Overheidstrends 2021: De rol van de overheid ten aanzien van cyber

Article

Overheidstrends: De rol van de overheid ten aanzien van cyber

Hoe overheden hun rol en plek vinden in het verhogen van de (inter-)nationale cyberweerbaarheid

Het samenwerken binnen ecosystemen in het kader van cyberweerbaarheid is niet nieuw. Zowel in binnen- en buitenland zijn talrijke voorbeelden te vinden van succesvolle manieren van samenwerken die een duidelijke meerwaarde opleveren voor deelnemende partijen. Toch laten diverse incidenten ook de afgelopen tijd weer zien dat er in Nederland nog altijd gaten zijn in het totale stelsel van cyberweerbaarheid.

Neem alleen al het recente voorbeeld van de kwetsbaarheid in Kaseya IT-beheersoftware. Door onderzoek en snel en adequaat handelen van een vrijwilligersorganisatie, het Dutch Insititute for Vulnerability Disclosure (DIVD), is een groot deel van de potentiële impact van misbruik van deze kwetsbaarheid voorkomen. Het betreft hier echter een groep enthousiastelingen die belangeloos het internet scannen op kwetsbare systemen en dit melden bij de eigenaars van die systemen. Een taak waarvan je je kunt afvragen of die niet (ook) bij de overheid thuis hoort.

Uiteraard is de overheid op vele fronten actief in het bijdragen aan cyberweerbaarheid, van het actief aanpakken en opsporen van cybercriminelen, tot het onderzoeken van statelijke actoren en de dreigingen die daarvan uitgaan en het bijdragen aan kennis, kunde en informatie in private sectoren. Toch vereist dit snel ontwikkelende landschap een nieuwe aanpak en een verschuiving in hoe de overheid zich opstelt en deelneemt aan dit soort ecosystemen.

Wat kan de overheid dan doen om zowel haar bijdrage als haar eigen winst uit ecosystemen te vergroten? Het antwoord ligt in een bredere en meer integrale benadering van het concept cyberweerbaarheid, volgens het aloud credo “een ketting is net zo sterk als de zwakste schakel”. Omdat cyberweerbaarheid afhankelijk is van zoveel verschillende partijen, is het van belang dat de overheid haar taak in de strategievorming en regie oppakt en zorgt dat de lappendeken van partijen en initiatieven goed op elkaar aansluit en tegelijk geen gaten vertoont.

De verschuivende rol van de overheid in cyberweerbaarheid

De afgelopen jaren is in Nederland door de overheid van alles gedaan om meer bij te dragen aan de cyberweerbaarheid van publieke en private partijen en burgers. Het betreft echter veel losse initiatieven bij een veelheid aan instanties. Een voorbeeld van hoe het ook mooi gecentraliseerd kan is te vinden in het Verenigd Koninkrijk. Het in 2016 gelanceerde National Cyber Security Centre is in het leven geroepen om een verenigde nationale respons te kunnen bieden in het geval van cyberdreigingen en -aanvallen. Het centrum biedt ondersteuning op het gebied van cyberbeveiliging aan de publieke sector, de private sector, waaronder het mkb, en burgers. Het centrum heeft vorig jaar ondersteuning geboden bij 723 incidenten en een meldpunt voor burgers geopend voor het melden van verdachte e-mails. Dankzij dat meldpunt werden in slechts vier maanden 2,3 miljoen verdachte e-mails aangemerkt en 22.000 schadelijke websites verwijderd. Deze aanpak met één loket waar iedereen voor advies over of meldingen van cyberincidenten terecht kan is erg helder voor burgers en organisaties en zorgt tegelijk voor goede centralisatie van informatie over dreigingen en incidenten.

Ook in andere landen zie je steeds meer een beweging naar centralisering van regie en advies rondom cyberweerbaarheid. Dat betekent overigens niet per definitie dat uitvoering ook volledig gecentraliseerd hoeft te worden. Het Deense model met een nationale stuurgroep waarin de cyberstrategie wordt bepaald en gemonitord, maar waarbij elk departement zelf verantwoordelijk is voor uitvoering van een deel van die strategie, lijkt op het eerste oog goed te passen bij het Nederlandse staatsbestel. Toch zie je ook in Denemarken dat voor burgers en bedrijven één aanspreekpunt of loket opgezet is waar zij terecht kunnen voor het melden van incidenten of verkrijgen van advies en informatie. Bovendien is een centrum opgericht waar alle informatie rondom cyberdreigingen en -incidenten bij elkaar wordt gebracht. Op een aantal plekken is centralisatie van uitvoering dus absoluut noodzakelijk voor een succesvolle aanpak.

De verschuivende rol van de overheid in cyberweerbaarheid levert ook wrijving op. Om effectief te kunnen worden in haar nieuwe rol, moeten overheden de manier veranderen waarop ze relaties, informatie, talent en zelfs interne processen beheren.

Cyber

Empowering your people for the future

Read more about cyber

Verschuivende relaties: van need to know naar gedeelde info en normen

Het snel en efficiënt delen van informatie over cyberdreigingen, kwetsbaarheden en incidenten is een cruciale factor om in te kunnen spelen op actuele dreigingen en het voorkomen of beperken van de omvang van incidenten. De overheid beschikt over een grote hoeveelheid relevante informatie, maar is gewend om dat soort (soms) gevoelige gegevens af te schermen en alleen toegang te geven aan personen en organisaties op basis van 'need to know'. De huidige dreigingen maken echter dat behoefte is aan het sneller en breder delen van die informatie.

Sommige ecosystemen worden op internationaal niveau gevormd, andere zijn beperkt tot een bepaald land of een bepaalde regio. Een voorbeeld van internationale samenwerking is CSIRTAmericas, een vereniging van computerbeveiligingsteams in Amerika. Door informatie en kennis te delen, vaak in realtime, heeft deze groep een gezamenlijke respons kunnen opzetten naar aanleiding van noodgevallen zoals de COVID-19-pandemie en de Wannacry-ransomware-aanval.

Een ander mooi voorbeeld is wederom te vinden in het Verenigd Koninkrijk, waar onder het National Cyber Security Center (NCSC) een Cyber Security Information Sharing Partnership” (CiSP) is opgericht. Dit partnership staat in principe open voor elke organisatie in het Verenigd Koninkrijk en biedt een digitaal platform waarop veilig dreigingsinformatie gedeeld kan worden, adviezen worden uitgewisseld en in diverse subgroepen (bijvoorbeeld sectoraal) samengewerkt kan worden. Het NCSC monitort de informatie op het platform en gebruikt die weer om op (naderende) incidenten in te spelen, maar ook om bijvoorbeeld proactief adviezen op te stellen en die weer met de community te delen. Op lokaal niveau hebben partners als City National Bank, IBM, AT&T, Cedars-Sinai en de stad Santa Monica het Los Angeles Cyber Lab’s Threat Intelligence Sharing Platform gevormd, waarop informatie over cyberdreigingen wordt verzameld van de deelnemers. Leden kunnen deze gegevens anoniem delen voor analyse en vergelijkingen. Het lab gebruikt de informatie om inlichtingen over dreigingen en trendanalyses aan te bieden aan alle leden, waaronder kleine ondernemers die niet over de middelen beschikken om zelf de dreigingen te volgen.

Verschuivend menselijk kapitaal: van mijn talent naar ons talent

Meer samenwerking in een ecosysteem resulteert in meer en gevarieerdere soorten systemen, gegevens en tools die binnen een organisatie worden gebruikt. Dat vraagt om technologietalent met bredere vaardigheden dan de meeste organisaties zelfstandig kunnen bieden. Gelukkig helpen ecosystemen overheden ook toegang tot het juiste talent met de juiste vaardigheden te verkrijgen. Een ecosysteem dat bestaat uit academici en bedrijven kunnen overheden helpen de gaten in hun cyberbeveiligingspersoneel te dichten door een actieve, gedeelde markt voor cybertalent te vormen, in plaats van alleen maar te kijken naar hun eigen behoeften.

Onderwijsinstellingen

Israël biedt cybersecuritylessen binnen alle niveaus van het onderwijssysteem aan, beginnend bij de onderbouw van de middelbare school tot en met universiteiten waar studenten een doctoraat in cyberbeveiliging kunnen behalen. Hiermee wordt bereikt dat digitale geletterdheid en kennis van cyberbeveiliging veel breder bij personeel aanwezig is.

Opleidingsinitiatieven op het gebied van cyberveiligheid in de VS waren tot nu toe gericht op het hoger onderwijs. Het National Institute of Standards and Technology heeft de Internationale Universiteit van Florida bijvoorbeeld een beurs toegekend om programma's te ondersteunen die zijn ontworpen om cyberbeveiligingstalent op te leiden die aan de slag gaan voor de staat of lokale overheden, nationale bedrijven en de Amerikaanse overheid. De Universiteit van Buffalo heeft een beurs van 2,39 miljoen dollar ontvangen van de National Science Foundation om toekomstige cyberbeveiligingsexperts op te leiden. De divisie Wetenschap en Technologie van het Amerikaanse ministerie van Binnenlandse Veiligheid biedt beurzen en samenwerkingsverbanden aan gericht op cyberbeveiliging voor zowel primair als secundair onderwijs en het hoger onderwijs.

Publiek-private partnerschappen

Het in de Verenigde Staten gevestigde Cybersecurity Talent Initiative – een samenwerking tussen federale diensten, universiteiten en de particuliere sector – selecteert studenten in relevante vakgebieden voor tweejarige plaatsingen binnen federale diensten die behoeften hebben op het vlak van cyberbeveiliging. Aan het eind van die twee jaar kunnen de studenten solliciteren op fulltime vacatures bij particuliere bedrijven die deelnemen aan het programma. Om samen te werken met de particuliere sector heeft het Verenigd Koninkrijk het acceleratormodel omarmd en de Defense and Security Accelerator opgezet om cyberbeveiligingsinnovaties binnen en buiten de overheid te herkennen en te steunen.

Wedstrijden en prijzen

Overheden schrijven ook wedstrijden uit om hun voordeel te doen met cyberbeveiligingscapaciteiten buiten hun eigen personeelsbestanden. Een populair model is het uitloven van een beloning voor het vinden van bugs. Voorgeselecteerde hackers worden uitgedaagd om kwetsbaarheden in de overheidsnetwerken te vinden en worden beloond voor elke bug die ze vinden. Het eerste dergelijke initiatief in de Verenigde Staten, Hack the Pentagon, trok meer dan 1400 deelnemers. De wedstrijd was pas 13 minuten aan de gang toen de eerste bug werd gevonden.

Het ministerie van Defensie van Singapore heeft begin 2018 beloningen uitgeloofd voor het vinden van bugs. Daarbij werden 35 bugs gevonden en de hoogste prijs voor een individuele hacker was 2000 dollar. Tijdens een andere wedstrijd die de Singaporese overheid in december van dat jaar hield, hielpen de deelnemers met het repareren van 26 bugs en werd er bijna 12.000 dollar aan prijzengeld uitgekeerd.

Ook dichter bij huis worden dergelijke activiteiten ondernomen. Zo organiseert de gemeente Den Haag al vier jaar op rij de competitie “Hâck The Hague” waarbij deelnemers wordt gevraagd om op zoek te gaan naar kwetsbaarheden in de IT- en OT-systemen van de gemeente. In de competitie werken overheid en private partijen samen om een uitdagende en nuttige wedstrijd te organiseren.

Richting de toekomst

Centrale regie en integrale aanpak. De huidige en toekomstige dreigingen vereisen een doortastende overheid die integraal naar cyberweerbaarheid kijkt en haar rol pakt in een nationale regievoering over publieke en private partners in een bloeiend ecosysteem.

Verbeter het delen van dreigingsinformatie. Dreigingsinformatie moet op zeer korte termijn breder en efficiënter gedeeld worden. Niet alleen door de overheid, maar ook door private partijen. De overheid kan hier een grote katalysator in zijn door het inrichten van een ecosysteem en platform dat deze uitwisseling ondersteunt.

Ga slim om met talent. Door niet alleen naar de eigen behoeften te kijken, maar die van het hele land. Werk in opleiding, traineeships en werving samen met publiek en privaat en zorg dat talent niet alleen een inhoudelijke bijdrage levert maar ook onderling een sterk netwerk opbouwt waarin kennis en informatie worden gedeeld.

Did you find this useful?