Cybersecurity: een veelkoppig monster
‘Vergelijk het met het bouwen van een huis. Je wilt dat je woning bestand is tegen ongewenste wateroverlast. Maar water kan door alle gaten en kieren binnendringen. Daarom moet je ervoor zorgen dat elk onderdeel van je woning lekkages kan tegenhouden’, zegt Vranken. Geen eenvoudige opgave, dat mag duidelijk zijn. ‘Die complexiteit vereist dat cybersecurity vanuit verschillende disciplines wordt benaderd. En dan nog is het altijd een compromis tussen verschillende doelen.’
Wat maakt cybersecurity zo ingewikkeld?
Het doel van cybersecurity is om computersystemen, data en services te beschermen. Dat gebeurt door te zorgen voor beschikbaarheid, integriteit en vertrouwelijkheid. Beschikbaarheid betekent dat je van een IT-systeem gebruik moet kunnen maken. Integriteit heeft te maken met betrouwbaarheid: onbevoegde partijen moeten data en IT-systemen niet zo maar kunnen aanpassen. En vertrouwelijkheid moet ervoor instaan dat alleen bevoegde partijen toegang hebben tot gevoelige data en onderdelen van het systeem.
Om de beschikbaarheid te garanderen, bouwen we toegangsmechanismen in, zodat je bij de gewenste data en services kunt. Maar daarin schuilt een gevaar voor integriteit en vertrouwelijkheid, want ook kwaadwillenden kunnen die mechanismen gebruiken. Vranken: ‘Het technische deel van cybersecurity is uitermate complex: elk hardware- en software onderdeel moet veilig zijn. Dat krijgen wij nu niet voor elkaar. Daarnaast is er de menselijke factor: gebruikers kiezen voor de makkelijkste weg en doen vaak dingen die ze niet moeten doen, bewust of onbewust. Ze onderschatten bijvoorbeeld de noodzaak van een sterk wachtwoord dat voor elke website anders moet zijn. Cybercriminelen profiteren daarvan. Zo maken ze gebruik van “spear phishing”. Daarbij krijg je specifiek op jou toegeschreven e-mails die inspelen op jouw persoonlijke situatie, waardoor je sneller geneigd bent de mail te vertrouwen. En tenslotte is er de wet- en regelgeving die altijd achterloopt op de technische ontwikkelingen. Ook cybercriminelen maken gebruik van de modernste technologie, zoals nu bijvoorbeeld AI. Bovendien kunnen zij vanaf elke plek ter wereld aanvallen. De pakkans is daardoor niet groot. Naast cybercriminelen die vooral uit zijn op geld, hebben we in toenemende mate ook te maken met hackers die werken in opdracht van overheden van bijvoorbeeld Rusland, China en Noord-Korea. Zij zijn uit op spionage en het ontwrichten van onze samenleving.’
Hoe kunnen we cybersecurity verbeteren?
Meteen maar een disclaimer: cybersecurity zal nooit 100% waterdicht zijn. Maar individuen, bedrijven en overheden kunnen wel maatregelen nemen die het kwaadwillenden lastiger maken. ‘Belangrijk is het probleem bij de wortels aan te pakken’, zegt Vranken. ‘En het te benaderen vanuit meerdere disciplines. Dat betekent de laatste technieken implementeren, cybersecurity inbedden in alle managementlagen van een organisatie, rekening houden met menselijk gedrag en op het gebied van wet- en regelgeving cybercrime ontmoedigen, opsporen en straffen.’
Als individu draag je zelf de verantwoordelijkheid om je systemen zo goed mogelijk te beschermen, bijvoorbeeld door een firewall en virusscanner te installeren. Overheden en organisaties die werken met gevoelige informatie of zorg dragen voor kritische infrastructuren zoals de elektriciteitsvoorziening, moeten beduidend verdergaande maatregelen nemen. Vranken: ‘Je moet de drempel voor kwaadwillenden hoger maken naarmate de impact van een hack groter is. Cybersecurity is in feite risicomanagement. Soms kun je vergaande maatregelen nemen, zoals het verbod dat premier Schoof oplegde om smartphones en andere apparatuur mee te nemen in officiële overleggen van kabinetsleden. Maar dat is een uitzondering, want onze samenleving digitaliseert alsmaar verder en we worden steeds afhankelijker van IT-systemen. Tegelijkertijd moeten we beseffen dat we vrij weerloos zijn tegen slinkse praktijken van cybercriminelen en geavanceerde middelen waarover staatshackers beschikken. Het is daarom niet zozeer de vraag of je gehackt wordt, maar wanneer je gehackt wordt. Dat vereist een andere denkwijze. We moeten niet alleen drempels verhogen om aanvallers buiten de deur te houden, maar ook om de impact te beperken en goed en snel te kunnen herstellen van een hack. Ook dat vraagt om een multidisciplinaire aanpak. Cybersecurity is een veelkoppig monster, waar we de komende jaren onze handen vol aan zullen hebben.’