Hoe pijnlijk is het als je als securitybedrijf zelf slachtoffer wordt van een hack? Het overkwam Fox-IT nog niet zo lang geleden. En zij waren niet de enige. Ook Kaspersky Lab, Symantec en verschillende andere securitybedrijven is dit voorheen overkomen. Als zelfs securityspecialisten hackers niet buiten de deur weten te houden, wordt opnieuw bevestigd dat het niet een kwestie is òf, maar wanneer je gehackt wordt. Critici, of beter gezegd, cynici onder ons zeggen dat cybersecuritybedrijven angst voor virussen en aanvallen van hackers aanwakkeren met eigen onderzoeksrapporten. Maar wie nog denkt dat het allemaal zo’n vaart niet loopt, wil de keiharde feiten niet onder ogen zien. In een verdergaande digitale samenleving moeten we ons voortdurend aanpassen om ons te wapenen tegen digitale inbraken. De hacker wordt steeds slimmer en wet- en regelgeving wordt met ingang van mei 2018 nog scherper. Deze uitdagingen vragen om meer transparantie, intensieve grensoverschrijdende samenwerking en het zogenaamde ‘Darwinisme’; het vermogen om ons digitale veiligheidsbeleid voortdurend aan te passen aan veranderende omstandigheden. Alleen met deze drie mondiale wapens zijn we in staat cybercriminaliteit te overwinnen.
Het klinkt alsof je pleit voor wereldvrede. Niemand zou tegen transparantie, samenwerking en aanpassingsvermogen moeten zijn. Toch is de praktijk anders. Landen, bedrijven en burgers trekken steeds meer eigen digitale muren op om cybercrime tegen te gaan. Zo gooien China, Rusland en de VS hun deuren dicht voor een vals gevoel van veiligheid. De Chinese staat is berucht om zijn Great Firewall; een technische variant van de eeuwenoude fysieke muur waarmee het Midden Koninkrijk dreigingen van buitenaf wilde weren. Dat werkt averechts. Cybersecurity-experts roepen al langer dat het oude beveiligingsmodel van kastelen bouwen onhoudbaar en achterhaald is in een digitale wereld.
Gelukkig pleit eurocommisaris Anrus Ansip voor grensoverschrijdende samenwerking tussen securityleveranciers en opsporingsautoriteiten. Ook leden van onze Tweede Kamer, zoals Kees Verhoeven, zijn ervan overtuigd, dat we cybercriminaliteit samen te lijf moeten gaan. In Nederland hebben we inmiddels aangetoond wat samenwerking tussen politie, Europol en o.a. Kaspersky Lab oplevert. Het in ons land geboren initiatief ‘No More Ransom’ heeft wereldwijd al meer dan 100 partners en biedt ruim 85 decryptietools voor slachtoffers om van ransomware af te komen. Zo worden miljoenen dollars teruggepakt van cybercriminelen. Kortom, intensieve samenwerking werpt zijn vruchten af.
Elke aanval is een les
Onafhankelijk onderzoek leert ons dat een MKB-bedrijf gemiddeld 73,8 duizend euro betaalt per beveiligingsincident. Die kosten lopen voor grote organisaties flink op. Zij krijgen per incident een rekening van gemiddeld 788 duizend euro gepresenteerd. Je wapenen tegen cyberdreigingen loont dus. Tegelijkertijd moeten we constateren dat waterdichte beveiliging technisch niet bestaat. Zakelijk gezien is dat wel te benaderen door cybercrime onrendabel te maken. Maar hoe doe je dat? Door bijvoorbeeld zoveel mogelijk van elkaar te leren. Elke cyberaanval is een les. We moeten bereid zijn deze lessen actief met elkaar te delen. Ongeacht of je elkaars collega of concurrent bent. Tot nu toe houden veel organisaties hun kwetsbaarheden achter gesloten deuren. Overheidsinstanties als Autoriteit Persoonsgegevens zouden een voortrekkersrol in kunnen nemen. Uiteraard vereist dat lef. Maar zonder lef vaart niemand wel.
Wellicht het allerbelangrijkste is te onderkennen dat cybersecurity een reis is zonder eindbestemming. Tijdens deze reis kom je voortdurend verrassingen tegen waarop je moet anticiperen en reageren. Hoe tegenstrijdig dat lijkt te zijn, het securitybeleid moet niet gericht zijn op stabiliteit, maar op flexibiliteit. Darwinisme dus. Dat betekent voor veel IT-organisaties een andere manier van denken en handelen.
Alleen met transparantie, samenwerking en flexibiliteit overwinnen we de strijd tegen cybercriminaliteit.