Column Laura van Geest in FD over digitale weerbaarheid

Toen Rusland Oekraïne binnenviel, waren we in het Westen misschien niet zozeer bevreesd voor tanks als wel voor cyberaanvallen. De James Bond-films met ‘007’ zijn nog steeds geheide kaskrakers, maar in werkelijkheid is spionage meer het domein van computerexperts dan van mensen met een license to kill. Politieke beïnvloeding – of het nu Brexit of de Amerikaanse presidentsverkiezingen betreft – verloopt via geraffineerde campagnes op sociale media. In de criminele sfeer blijven overvallen aan de orde van de dag, maar er worden meer systemen gegijzeld dan mensen. Het losgeld wordt betaald in crypto’s.

Gelegenheid maakt de dief

Volgens het Global Security Outlook Report 2023 verwacht internationaal 43% van de ceo’s dat in de komende twee jaar een cyberaanval hun organisatie wezenlijk zal raken. De toenemende digitalisering (denk ook aan de toename in thuiswerken sinds de pandemie) schept meer mogelijkheden, en gelegenheid maakt de dief. De verdachten kunnen worden gezocht bij ‘statelijke partijen’ en criminele organisaties. Dankzij geopolitieke spanningen en fragmentatie worden statelijke actoren steeds actiever. Zo kan Nederland zich verheugen in de ongevraagde aandacht van Rusland, China, Iran en Noord-Korea.

De opkomst van ‘cybercrime as a service’ maakt dit type criminaliteit laagdrempelig. Op het dark web staan gewoon ‘hackpakketten’ te koop. In de woorden van het Cybersecurity Beeld 2022 van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV): cybercriminaliteit is industrieel schaalbaar, weerbaarheid nog niet.

De oplossing lijkt simpel. Digitale veiligheid moet hoger op de agenda komen te staan, bij overheden, bij sectoren en bij individuele organisaties. Van drinkwaterbedrijven tot Rijkswaterstaat, van de financiële sector tot het wetenschappelijk onderwijs. Uit welbegrepen eigenbelang. Alleen zo kunnen we voorkomen dat de wedloop tussen digitale dreiging en weerbaarheid uitloopt op ontwrichting. En ja, digitale weerbaarheid staat steeds meer in de belangstelling. Eind maart vond een grote cyberoefening bij de universiteiten plaats, en de vernieuwde Corporate Governance Code verleent in ieder geval lippendienst aan het onderwerp. TikTok is niet langer toegelaten op de mobiele telefoons van rijksambtenaren. Maar is het genoeg?

Op het bordje van bestuurder

In ieder geval moet digitale weerbaarheid verschuiven van enkel het bordje van de expert naar ook dat van de bestuurder. De belangen zijn ernaar. Een hack van de Colonial Pipeline in de Verenigde Staten verstoorde zes dagen lang olieleveranties naar de Amerikaanse Oostkust, met hamsteren tot gevolg. En in Nederland waren websites van de GGD een dag onbereikbaar na DDoS-aanvallen op de toeleverancier van DigiD.

Maar het zal even wennen zijn, want cyberexperts en bestuurders spreken elkaars taal nog niet helemaal. En omdat de cyberexperts maar matig in staat zijn de effectiviteit van hun programma’s te meten, is het lastig vechten voor budget, althans totdat het leed is geschied. Bij de financiële sector is wetgeving de stok achter de deur. De Europese Unie heeft met de Digital Operational Risk Act (DORA) de bestaande lappendeken aan regels vervangen en verbeterd. De risico’s zijn immers groot. Niet bij je geld kunnen, of het stilvallen van dienstverlening kan het vertrouwen van de consument in een bank of financiële dienstverlener schaden. Door de verwevenheid binnen het financiële stelsel kan het probleem van de één leiden tot besmetting van andere spelers. Wat als fake news over een grote bank tot een bankrun leidt? Als achtervang onmogelijk blijkt bij een cruciale dienstverlener – en concentratie is een feit – kunnen zelfs stabiliteitsrisico’s optreden.

Met de inwerkingtreding van DORA gaan meer financiële instellingen te maken krijgen met het onderwerp. Digitale vaardigheden worden een onderwerp bij de toetsingen van beleidsbepalers, cyber een standaard onderdeel van het risicobeheer, incidenten moeten worden gemeld en er komen meer oefeningen. Want weerbaarheid op papier is leuk, maar bij een levensechte exercitie blijkt papier toch vooral geduldig. In aanvulling gaat de Europese Commissie toezicht houden op toeleveranciers van cruciale ICT- diensten.

Digitale weerbaarheid heeft de aandacht, maar het tempo moet echt omhoog. Bestuurders kunnen dit thema niet langer van zich afschuiven en overlaten aan de expert. Het DORA-raamwerk kan praktische inspiratie bieden hoe de zaken aan te pakken. (Beter goed gejat...) Of willen we liever afwachten en straks klagen over incidenten, incidentenpolitiek en de onvermijdelijk volgende regelreflex?