Om Nederland ook in de toekomst een open, vrije en welvarende samenleving te laten zijn moet het nieuwe kabinet ingrijpen. Onze digitale veiligheid en digitale autonomie staan onder druk en daarmee ons maatschappelijk en economisch welzijn. De cyberweerbaarheid van ons land moet 'chefsache' (zeer belangrijke kwestie) zijn.
Daarom verdient het regie op het hoogste politieke- en ambtelijke niveau en een aanpak waarbij publiek, privaat en wetenschap elkaar versterken. Nederland moet de krachten bundelen en werken aan één cyberweerbaarheidsstrategie met een meerjarenprogramma zodat we onze ambities kunnen verwezenlijken, ons kunnen wapenen tegen cyberaanvallen en onze digitale autonomie kunnen verstevigen. Hiervoor is een investering nodig van €833 miljoen, bovenop de huidige uitgaven en budgetten voor cyberweerbaarheid.
Conclusie Cyber Security Raad
Dat is de conclusie van de Cyber Security Raad (hierna de raad) uit het CSR Adviesrapport ‘Integrale aanpak cyberweerbaarheid’ dat vandaag is gepubliceerd. Alleen met een integrale aanpak en de gevraagde investeringen voor cyberweerbaarheid kunnen we in Nederland beschermen wat ons dierbaar is.
Digitale veiligheid moet op het hoogst bestuurlijke niveau worden belegd zodat het daadwerkelijk chefsache wordt. Op dit moment is de cyberweerbaarheidsketen in Nederland niet op alle punten even sterk. Hierdoor ontstaan er lacunes en gebreken waardoor de cyberweerbaarheid van Nederland op diverse onderdelen zwakheden vertoont. Cybercriminaliteit in Nederland neemt steeds verder toe en de georganiseerde misdaad en statelijke actoren vormen een permanente dreiging. Ook is er sprake van een groeiende afhankelijkheid van grote buitenlandse marktpartijen. Hierdoor kunnen we niet altijd garanderen dat wij de enigen zijn met toegang tot onze vitale systemen en data. Er staat dus veel op het spel.
Integrale aanpak cyberweerbaarheid
De raad roept het komende kabinet daarom op om in te zetten op een integrale aanpak van onze cyberweerbaarheid. Publiek-private samenwerking is daarbij essentieel. Voor de veiligheid van ons land, de economie en maatschappij is het cruciaal dat cyberweerbaarheid topprioriteit krijgt. Digitale veiligheid moet chefsache zijn, zowel bij de overheid als het bedrijfsleven.
Het CSR Adviesrapport ‘Integrale aanpak cyberweerbaarheid’ bevat concrete (strategische) en op korte termijn te nemen maatregelen om onze cyberweerbaarheid zo snel mogelijk op het noodzakelijke niveau te krijgen, inclusief de benodigde investeringen hiervoor. In het advies staan vijf speerpunten centraal, te weten regie op samenwerking en informatiedeling, weerbare vitale processen, versterking onderzoek en onderwijs, realiseren van cybercrime-handhavingsketen en zorgplicht van leveranciers voor veilige producten en diensten voor burgers, bedrijfsleven en overheid.
Samenwerking
Cyberweerbaarheid moet chefsache zijn en het nieuwe kabinet is aan zet. De raad adviseert het nieuwe kabinet om in plaats van een Minister Digitale Zaken direct een ministeriële onderraad digitale zaken in te richten, waar cyberweerbaarheid en digitale autonomie integraal aan de orde wordt gesteld. Deze onderraad moet steunen op een interdepartementale strategische overlegkoepel, met daarin alle ministeries die raakvlakken hebben met cyberweerbaarheid. Er moet één cyberweerbaarheidsstrategie komen, inclusief een meerjarenprogramma. Op basis hiervan moet het budget worden verdeeld zodat de betrokken overheidsorganen hiermee hun werk kunnen inrichten.
De raad adviseert daarnaast het nieuwe kabinet om voor de langere termijn te verkennen hoe het besturingsmodel zo kan worden ingericht dat overheden, inclusief de decentrale overheden, bedrijfsleven en wetenschap gezamenlijk kunnen werken aan één nationale cyberweerbaarheidsstrategie. Omdat hiervoor naar alle waarschijnlijkheid wetswijziging nodig is, vraagt dit meer tijd.
Informatiedeling
Ook de informatiedeling over cyberdreigingen moet worden verbeterd. Een van de belangrijkste instrumenten om de cyberweerbaarheid van organisaties en burgers te verhogen, is hen snel te informeren wanneer hun IT-systemen kwetsbaarheden vertonen of gehackt zijn. De infrastructuur hiervoor moet snel worden verbeterd. Voor een effectieve, integrale aanpak van dit complexe probleem is een versterking en verbetering van de samenwerking tussen publiek, privaat en wetenschap op tactisch en operationeel niveau cruciaal. Het vraagt om een gezamenlijke inspanning om tot oplossingen te komen. Informatiedeling over cyberdreigingen en -kwetsbaarheden is daarbij een belangrijk onderdeel van de oplossing. Daarom pleit de raad voor een snellere vorming van een volwassen landelijk dekkend stelsel van informatieknooppunten (LDS).
Een veilige basis
Om te zorgen dat burgers, bedrijven en overheid minder kwetsbaar zijn in het digitale domein, pleit de raad voor extra aandacht en steun voor onze vitale processen en het verhogen van de snelheid waarmee deze cyberweerbaar wordt gemaakt. Dit beperkt de kans en impact van cyberaanvallen op het hart van de maatschappij. Iedereen moet kunnen vertrouwen op de digitale veiligheid van ICT-producten en -diensten. De raad adviseert daarom extra aandacht voor zorgplichten voor veilige hard- en software. Samen met gerichte handvatten en informatie biedt dit ondersteuning om burgers en mkb digitaal vaardiger en veiliger te maken.
Versterken cybercrime-handhavingsketen
Cybercriminelen mogen niet langer vrijuit gaan. De handhavingsketen op cybercrime dient aanzienlijk te worden versterkt. De capaciteit van reeds betrokken partijen, zoals de Nationale Politie, Openbaar Ministerie Koninklijke Marechaussee, moet snel uitgebreid worden en publiek-private samenwerking moet structureel worden ingericht en gesteund.
Kennispositie
Er wordt in Nederland onvoldoende geïnvesteerd in onderzoek, onderwijs en innovatie voor onze cyberweerbaarheid. Dit heeft als gevolg dat wetenschappelijk en maatschappelijk Nederlands cybertalent vertrekt naar het buitenland (braindrain) en dit draagt verder bij aan het huidige tekort aan voldoende gekwalificeerde specialisten in het cybersecuritydomein. Nederland moet inzetten op een ecosysteem waarin op hoog niveau onderzoek naar cyberweerbaarheid wordt uitgevoerd en gevaloriseerd. Door gerichte investeringen in onderzoek, start-ups en een cybercurriculum in relevante opleidingen kan de huidige academische braindrain een halt worden toegeroepen en kunnen we beschikken over voldoende gekwalificeerd personeel. Zo bouwen we aan een Nederland dat zelf de kennis in huis heeft om ook in de toekomst digitale dreigingen af te slaan. Ook adviseert de raad om in het curriculum van het primair en voortgezet onderwijs met spoed digitale geletterdheid in te voeren en dit onderwerp los te koppelen van een algehele herziening van het curriculum.
Over dit adviesrapport
De raad heeft het CSR Adviesrapport ‘Integrale aanpak cyberweerbaarheid’ opgesteld in opdracht van de (nu demissionair) minister van Justitie en Veiligheid. De raad is gevraagd advies uit te brengen over de benodigde investeringen in cybersecurity voor de komende kabinetsperiode. Dit is vertaald naar een advies over een integrale aanpak voor cyberweerbaarheid, inclusief maatregelen en investeringen die het komende kabinet in Nederland moet nemen. Daarbij is de raad ondersteund door Deloitte. Nog niet eerder is in Nederland op deze wijze integraal onderzoek gedaan naar de benodigde verbeteringen en investeringen in cyberweerbaarheid; publiek, privaat en wetenschap hebben samengewerkt aan dit advies. Voor de positionering van Nederland is ook gekeken naar hoe andere vergelijkbare landen de aanpak voor cyberweerbaarheid invullen en zijn succesvolle voorbeelden benoemd.
Bron: cybersecurityraad.nl
Meer info over ‘Cybercrime’?
Tips of verdachte activiteiten gezien? Meld het hier.
Gerelateerde berichten
Desastreuze gevolgen door 'Welkom2020'
Door een samenloop van omstandigheden was de beveiliging van IT-systemen en servers bij de gemeente 'Hof van Twente' niet op orde. Audits die werden uitgevoerd door externe bedrijven leverden geen signalen op dat er iets mis was met de beveiliging. Een recente penetratietest (ethische hack test) zag een zwak wachtwoord over het hoofd, waardoor de daders het netwerk van de gemeenten konden binnendringen. Maar er waren meerdere beveiligingszaken die niet goed waren geregeld.
"We zien dat bij die aanvallen vaak vier-tot vijfduizend keer in een paar uur wordt aangevallen"
Meerdere zorginstelling in Nederland, België en Frankrijk zijn de afgelopen weken slachtoffer geworden cybercrime. Secutec Nederland ziet een toename van phishing en ransomware-aanvallen in de afgelopen tijd. "En het is heel specifiek op de zorgsector gericht."
"Het is vrijwel zeker minimaal 1200 servers geïnfecteerd"
De gevolgen van de kwetsbaarheden in Microsoft Exchange Server zijn groot voor Nederlandse organisaties en bedrijven. Het NCSC constateert dat er als gevolg van deze kwetsbaarheden data wordt gestolen, malware wordt geplaatst, achterdeurtjes worden ingebouwd en mailboxen worden aangeboden op de zwarte markt. Via de Microsoft Exchange server kunnen kwaadwillenden mogelijk ook in andere systemen komen.
In Nederland zijn nog 1600 Exchange servers kwetsbaar voor aanvallen!
Het is een pittige tijd in cybersecurity land. Misschien wel de zwaarste ooit. Alleen al in de afgelopen drie maanden zijn er meer dan twaalf zero-days ontdekt waarbij talloze organisaties over de hele wereld zijn getroffen.
"Het wordt steeds groter en is veelkoppig"
Het Openbaar Ministerie maakt zich zorgen over de explosieve toename van cybercriminaliteit in 2020. Internetoplichting, identiteitsfraude en het aantal verdachten van cyberdelicten stegen afgelopen jaar enorm. Om burgers en organisaties beter te beschermen tegen cybercriminelen, moeten ze weerbaarder worden gemaakt. Ook moet er ingezet worden op intensieve opsporing en vervolging van daders.
Microsoft Exchange cyberaanval: "Alleen Patchen van Exchange niet voldoende"
De afgelopen dagen zijn enorm veel cyberaanvallen gesignaleerd door een opening in 'Microsoft Exchange servers'. Deze lek was al enige tijd bekend, maar de laatste dagen is zichtbaar geworden dat cybercriminelen hier massaal gebruik van willen maken of al gemaakt hebben.