Cybersecurity: angst is een slechte raadgever

Een jaar na de grote cyberaanvallen WannaCry en nonPetya is het business as usual bij de meeste getroffen bedrijven. Ook in Den Haag is de stof van de verkiezingen neergedwarreld en neemt ieder zijn plaats in de reguliere orde weer in.

In corporate en MKB Nederland wordt nu de balans opgemaakt en stevig geïnvesteerd in preventieve maatregelen ter verhoging van de digitale veiligheid. Slimme bedrijven gaan een stap verder en maken technologie de kern van hun businessmodel. Zij gebruiken de investeringen in veiligheid om een directe bijdrage te leveren aan de kwaliteit van hun product of dienstverlening. De experts zijn niet aan te slepen: aan het einde van dit kalenderjaar zitten onze roosters, en die van onze concullega’s, volgeboekt tot ver in lente.

Ook aan overheidszijde wordt driftig nagedacht over cyberveiligheid. De in het Regeerakkoord toegezegde 95 miljoen euro wordt verdeeld over de ambtelijke ‘claims’ die vanuit de diverse ministeries geformuleerd worden. De normale gang van zaken in Den Haag.

Wat moet er gebeuren om een digitaal veilig land te worden? Over de hoofdzaken bestaat geen controverse:

• verankering van cyberkennis in de curricula van basis- en voortgezet onderwijs;
• versterking van de digitale economie;
• duurzame investering in Nederlands wetenschappelijk onderzoek;
• een digitaal sterke overheid;
• een solide, breed gedragen strategie die bovenstaande zaken schraagt en tot uitvoering brengt.

Je zou veronderstellen dat dit de fundamenten zijn van cyberveiligheid in het Regeerakkoord. Dat is echter niet het geval. Van de 95 miljoen wordt het leeuwendeel gestoken in defensie, opsporing en inlichtingen: de curatieve kant van het probleem (zie Regeerakkoord 2017). Dat is merkwaardig. Een veilig land bouwen gaat – zoals bedrijven weten – over het treffen van proportionele preventieve maatregelen. Waarom nemen bedrijven die maatregelen? Heel simpel: omdat preventieve maatregelen gemiddeld zeven keer goedkoper zijn dan het oplossen van problemen na een incident. Eigenlijk net als in de gezondheidszorg.

Nu is investeren aan de ‘harde’ veiligheidskant een logische en onvermijdelijke stap: het is een kerntaak van de overheid om op te treden bij excessen. Wat merkwaardig is, is dat de preventieve kant nagenoeg geheel ontbreekt.

Onderwijs

In de paragraaf over het onderwijs komt het woord technologie niet voor. Er wordt gerept over ‘digitalisering van het onderwijs’, maar dat gaat over leermiddelen zoals een iPad en appjes die leerlingen en ouders op de hoogte stellen over roosters en resultaten. De wereld draait volledig op technologie die weinigen begrijpen en we leren onze kinderen nog steeds wat wij zelf decennia geleden leerden. De uitzonderingen die op school leren programmeren, leren dat dankzij de visie en extra energie van hun onderwijzers. Het zit niet in het curriculum.

Economie

Er wordt in totaal 2,5 miljoen euro geïnvesteerd in preventie en wel in het Digital Trust Center dat door Economische Zaken in samenwerking met de branche wordt gebouwd om het MKB beter in staat te stellen hun cyberveiligheid te verbeteren. Ik breng in herinnering dat de jaarlijkse schade aan de Nederlandse economie ongeveer 10 miljard euro bedraagt. Wat we nodig hebben is een collectief begrip van welke sectoren (zoals de datahostingsector en de cryptosector) cruciaal zijn voor onze digitale economie, hoe deze gestimuleerd moeten worden en hoe we duurzame groei verbinden aan onze strategische agenda. Een digitaal krachtige samenleving is synoniem aan een digitaal veilige samenleving.

Onderzoek

De technische Universiteiten van Nederland luidden vorige maand de noodklok omdat cyberonderzoekstalent wordt weggetrokken uit Nederland. Wij investeren per jaar niet meer dan 2 miljoen euro in onderzoek naar cybersecurity-gerelateerde onderwerpen. Daarmee lopen we hard achter op onze oosterburen die daar op jaarbasis een slordige 50 miljoen voor uittrekken. Het kopje ‘wetenschappelijk onderzoek’ komt in het Regeerakkoord in deze context niet voor. Voor de duidelijkheid: dat geld hoeft niet allemaal uit de publieke pot te komen. Bedrijven zijn hier, net als de overheid, aan zet. Wij pakken die handschoen dan ook op door actief universiteiten te steunen met geld en samenwerking. Nu de overheid nog.

Digitaal sterke overheid

Bij de digitale overheid hoort niet alleen de opsporings- en inlichtingentaak. Uiteraard moeten die op orde worden gebracht en dat gaat veel tijd en geld kosten. Een sterke digitale overheid is een overheid die de verbinding tussen bovenstaande onderwerpen maakt, die vooruit kijkt en zorgt voor het juiste fiscale en wetgevingsklimaat. Een overheid die zich met vertrouwen beweegt in de digitale wereld van nu. Het is tijd om een nieuw digitaal-sociaal contract af te spreken waarin helder wordt verwoord wat de vermogens en verwachtingen ten aanzien van overheid en bedrijfsleven zijn.