van de (ontvangen) informatie. Naast de
overheid en vitale sectoren zouden ook organisaties die de OKTT (‘objectief kenbaar tot taak)-
status hebben kunnen participeren in dit consortium. Daarbij is het essentieel om een visie te
ontwikkelen hoe je vitale organisaties, de rijksoverheid zelf en de verschillende OKTTorganisaties
(dreigings)informatie laat delen, verrijken en laat ‘doordelen’. Niet alleen met het
NCSC, maar óók met elkaar. Op deze manier wordt het landelijk dekkend stelsel op een praktijkgerichte manier vormgegeven met daadwerkelijk handelingsperspectief en wordt het
delen van informatie de norm. Een bijkomend voordeel is dat meer en betere informatiedeling
direct leidt tot minder druk op handhaving en opsporing omdat bedrijven/sectoren gericht
kunnen ingrijpen bij een (potentiële) kwetsbaarheid. Initiatieven als AAN (Anti Abuse Network),
waar wij als vereniging ook bij betrokken zijn, laten zien dat het bedrijfsleven zelf eveneens
actief wil bijdragen aan het delen van informatie.

Stel de cybersecurity key-capaciteiten vast in de discussie rondom digitale autonomie
De corona-pandemie heeft het proces dat onze digitale infrastructuur steeds meer leunt op
niet-Europese technologie versnelt. Immers we communiceren digitaal via Zoom, Cisco
Webex of Microsoft Teams. Dit maakt Nederland groeiend afhankelijk van buitenlandse
technologiebedrijven als het gaat om de inzet van nieuwe technologische toepassingen of
diensten als AI, kwantumcomputing, satelliet- en 5G-netwerken. Voor de meeste van deze
technologieën geldt dat grote buitenlandse ondernemingen op veel gebieden vooroplopen.
Cyberveiligheid speelt in al deze technologieën een essentiële rol. Het is daarom belangrijk
dat Nederland een industriepolitiek gaat ontwikkelen die is gericht op het beschermen van
ecosystemen die een maatschappelijk of (nationaal) veiligheidsbelang hebben. Het Ministerie
van Justitie en Veiligheid zou hierbij, als coördinerend ministerie op het gebied van
cybersecurity, een belangrijke rol moeten hebben in het vaststellen van de essentiële keycapaciteiten die Nederland nodig heeft om bovengenoemde ecosystemen te beschermen.