Er is niets aan gelogen door te zeggen dat overheden een belangrijke rol spelen in het leveren van effectieve cyberbeveiliging. Denk bijvoorbeeld aan regelgeving en investeringen. Daarnaast moeten nationale leiders zowel prioriteiten en doelen stellen, als de urgentie bepalen van onze gezamenlijke inspanningen voor een steeds groter en alarmerender scala aan problemen. Zo leidde de landelijke storing bij Defensie, eind augustus, tot verschillende problemen. Techzine meldde dat Eindhoven Airport alle vluchten moest annuleren, het NCSC geen beveiligingsadviezen kon verzenden en de politie nauwelijks agenten met de meldkamer kon verbinden.
Met dat in gedachten, rijst de vraag waar de Nederlandse overheid zijn tijd en investeringen op moet richten. En welke voordelen kunnen we verwachten van het verbeteren van de bestaande publiek-private aanpak? Een vijftal aandachtsgebieden:
Focus op wereldwijde normen en regelgeving op het gebied van cyberbeveiliging
Hoewel de uitrol van nationale en regionale cyberbeveiligingsregels sneller gaat, is het nu tijd voor betere wereldwijde coördinatie. Een goed startpunt is de brede consensus over wat nodig is om cybercriminaliteit aan te pakken en het vaststellen van een benchmark voor minimale prestatienormen. Zonder een gezamenlijke aanpak zijn blinde vlekken in de regelgeving onvermijdelijk, en daarvan profiteren alleen de cybercriminelen.
Daarnaast is samenwerking tussen regeringen nodig op het gebied van regelgeving en handhaving om de huidige internationale handhavingsproblemen op te lossen. Het Europees Parlement is bijvoorbeeld nog steeds bezig om de reacties van de lidstaten op de maatregelen die nodig zijn om internationale handhavingsproblemen af te stemmen.
Focus op samenwerking en informatiedeling
Als overheden gecoördineerde actie willen ondernemen tegen problemen op het gebied van cybersecurity, moet er volgens mij veel meer nadruk worden gelegd op samenwerking en het delen van informatie.
Op nationaal niveau is het uitwisselen van informatie tussen overheidsorganisaties en het bedrijfsleven cruciaal. En daar kunnen forse verbeterslagen worden doorgevoerd. Informatie over dreigingen dienen veelal gedeeld te worden, zodat alle belanghebbenden met hetzelfde inzicht kunnen reageren op nieuwe beveiligingsrisico’s. Natuurlijk is het soms nodig om bepaalde informatie vertrouwelijk te houden, maar er blijft ruimte voor meer samenwerking zonder de veiligheid in gevaar te brengen.
Vergeet niet dat het tweerichtingsverkeer is en dat de private sector al een gevestigde en zeer gespecialiseerde community van dreigingsinlichtingen heeft. Deze kan effectiever geïntegreerd worden in de overheidsstrategieën voor cyberdefensie.
Focus op AI
Overheden moeten investeren in technologische innovaties die cybersecurity verbeteren. Of het nu gaat om nauwe samenwerking in gezamenlijke R&D-programma’s met bedrijven of het verbeteren van financieringsmogelijkheden voor startups, het potentieel voor vooruitgang is enorm.
In het geval van AI is de geest al uit de fles en moet er een echt gevoel van urgentie bestaan om ervoor te zorgen dat organisaties de risico’s van door AI aangedreven malware en andere cyberbeveiligingsrisico’s voor kunnen blijven. Terwijl de private sector al flink investeert om nieuwe oplossingen op de markt te brengen, moeten overheden het voortouw nemen. Dit is nodig om te voorkomen dat kwaadwillenden een beslissend voordeel behalen in wat een steeds hectischere AI-wapenwedloop is geworden. De EU AI Act, die op 1 augustus 2024 in werking is getreden, is een goed begin, maar geldt alleen voor de EU. Om echt grip te krijgen op het gebruik van AI en organisaties te beschermen tegen de activiteiten van cybercriminelen, zouden zowel de Nederlandse regering als andere overheden wereldwijd hetzelfde moeten overwegen.
Focus op kwantumcomputing
De overheid zou de meest veelbelovende technologieën moeten ondersteunen: kwantumcomputing is daar een goed voorbeeld van. Zodra deze technologieën levensvatbaar worden, zullen ze ongetwijfeld een nieuwe golf aan cybersecurityrisico’s met zich meebrengen. En we kunnen het ons als gemeenschap niet veroorloven om achter de feiten aan te lopen.
Op dezelfde manier waarop AI ons sneller dan verwacht heeft ingehaald, zal waarschijnlijk hetzelfde gebeuren met kwantumcomputing. Ik denk dat het nu tijd is voor overheden om leiderschap te tonen en vooraf richtlijnen te geven voordat de potentiële nieuwe risico’s zich voordoen. Kwantum kan onze cybersecurityaanpak volledig op zijn kop zetten en als we ons niet op deze mogelijkheid voorbereiden, kunnen de gevolgen groot zijn.
Focus op cybersecurity-specialisten
De wereldwijde cybersecuritysector kampt al lange tijd met een tekort aan talent. Daarom heeft de Cyber Security Raad (CSR) in een ‘signaalbrief’ het ministerie van Economische Zaken gevraagd dit tekort met spoed aan te pakken. Volgens het CSR is het cruciaal voor de digitale weerbaarheid en de strategische digitale autonomie van Nederland. Ik geloof ook dat overheden een actievere rol zouden moeten spelen in het ontwikkelen van cybersecurity-werknemers door middel van financiering, middelen en ondersteuning voor onderwijsprogramma’s. Op veel plekken op de wereld bestaat er nog steeds een kloof tussen onderwijssystemen en de vaardigheden die nodig zijn voor een carrière in cybersecurity.
Daarbij is het ook niet zo dat de Nederlandse overheid het wiel opnieuw moet uitvinden. Er zijn al tal van initiatieven die mensen helpen met een carrière in de technologie, waaronder cybersecurity en omscholingstrajecten.
Ondanks deze verschillende uitdagingen, is er ook reden voor optimisme. Want in een tijdperk met meer cyberveiligheidsrisico’s dan ooit tevoren kunnen regeringen die nauw samenwerken met de private sector een positieve impact hebben. Als we het goed aanpakken, minimaliseren we samen het aantal verstoringen.
Dit is een ingezonden bijdrage van Commvault. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.