Geen producten in de winkelwagen.
Dat blijkt uit het onderzoek Een nooit gelopen race van het Rathenau Instituut, de onafhankelijke organisatie die door het ministerie van Onderwijs, Cultuur en Wetenschappen is ingesteld om onderzoek te doen op het gebied van wetenschap, techniek en innovatie. Op verzoek van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) onderzocht het Instituut de cyber security onder burgers, bedrijven en overheid.
Daar valt nog een hoop op aan te merken, zo legt onderzoeker Geert Munnichs uit. ‘Het besef dat het internet gevaarlijk is leeft wel, maar wat bedrijven ertegen moeten doen weten ze vaak niet.’
Laten we dan bij het begin beginnen. Wat kunnen bedrijven doen tegen hackers?
‘Het begint bij de basis: het maken van back-ups, instellen van sterke wachtwoorden en installeren van software updates. Vaak gaat het daar al mis: veel burgers, maar ook bedrijven hebben dit soort zaken al niet eens op orde. Veel hackers weten dat en slaan toe met bijvoorbeeld ransomware, waarmee bestanden gehackt en vergrendeld worden. Bedrijven kunnen hun informatie terugkrijgen in ruil voor veel geld. Als je regelmatig een back-up maakt van belangrijke gegevens, hoeft dat geen probleem te zijn. Maar dan moet je dat wel als bedrijf op orde hebben.’
RTL Nieuws kwam laatst met een onderzoek waaruit bleek dat de software die stemmen telt tijdens de Verkiezingen niet eens geüpdatet wordt. Is het echt zo slecht gesteld met de cybersecurity in Nederland?
‘Nederland is een van de meest gedigitaliseerde landen ter wereld: 90 procent van de huishoudens en bedrijven heeft toegang tot het internet. Ik zal je een voorbeeld geven van hoe slecht het eraan toe was een aantal jaar geleden: DigiNotar, het bedrijf dat verantwoordelijk was voor de beveiliging van overheidswebsites, had in 2011 zijn eigen beveiligingssoftware niet geüpdatet. Door dat soort berichten sla je steil achterover, maar het toont aan hoe wijdverbreid het gebrek aan veiligheid is.’
Hoe is het mogelijk dat dit de aandacht van bedrijven niet weet te vangen?
‘Het heeft te maken met cognitieve dissonantie, of kennisasymmetrie zoals wij het noemen: mensen weten dat het nodig is, maar geven er geen prioriteit aan. Je ziet dit met name in de MKB. Er is besef dat het gevaarlijk kan zijn, maar zicht op specifieke risico’s is er niet. Dan krijgt zo’n onderwerp niet de aandacht die het verdient. Ook speelt het gebrek aan kennis mee: als je al weinig weet over de risico’s, hoe kies je dan de maatregelen?’
‘In ons rapport adviseren we een onafhankelijk kennis- en adviescentrum waar bedrijven bij terecht kunnen. Er komen steeds meer beveiligingsproducten en diensten op de markt, maar het is lastig om daaruit te kiezen. Hulp is daarbij nodig.’
Wat zijn de grootste gevaren op het internet?
‘Hackers uit Rusland en China vormen de grootste bedreiging. Dat klinkt voor sommige mensen als een ver van je bed show, maar de AIVD heeft verschillende aanwijzingen dat dit op grote schaal wordt gebruikt. De AIVD kan daar maar beperkt onderzoek naar doen, vanwege beperkte capaciteit en beperkte bevoegdheden onder de huidige wetgeving. om naar dit soort patronen te kijken. Een wet voor meer bevoegdheden is recentelijk door de Tweede Kamer goedgekeurd en moet nu door de Eerste Kamer. Tegenstanders zien echter een grote inbreuk op privacy, omdat de AIVD dan écht overal mag meekijken, zowel bij bedrijven als individuen.’
‘Chinese hackers maken veel gebruik van cyberspionage voor economische doelen, terwijl in Rusland meer politieke hacks worden uitgevoerd. Vooral de Chinezen zijn dus een gevaar voor veel bedrijven, omdat je niet merkt dat ze in jouw informatie rondkijken. Dat kan ten koste gaan van je innovatie- en concurrentievermogen en funest zijn voor je bedrijf op de lange termijn.’
Zijn er sectoren waar al veel aandacht besteed wordt aan beveiliging?
‘Als je kijkt naar de rest van de wereld zie je dat Nederland in een aantal opzichten vooroploopt. Er bestaan zogenoemde Information Sharing and Analysis Centres (ISAC) waarin bedrijven uit de publieke en private sector samenwerken om veiligheid te creëren. De financiële sector speelt daarbij een belangrijke rol, evenals elektriciteits- en drinkwatervoorziening. Dat is redelijk uniek: door ons polder klimaat zijn we sneller geneigd om vertrouwelijke bedrijfsinformatie met elkaar uit te wisselen om zaken te verbeteren.’
‘De financiële sector heeft ook alleen individueel veel betekend voor de internetveiligheid. De manier waarop zij internetbankieren veel veiliger hebben gemaakt is te prijzen. Natuurlijk kun je daar tegenin brengen dat zij ook wel móéten: het gaat immers om zeer gevoelige informatie. Maar als je je bedenkt dat in de zorg nog steeds veel bedrijven hun zaken niet op orde hebben, kun je je afvragen waarom zij die vertrouwelijke informatie niet beter beschermen.’
Zodra de basis op orde is, wat kunnen bedrijven dan nog meer doen om hun gegevens te beveiligen?
‘Er is een heel scala aan maatregelen die getroffen kunnen worden. Dat varieert van het versleutelen van gegevens tot maatregelen voor detectie en respons, waarbij afwijkende patronen in het internetverkeer die kunnen duiden op hackers opgespoord kunnen worden. Een andere, redelijk toegankelijke maatregel is een dubbele authenticatie: een wachtwoord in combinatie met een sms-code. Daar loop je alleen tegen de gebruiksvriendelijkheid aan, waardoor bedrijven het minder interessant vinden.’
‘Een andere maatregel waar steeds meer grote bedrijven gebruik van maken is het doen van een hacktest. Ethische hackers leggen de zwakke plekken in software van een bedrijf bloot, zodat het bedrijf die kan verbeteren. Wij bevelen bedrijven aan een jaarlijkse test te laten uitvoeren. Hoe snel kan iemand binnendringen, hoe snel is dat op te merken door een bedrijf? Door snelle technologische veranderingen kunnen aanvalsmethoden binnen korte tijd veranderen. Met een hacktest kun je daarop inspelen.’
