De huidige cybersecurity-aanpak werkt niet. Aldus de strekking van mijn blog, enkele jaren geleden. Helaas heb ik de afgelopen jaren geen serieuze verbetering van de situatie kunnen waarnemen. Integendeel. Blijkbaar leren wij niet van ‘lessons learned’ en lijkt het in de huidige cybersecuritywereld alleen maar te draaien om het genereren van business .
In de afgelopen jaren is bijna elke organisatie die enige affiniteit heeft met it (informatietechnologie) zich gaan richten op cybersecurity. Het was ‘hot’ en zorgde voor (extra) business. Grote accountancybedrijven tuigden cybersecurity risk & advisory-teams op, die uit pasafgestudeerde jonge mensen bestonden en werden ‘vermarkt’ als cyberadviseur. Internationale it-netwerkbedrijven begonnen met het ontwikkelen en het op de markt brengen van netwerksecurityoplossingen (lees: firewalls) en bekende softwarebedrijven begonnen met de ontwikkeling van specifieke softwareoplossingen voor cybersecurity, vaak initieel om hun eigen producten (lees: cloud) te beveiligen. Sommige bedrijven gebruikten zelfs het buzzword ‘ai’ (artificial intelligence) als de basis voor hun oplossingen en dat terwijl er tot op de dag van vandaag nog geen echte ai-cybersecurityoplossingen zijn – want machine learning is niet hetzelfde als ai.
Dit is dus een probleem.
Minimaal verschil
Dit alles heeft geleid tot een situatie waarbij er wereldwijd enkele duizenden cybersecurityaanbieders zijn, ieder met een eigen ‘point-oplossing’, die vaak minimaal verschilt qua functionaliteit van andere aanbieders. Voorbeelden hiervan zijn de hoeveelheid verschillende aanbieders van endpoint-beschermingsoplossingen, firewalls en siem’s. De eindgebruiker wordt dagelijks overladen door cybersecurityaanbieders met ‘sales pitches’ via directe kanalen en sociale media. Hierdoor ontbreekt het overzicht en heeft de eindgebruiker uiteindelijk geen idee wat de juiste manier is om de organisatie adequaat te beveiligen.
Dit is dus een probleem.
Geen samenwerking
Naast dat er veel aanbieders zijn, is de concurrentie tussen deze cybersecurity-aanbieders ook enorm. Kijk alleen maar naar de hoeveelheid cybersecurity evenementen/webinars die worden georganiseerd. Vandaag (29 oktober), op het moment van schrijven, vinden alleen al in Nederland al vijf verschillende cybersecurity-webinars op hetzelfde tijdstip plaats. Althans, dit zijn de vijf webinars die mij bekend waren. Van enige coördinatie, afstemming en samenwerking is geen sprake. En dat is nu juist iets dat de cybercriminelen wél doen: samenwerken.
Dit is dus een probleem.
Aanvalsoppervlakte
De afgelopen jaren zijn de cyberaanvallen niet afgenomen. Sterker, door een steeds complexere wereld met daarin een exponentiële groei van iot (internet of things)-apparaten, de invoering van 5G, het opschalen van cloud computing en de toepassing van machine learning (door sommigen ‘ai’ genoemd), wordt het aanvalsoppervlakte voor de cybercriminelen steeds groter. Hierdoor wordt het voor cybersecurityprofessionals moeilijk hun organisaties adequaat te beveiligen, zeker als zij alleen de beschikking hebben over niet-geïntegreerde en niet-geautomatiseerde ‘point-productoplossingen’, terwijl de aanvallers wel geïntegreerd en geautomatiseerd aanvallen en dit onderling coördineren. Het gevolg is een toename van het aantal succesvolle cyberaanvallen.
Dit is dus een probleem.
Niet serieus
Tot slot baart het zorgen dat cybersecurity nog steeds niet serieus genoeg wordt genomen in de politiek en bij publieke organisaties. Binnen het publieke domein worden er personen op essentiële cybersecurityposities geplaatst zonder enige relevante cyberkennis en/of ervaring in het cyberdomein. Een voorbeeld hiervan is de positie van commandant van het Defensie Cyber Commando, die vooral een militair moet zijn bij wie enige cyberkennis is gewenst maar niet vereist. Een ander voorbeeld is de functie van directeur Cybersecurity en Weerbaarheid tegen statelijke dreigingen (en tevens plv. NCTV). Dit moet vooral een diplomaat zijn en enige cyberkennis schijnt ook hier niet te zijn vereist. Daarnaast bestaat er nog steeds geen ministerie van Digitale Zaken, waardoor cybersecurity versnippert blijft binnen het publieke domein en de kennis/ervaring niet of nauwelijks effectief wordt gedeeld en gecentraliseerd.
Er komt weliswaar een Vaste Kamercommissie Digitale Zaken, maar dat is vooral een commissie zonder enig mandaat en/of daadkracht. Ook het feit dat er nog steeds geen curriculum is op het lager en middelbaar onderwijs in Nederland is een gemiste kans. Er wordt wel aardrijkskunde, Frans en/of Duits onderwezen, waar het (maatschappelijk) nut niet van is bewezen, terwijl er geen enkele aandacht is voor de digitale wereld waarin de kinderen opgroeien.
Dit is dus écht een probleem.
Leren niets
Zolang wij deze situatie niet drastisch veranderen, blijven de cybercriminelen ons een stap voor en moeten wij niet verbaasd zijn als er organisaties worden gehackt, gevoelige en persoonlijke gegevens op straat komen en onze kritische infrastructuur nog steeds kwetsbaar blijkt te zijn. Het jaarlijkse dreigingsbeeld in Nederland en andere cyberrapportages vertellen ons jaarlijks hetzelfde, maar blijkbaar leren wij niets van onze lessons learned en blijven wij gewoon ‘doormodderen’ met als gevolg dat de cybercriminelen blijven winnen.
En dit is dus een probleem!
