Sinds vrijdag 12 mei worden we opgeschrikt door een wereldwijde cyberaanval van ongekende omvang. Volgens Europol zijn zeker 200.000 mensen in minstens 150 landen al slachtoffer geworden. Op maandag zullen er meer slachtoffers bijkomen wanneer mensen na het vrije weekend weer aan het werk gaan en hun computer of laptop aanzetten.
Zogenaamde ransomware of in gewoon Nederlands; gijzelsoftware onder de naam “Wannacry”, infecteert vanaf vrijdag de computersystemen van vele bedrijven, instellingen en particulieren in tientallen landen. Zo zijn in Engeland en Schotland ziekenhuizen getroffen, in Duitsland de spoorwegen, in Spanje telecombedrijf Telefonica. In Frankrijk kwamen productiecentra van Renault stil te liggen. Het Russische Ministerie van Binnenlandse Zaken en vervoersbedrijf FedEx werden besmet. Verder kwamen er meldingen uit Italië, Zweden, de Verenigde Staten, China, Vietnam en Taiwan. Het Nationaal Cyber Security Centrum(NCSC) heeft waarschuwingen uitgestuurd naar vitale sectoren, zoals gas-, water-, en elektriciteitsvoorziening en ziekenhuizen. In Nederland bleef de schade dit weekend vooralsnog beperkt tot de melding dat de geldautomaten van het parkeerbedrijf Q-Park waren getroffen door de ransomware-aanval.
Cyberaanvallen zijn inmiddels aan de orde van de dag. Wen er maar aan. Voorlopig zullen deze blijven terugkeren. In Nederland zijn in een jaar tijd al veel gemeenten, zorginstellingen en bedrijven het slachtoffer geworden. Ook burgers hebben steeds meer last van cybercriminaliteit.
De grootschalige cyberaanval waar we nu mee te maken hebben, laat zien hoe kwetsbaar we als samenleving zijn geworden. Dit was nog maar een aanval van een bende goed georganiseerde criminelen. Wat te denken als vijandige staten een gerichte aanval doen op onze vitale infrastructuur.
Belangrijke vraag is hoe we als samenleving ons het beste kunt wapenen tegen dit soort cyberaanvallen?
Ronald Prins van Fox-IT pleitte voor meer investeringen in cyber security. Hij adviseert het nog te formeren kabinet om ‘cybersecurity’ serieus te nemen. Volgens hem besteedt Groot-Brittannië zo’n 6,5 miljard euro aan cybersecurity terwijl dit in Nederland slechts een 100 miljoen euro per jaar zou zijn.
Het pleidooi voor meer investeringen in cybersecurity is terecht. Maar meer geld is nog geen garantie voor een goede investering in het effectief bestrijden van cyberaanvallen en cybercriminaliteit.
De overheid heeft als hoeder van de openbare orde en veiligheid, een belangrijke verantwoordelijkheid voor de veiligheid op het internet. Maar zij kan dit niet alleen. Als samenleving; overheden, bedrijven, instellingen, werknemers en burgers, hebben we zowel gezamenlijk als ook afzonderlijk een eigen verantwoordelijkheid. We maken allemaal dagelijks gebruik van het internet en maken daarbij keuzes hoe veilig we willen internetten, op welke links we klikken, of we onze (beveiligings) software up-dates tijdig installeren en back-ups maken van onze bestanden.
Tegelijkertijd laat de praktijk zien dat we vaak onvoldoende weten hoe we ons beter kunnen wapenen tegen cyberaanvallen. Naast een gebrek aan middelen is er een enorm gebrek aan kennis en bewustzijn van de gevaren van cybercriminaliteit. Veel MKB ondernemers hebben geen flauw idee waar te beginnen. Helaas is dit gebrek aan kennis niet beperkt tot kleine ondernemers. Ook grotere bedrijven, zorginstellingen, woningcorporaties, onderwijsinstellingen zijn zoekende naar een goede en effectieve aanpak.
Een voorbeeld van zo’n effectieve aanpak is de Informatiebeveiligingsdienst voor gemeenten(IBD). Er is in de afgelopen tijd wel eens schamper gedaan over gemeenten die hun zaken niet op orde hadden en daardoor getroffen werden door cyberaanvallen en datalekken. Onlangs was de Autoriteit Persoonsgegevens nog zeer kritisch richting gemeenten. Internet deskundige Brenno de Winter wijst er in zijn Blog terecht op dat gemeenten niet helemaal recht worden gedaan. Ja, er is bij een groot aantal gemeenten nog veel te verbeteren. Tegelijkertijd hebben de gemeenten, vanuit de VNG, wel samen een organisatie opgezet, de IBD, die als voorbeeld kan dienen voor andere sectoren. Alle gemeenten zijn verplicht aangesloten bij de IBD. De IBD geeft een handboek uit in de vorm van de Baseline Informatiebeveiliging Gemeenten, geeft advies en voorlichting, werkt aan normenkaders en coördineert bij incidenten. Als er ergens een nieuw internetvirus wordt gesignaleerd of een lek in bepaalde software, dan worden de contactpersonen binnen de gemeenten hierover onmiddellijk geïnformeerd, inclusief adviezen hoe te handelen.
De aanpak van de VNG stelt grote en kleine gemeenten in staat om in gezamenlijkheid cybersecurity op een professionele wijze op te pakken.
Zo’n aanpak bepleit ik ook voor organisaties in de zorg, het onderwijs en de diverse branches en sectoren in het bedrijfsleven en het MKB. Organisaties en bedrijven bundelen de krachten per sector/branche door de opzet van een sector/branche specifieke cyber security centrum en een op de eigen beroepsgroep toegespitst handboek informatieveiligheid.
Alle afzonderlijke sector/branche specifieke cyber security centra werken weer samen met elkaar en het Nationaal Cyber Security Centrum.
Nu we toch bezig zijn met het inrichten van de cybersecurity organisatie in Nederland, zou het ook wel heel wenselijk zijn dat cybersecurity op nationaal niveau onder één ministerie zou vallen in plaats van de huidige versnippering onder de ministeries van Justitie, Binnenlandse Zaken, Economische Zaken en Defensie.
Laten we de grootschalige cyberaanval waar we nu mee te maken hebben, goed benutten door als overheid en bedrijfsleven, vanaf heden de handen ineen te slaan, de krachten te bundelen en gezamenlijk echt als Nederland te gaan investeren in cybersecurity.
Ad Koppejan