Waarom Nederland op securitygebied (nog steeds) voor paal staat

Het is inmiddels niet meer uit de media weg te denken, de dagelijkse portie ellende over alle gevaren die het digitale leven met ons meebrengt. Van waterkokers die op afstand aangestuurd kunnen worden, deurbellen die het wachtwoord van de wifi prijsgeven en televisies die meeluisteren. Zelfs koptelefoons, die verbonden zijn met het internet, blijken tegenwoordig met vernuftigheden te zijn uitgerust om gesprekken in de zitkamer van een afstandje op te nemen. Allemachtig prachtig of tijd voor een nieuwe Nederlandse aanpak?

De trend van digitalisering, waarbij beschikbare informatie naar een digitale vorm wordt omgezet, gaat niemand onopgemerkt voorbij. Is deze trend erg? Dat hoeft niet. Is het een probleem? Niet perse. Het wordt pas een probleem op het moment dat ‘experts’ zich profileren op de voorpagina’s van landelijke dagbladen. Er kan tegenwoordig namelijk geen krant meer op de mat ploffen of daar zijn ze weer: de meest prestigieuze ‘oplossingen’ op het digitaliseringsvraagstuk. Van de bakker op de hoek, de zelfbenoemde ‘coryfee’ van die ene politieke partij en de journalist met een trackrecord in security waar ze zelfs in Duckstad niet van onder de indruk zijn. Allemaal hebben ze de meest fantastische oplossingen voor problemen… die ze voornamelijk zelf bedenken!

De nieuwe Messias was eindelijk daar

Oplossingen te over variërend van ‘het kabinet moet een cybercommissaris aanstellen‘ tot een pleidooi voor het invoeren van ‘een digitale douane onder leiding van Amsterdam Exchange‘. Een van de grootste internetknooppunten van de wereld en daarmee de derde mainport van Nederland, na de Rotterdamse haven en Schiphol. Uiteraard lost ‘een ministerie van ICT ook de problemen niet op‘, aldus de volgende allesweter.

Wat hebben al die ‘oplossingen’ van diverse pluimage met elkaar gemeen? Dat we het zelfs op dit belangrijke thema wederom niet met elkaar eens kunnen worden. Maar gelukkig was daar de nieuwe Messias: de brenger van de oude cyberwijn maar dan gebracht in de spreekwoordelijke nieuwe zak. In dit geval een postzak.

Snail mail…

Op verzoek van de Cyber Security Raad  (CSR) werd de CEO van PostNL, Herna Verhagen, gevraagd om een belangrijke taak op zich te nemen. Verhagen, die haar hele loopbaan al in de postsector werkt, werd verzocht om onafhankelijk onderzoek te doen naar de stand van zaken op het gebied van post cybersecurity. De Raad vraagt dus om raad bij de eindbaas van een bedrijf dat zich bezighoudt met cybersecurity post! En dan bedoel ik dus geen elektronische post, wat de keuze (enigszins) zou verklaren. Nee, Verhagen rockt de ouderwetse post met ansichtkaarten, brieven en pakketjes: ‘snail mail’. Snail (Engels voor slak) legt het sinds de introductie van elektronisch berichten (mail) af tegen alles dat geen slijmspoor achterlaat. Opmerkelijk dat het heden aan het verleden vraagt om met een oplossing te komen voor de toekomst.

Van postexpert naar cybersecurity-expert

Eind 2016 werd het gevraagde eindrapport ‘Nederland digitale voeten’ door Verhagen overhandigd aan Mark Rutte (minister-president) en Hans de Boer (voorzitter VNO-NCW). Het lange relaas dat uiteen werd gezet in een 54 pagina tellend rapport, laat zich in drie open deuren samenvatten:

1. Geld;
2. Meer geld;
3. Nog meer geld.

Cyber-believers

Kapitaal werd daarmee het nieuwe woord van de Messias en haar cyber-believers waarna de soundbite “meer geld” dagelijks door een ieder die zich ertoe geroepen voelt (halleluja!), wordt herhaald en bekrachtigd: ‘Nieuw kabinet moet nu echt meer investeren in cybersecurity‘ liet VNO-NCW bij monde van Melissa Hathaway weten. De boodschap van Paul de Krom (TNO) paste uiteraard in datzelfde geldstraatje: ‘Verbetering cybersecurity vereist meer geld en aandacht‘ waarna hij deze stelling kracht wenste bij te zetten met de boodschap dat hij ‘een visie op cybersecurity miste‘.  Dus zelfs zonder visie of doel is ook hier “meer geld” weer de ogenschijnlijke oplossing?

Geld, meer geld en nog meer geld

Vanuit verschillende hoeken wordt in diverse media de ‘meer-geld-evangelie’ verkondigd als dé oplossing voor alles: nooit meer virussen op de computer? Pegels! Beschermen tegen hackers? Munten! Nooit meer DDoS-aanvallen? Doekoe! Informatieveiligheid? Meer geld! De vragen ‘wat hebben we in het verleden gedaan om onze digitale gaten te dichten’ en ‘wat heeft dat tot nu toe opgeleverd’ danwel ‘wat doen we nu niet, wat het nieuwe geld wel mogelijk maakt’ blijven stelselmatig onbeantwoord.

We weten dus wel de oplossing: meer geld. Maar wat is de vraag? Saillant detail is dat uit de Rijksbegroting 2017 voor het ministerie van Veiligheid en Justitie blijkt dat er vanaf 2018 al structureel 14 miljoen euro meer beschikbaar is voor cybersecurity en de aanpak van cybercriminaliteit. ‘Meer’ euro’s dus en niet ‘minder, minder’.

Digitale brandweer

Toch leveren al die stapels ‘we-hebben-meer-geld-nodig-onderzoeken’ ook bruikbare tips op zoals in het Rathenau-rapport te lezen is: ‘Geef als overheid het goede voorbeeld‘. Maar geef dan ook echt het goede voorbeeld want er is bijvoorbeeld acht jaar geïnvesteerd in een Publiek-Private Samenwerking. Wat heeft dat opgeleverd? Wie bel je als de wereld digitaal wordt aangevallen zoals recentelijk steeds vaker het geval is? Hebben we inmiddels een digitale brandweer? Anders een helpdesk misschien die een paar vragen kan beantwoorden indien je gehackt bent?

WIe de schoen past, trekke hem aan

Laten we beginnen met achterom kijken, evalueren en daaruit conclusies trekken. Daarna pas kun je vooruitkijken. En vooruitkijken doe je met de spreekwoordelijke jeugd van tegenwoordig en niet met oude wijn in nieuwe zakken, ook niet die in postzakken. De jeugd van tegenwoordig, ‘generatie Z’ de digital natives, beschikt over de broodnodige 21ste-eeuwse vaardigheden en dito mentaliteit om de problemen van de toekomst voor te blijven.

De persoon achter project366 zou bijvoorbeeld als geen ander in staat zijn om een dergelijke rol in te vullen. Hij ontdekte 690 ernstige beveiligingslekken en rapporteerde die aan meer dan 590 organisaties, verdeeld over 71 landen. Dat ontdekte hij in een jaar waarin hij onbetaald de wereld rondreisde om zo zijn steentje bij te dragen aan een digitale veilige(re) wereld. Zo iemand heeft security door zijn aderen lopen, kent de mensen en spreekt de taal. Die praat niet alleen over oplossingen, hij is de oplossing.

En zo zijn er nog meer voorbeelden te noemen van mensen die oplossingen aandragen in plaats van de bevindingen van een ander na te praten. En daarmee kan de onophoudelijke stroom van gehengel naar baantjes ook stoppen. De krantenkoppen ‘ik word genoemd/ik ben beschikbaar als (cyber)minister/ik sta op alle lijstjes’ waren al gênant op zich maar dat tij kunnen we met z’n allen keren.

Dus maak plaats, stap opzij en geef ruim baan aan hen die daadwerkelijk aangetoond hebben kennis te hebben van de materie anders dan ‘(meerjarig) bestuurderservaring op directieniveau’. Nu alleen nog een land vol ‘experts’ overtuigen van dit ‘gelijk’ en vragen aan alle landelijke dagbladen of zij ogenblikkelijk hun persen willen stoppen om ruimte vrij te maken voor deze nieuwe generatie. Amen!