'Cybersecurity is niet te versnipperd'
'De ICT-keten heeft geen centrum, maar is een samenspel van ongelijke schakels', schrijft columnist Chris van 't Hof. 'Daar kun je geen regie over uitoefenen.'
De periode na de zomer zat vol met cybersecuritycongressen. Eind september was de Hague Security Week, met daarin meer dan honderd evenementen. Het grootste was de Europol-INTERPOL Cybercrime Conference. Daar bleek het project nomoreransome.org, ooit opgezet door Interpol en de Nederlandse politie, te zijn uitgebreid naar 119 partners. Ook groots waren de Global Cyberlympics, de mondiale hackwedstrijd die, alweer, werd gewonnen door de Nederlandse groep hack.ers.
De gemeente Den Haag zelf pakte tijdens deze week groots uit met een Hague Bug Bounty Challenge. Cybersecuritybedrijf Cybersprint had veertig hackers geregeld die live in het stadhuis losgingen op de site denhaag.nl. Na afloop deelde de wethouder dikke prijzen uit voor gevonden kwetsbaarheden.
Vervolgens hadden we twee weken Alert online, de cybersecurity-awareness-campagne. Vast onderdeel is Holland Strikes Back en ook dit jaar trok dit congres weer veel goede sprekers en honderden bezoekers. Het grootste evenement was het Dcypher-symposium, waar vierhonderd mensen uit het bedrijfsleven, de academische wereld en de overheid een dag lang op allerlei manieren cybersecuritykennis deelden.
Ook in de landelijke politiek werd er flink gecyberd
In den lande deden ziekenhuizen, gemeenten, waterschappen en scholen mee met eigen cybersecurityevenementen. In Rotterdam is bovendien de Cyberwerkplaats opgericht, waar jongeren die niet zo goed op school zijn maar wel veel met computers kunnen, worden opgeleid tot hacker.
Tijdens al dit evenementengeweld werd ook in de landelijke politiek flink gecyberd. In de troonrede hoorden we Willem-Alexander maar liefst drie keer het woord ‘cyber’ gebruiken, gevolgd door beloften voor meer investeringen.
Die werden waargemaakt in het regeerakkoord: 95 miljoen extra, veel wetswijzigingen en een aantal nieuwe samenwerkingsverbanden. Zo gaat onze cyberdefensie flink uitbreiden en worden mkb’ers bijgestaan door een Digital Trust Center.
Het enige wat je kunt doen, is goed samenwerken zonder dat er een de baas is, want anders gaat de rest afwachtend achterover hangen.
Een jaarlijkse traditie is dat er dan wordt gemopperd dat cybersecurity te versnipperd is en dat de overheid meer regie moet voeren. Ik ben het daar niet mee eens. Cybersecurity is een sector met een groot zelforganiserend vermogen. Inherent aan de complexe ICT-keten is dat er geen centrum is, maar een samenspel van ongelijke schakels. Daar kun je geen regie over uitoefenen. Het enige wat je kunt doen, is goed samenwerken zonder dat er een de baas is, want anders gaat de rest afwachtend achterover hangen.
Iets wat verder opviel: voorgaande jaren gingen deze cyberevenementen vooral over bewustwording; over wat voor cyberellende ons kan overkomen. Mede dankzij omvangrijke incidenten als Wannacry en Petya is dat bewustzijn er inmiddels wel. Nu zie ik veel capaciteitsopbouw, zowel technisch als organisatorisch.
Hopelijk gaan al die cybersecurityevenementen volgend jaar niet weer allemaal in dezelfde maand zitten
De volgende fase lijkt mij dat organisaties meer verantwoordelijkheid nemen voor hun plek in de keten. Zodat ze niet alleen hun eigen veiligheid op orde hebben, maar bij incidenten ook om zich heen kijken om te zien wie er elders in de keten zit, zodat ze daarmee samen kunnen optrekken. Ook dat zie ik gebeuren, onder andere tussen banken, energiebedrijven, in de haven en op Schiphol.
Hopelijk nemen deze partijen ook hun verantwoordelijkheid in de keten van cybersecurityevenementen en gaan ze volgend jaar niet weer allemaal in dezelfde maand zitten. Dan kunnen we ook in de winter en het voorjaar lekker doorcyberen.
Chris van ‘t Hof is internetsocioloog, schrijver en presentator.