Overheidstrends 2021: Samenwerking voor het verhogen van cyberweerbaarheid

Cyberweerbaarheid verdwijnt niet meer van de agenda. De rol van overheden verandert ook, op zowel nationaal als lokaal niveau. Samenwerking, centralisatie van informatie en het delen van kennis, expertise en personeel zijn internationaal een belangrijke trend.

Het samenwerken binnen ecosystemen in het kader van cyberweerbaarheid is niet nieuw. Zowel in binnen- en buitenland zijn talrijke voorbeelden te vinden van succesvolle manieren van samenwerken die een duidelijke meerwaarde opleveren voor deelnemende partijen. Toch laten diverse incidenten ook de afgelopen tijd weer zien dat er in Nederland nog altijd gaten zijn in het totale stelsel van cyberweerbaarheid.

Cyberweerbaarheid en de overheid

Neem alleen al het recente voorbeeld van de kwetsbaarheid in Kaseya IT-beheersoftware. Door onderzoek en snel en adequaat handelen van een vrijwilligersorganisatie, het Dutch Insititute for Vulnerability Disclosure (DIVD), is een groot deel van de potentiële impact van misbruik van deze kwetsbaarheid voorkomen. Het betreft hier echter een groep enthousiastelingen die belangeloos het internet scannen op kwetsbare systemen en dit melden bij de eigenaars van die systemen. Een taak waarvan je je kunt afvragen of die niet (ook) bij de overheid thuis hoort.

Uiteraard is de overheid op vele fronten actief in het bijdragen aan cyberweerbaarheid, van het actief aanpakken en opsporen van cybercriminelen, tot het onderzoeken van staten en de dreigingen die daarvan uitgaan en het bijdragen aan kennis, kunde en informatie in private sectoren. Toch vereist dit snel ontwikkelende landschap een nieuwe aanpak en een verschuiving in hoe de overheid zich opstelt en deelneemt aan dit soort ecosystemen.

Wat kan de overheid dan doen om zowel haar bijdrage als haar eigen winst uit de relevante ecosystemen te vergroten? Het antwoord ligt in een bredere en meer integrale benadering van het concept cyberweerbaarheid, volgens het aloude credo “een ketting is zo sterk als de zwakste schakel”. Omdat cyberweerbaarheid afhankelijk is van zo veel verschillende partijen, is het van belang dat de overheid haar eigen taak in de strategievorming en regie oppakt en zorgt dat de lappendeken van partijen en initiatieven goed op elkaar aansluit en geen gaten vertoont.

Centrale regie in het Verenigd Koninkrijk

De afgelopen jaren is in Nederland door de overheid van alles gedaan om meer bij te dragen aan de cyberweerbaarheid van publieke en private partijen en burgers. Het gaat echter om veel losse initiatieven bij een veelheid aan instanties. Een voorbeeld van hoe het ook mooi gecentraliseerd kan is te vinden in het Verenigd Koninkrijk. Het in 2016 gelanceerde National Cyber Security Centre is in het leven geroepen om een gezamenlijke nationale respons te kunnen bieden in het geval van cyberdreigingen en -aanvallen.

Het centrum biedt ondersteuning op het gebied van cyberbeveiliging aan de publieke sector, de private sector – waaronder het MKB – en burgers. Het centrum heeft vorig jaar ondersteuning geboden bij 723 incidenten en een meldpunt voor burgers geopend voor het melden van verdachte e-mails. Dankzij dat meldpunt werden in slechts vier maanden 2,3 miljoen verdachte e-mails aangemerkt en 22.000 schadelijke websites verwijderd. Deze aanpak met één loket waar iedereen voor advies over of meldingen van cyberincidenten terecht kan is helder voor burgers en organisaties en zorgt tegelijkertijd voor goede centralisatie van informatie over dreigingen en incidenten.

Verschuivende rol van de overheid

Ook in andere landen zie je steeds meer een beweging naar centralisering van regie en advies rondom cyberweerbaarheid. Dat betekent overigens niet per definitie dat uitvoering ook volledig gecentraliseerd hoeft te worden. Het Deense model met een nationale stuurgroep waarin de cyberstrategie wordt bepaald en gemonitord, maar waarbij elk departement zelf verantwoordelijk is voor uitvoering van een deel van die strategie, lijkt op het eerste oog goed te passen bij het Nederlandse staatsbestel.

Toch zie je ook in Denemarken dat voor burgers en bedrijven één aanspreekpunt of loket opgezet is waar zij terecht kunnen voor het melden van incidenten of verkrijgen van advies en informatie. Bovendien is een centrum opgericht waar alle informatie rondom cyberdreigingen en -incidenten bij elkaar wordt gebracht. Op een aantal plekken is centralisatie van uitvoering dus absoluut noodzakelijk voor een succesvolle aanpak.

De verschuivende rol van de overheid in cyberweerbaarheid levert ook wrijving op. Om effectief te kunnen worden in haar nieuwe rol, moeten overheden de manier veranderen waarop ze relaties, informatie, talent en zelfs interne processen beheren.

Van ‘need to know’ naar gedeelde informatie

Het snel en efficiënt delen van informatie over cyberdreigingen, kwetsbaarheden en incidenten is een cruciale factor om in te kunnen spelen op actuele dreigingen en het voorkomen of beperken van de omvang van incidenten. De overheid beschikt over een grote hoeveelheid relevante informatie, maar is gewend om dat soort (soms) gevoelige gegevens af te schermen en alleen toegang te geven aan personen en organisaties op basis van ‘need to know’. De huidige dreigingen maken echter dat er behoefte is aan het sneller en breder delen van die informatie.

Sommige ecosystemen worden op internationaal niveau gevormd, andere zijn beperkt tot een bepaald land of een bepaalde regio. Een voorbeeld van internationale samenwerking is CSIRTAmericas, een vereniging van computerbeveiligingsteams in de Verenigde Staten. Door informatie en kennis te delen, vaak in realtime, heeft deze groep een gezamenlijke respons kunnen opzetten naar aanleiding van noodgevallen zoals de COVID-19-pandemie en de Wannacry-gijzelsoftwareaanval.

Platforms voor informatiedeling

Een ander mooi voorbeeld is wederom te vinden in het Verenigd Koninkrijk, waar onder het National Cyber Security Centre een Cyber Security Information Sharing Partnership” (CiSP) is opgericht. Dit partnership staat in principe open voor elke organisatie in het Verenigd Koninkrijk en biedt een digitaal platform waarop veilig dreigingsinformatie gedeeld kan worden, adviezen worden uitgewisseld en in diverse subgroepen (bijvoorbeeld sectoraal) samengewerkt kan worden. Het centrum monitort de informatie op het platform en gebruikt die weer om op (naderende) incidenten in te spelen, maar ook om bijvoorbeeld proactief adviezen op te stellen en die weer met de community te delen.

Een ander voorbeeld, op lokaal niveau, komt uit de Verenigde Staten. Daar hebben partners als City National Bank, IBM, AT&T, Cedars-Sinai en de stad Santa Monica het Los Angeles Cyber Lab’s Threat Intelligence Sharing Platform gevormd, waarop informatie over cyberdreigingen wordt verzameld van de deelnemers. Leden kunnen deze gegevens anoniem delen voor analyse en vergelijkingen. Het lab gebruikt de informatie om inlichtingen over dreigingen en trendanalyses aan te bieden aan alle leden, waaronder kleine ondernemers die niet over de middelen beschikken om zelf de dreigingen te volgen.

Delen van menselijk kapitaal

Meer samenwerking in een ecosysteem resulteert in meer en gevarieerdere soorten systemen, gegevens en tools die binnen een organisatie worden gebruikt. Dat vraagt om technologietalent met bredere vaardigheden dan de meeste organisaties zelfstandig kunnen bieden. Gelukkig helpen ecosystemen overheden ook toegang tot het juiste talent met de juiste vaardigheden te verkrijgen. Een ecosysteem dat bestaat uit academici en bedrijven kan overheden helpen de gaten in hun cyberbeveiligingspersoneel te dichten door een actieve, gedeelde markt voor cybertalent te vormen, in plaats van alleen maar te kijken naar hun eigen behoeften.

Onderwijsinstellingen

Israël biedt cyber security-lessen op alle niveaus van het onderwijssysteem aan, beginnend bij de onderbouw van de middelbare school tot en met universiteiten, waar studenten een doctoraat in cyberbeveiliging kunnen behalen. Hiermee wordt bereikt dat digitale geletterdheid en kennis van cyberbeveiliging veel breder bij personeel aanwezig is.

Opleidingsinitiatieven op het gebied van cyberveiligheid in de Verenigde Staten waren tot nu toe gericht op het hoger onderwijs. Het National Institute of Standards and Technology heeft Florida International University in Miami bijvoorbeeld een beurs toegekend om programma’s te ondersteunen die zijn ontworpen om cyberbeveiligingstalenten op te leiden die aan de slag gaan voor de staat of lokale overheden, nationale bedrijven en de Amerikaanse overheid.

De Universiteit van Buffalo heeft een beurs van $2,39 miljoen ontvangen van de National Science Foundation om toekomstige cyberbeveiligingsexperts op te leiden. De divisie Wetenschap en Technologie van het Amerikaanse ministerie van Binnenlandse Veiligheid biedt beurzen en samenwerkingsverbanden aan gericht op cyberbeveiliging voor zowel primair als secundair onderwijs en het hoger onderwijs.

Publiek-private partnerschappen

Het in de Verenigde Staten gevestigde Cybersecurity Talent Initiative – een samenwerking tussen federale diensten, universiteiten en de particuliere sector – selecteert studenten in relevante vakgebieden voor tweejarige plaatsingen binnen federale diensten die behoeften hebben op het vlak van cyberbeveiliging. Aan het eind van die twee jaar kunnen de studenten solliciteren op fulltime vacatures bij particuliere bedrijven die deelnemen aan het programma.

Om samen te werken met de particuliere sector heeft het Verenigd Koninkrijk het acceleratormodel omarmd en de Defense and Security Accelerator opgezet om cyberbeveiligingsinnovaties binnen en buiten de overheid te herkennen en te steunen.

Wedstrijden en prijzen

Overheden schrijven ook wedstrijden uit om hun voordeel te doen met cyberbeveiligingscapaciteiten buiten hun eigen personeelsbestanden. Een populair model is het uitloven van een beloning voor het vinden van bugs. Voorgeselecteerde hackers worden uitgedaagd om kwetsbaarheden in de overheidsnetwerken te vinden en worden beloond voor elke bug die ze vinden. Het eerste dergelijke initiatief in de Verenigde Staten, Hack the Pentagon, trok meer dan 1400 deelnemers. De wedstrijd was pas 13 minuten aan de gang toen de eerste bug werd gevonden.

Het ministerie van Defensie van Singapore heeft begin 2018 beloningen uitgeloofd voor het vinden van bugs. Daarbij werden 35 bugs gevonden en de hoogste prijs voor een individuele hacker was 2000 dollar. Tijdens een andere wedstrijd die de Singaporese overheid in december van dat jaar hield, hielpen de deelnemers met het repareren van 26 bugs en werd er bijna 12.000 dollar aan prijzengeld uitgekeerd.

Ook dichter bij huis worden dergelijke activiteiten ondernomen. Zo organiseert de gemeente Den Haag al vier jaar op rij de competitie Hâck The Hague waarbij deelnemers wordt gevraagd om op zoek te gaan naar kwetsbaarheden in de IT- en OT-systemen van de gemeente. In de competitie werken overheid en private partijen samen om een uitdagende en nuttige wedstrijd te organiseren.

Richting de toekomst

• Centrale regie en integrale aanpak

De huidige en toekomstige dreigingen vereisen een doortastende overheid die integraal naar cyberweerbaarheid kijkt en haar rol pakt in een nationale regievoering over publieke en private partners in een bloeiend ecosysteem.

• Verbeter het delen van dreigingsinformatie

Dreigingsinformatie moet op zeer korte termijn breder en efficiënter gedeeld worden. Niet alleen door de overheid, maar ook door private partijen. De overheid kan hier een grote katalysator in zijn door het inrichten van een ecosysteem en platform dat deze uitwisseling ondersteunt.

• Ga slim om met talent

Kijk niet alleen naar de eigen behoeften, maar die van het hele land. Werk in opleiding, traineeships en werving door publieke en private partijen samen zorgt dat talent niet alleen een inhoudelijke bijdrage levert maar ook onderling een sterk netwerk opbouwt waarin kennis en informatie worden gedeeld.

Over de auteurs: Kevin Jonkers is Director risk advisory, en Frank Groenewegen en Hokkie Blogg zijn beiden Partner risk advisory bij Deloitte.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.