Opinie

Hoe veilig voel jij je op het internet?

Een reactie op de publicatie ‘Global Cyberspace is Safer than you Think’

Het internet is een veiligere plek dan de statistieken ons al die jaren hadden doen vermoeden, stelt Eric Jardine in de innovatieve publicatie ‘Global Cyberspace Is Safer than You Think: Real Trends in Cybercrime’ van internationale denktanks CIGI en Chatham House. De crux van de publicatie zit in het proportioneel beschouwen van de cybercrime cijfers in relatie tot de omvang van het internet, in plaats van absolute cijfers. Omdat het internet zo snel groeit, valt de stijging van het aantal incidenten proportioneel mee. Is het internet echt veiliger dan we dachten?

Esther van Luit - 5 augustus 2015

Als cybersecurityspecialist bij Deloitte werd ik gevraagd op deze publicatie te reageren. Zo verscheen er een artikel in Trouw en werd ik geïnterviewd op BNR Nieuwsradio. Naar aanleiding van deze reacties ontving ik een aantal vragen, die ik in deze blog nader wil toelichten.
 

Q: In de media hield je je op de vlakte. Waarom wilde je geen harde conclusies trekken?

A: De data die wordt gebruikt door de onderzoeker schiet op een aantal vlakken tekort. De data die we nodig hebben om dit soort onderzoek goed te doen wordt nog niet gemeten.

De statistieken over cyberincidenten zijn net als die van gestolen fietsen. Niet iedereen doet aangifte, dus er zijn waarschijnlijk meer gestolen fietsen dan onze cyberpolitie weet. Daarnaast weet niet iedereen in cyberspace dat zijn fiets gestolen is; incidenten kunnen lange tijd onopgemerkt blijven. Ook zijn in het onderzoek zelf niet alle cijfers over gerapporteerde gestolen fietsen meegenomen: ‘mega-breaches’ waarbij meer dan 100.000 bestanden gestolen zijn, worden buiten beschouwing gelaten.

Het meten van de internetomvang is ook niet zo simpel als het artikel suggereert. De onderzoeker gebruikt benaderingen om te meten hoe groot het internet is, met meetpunten zoals het aantal websites, het aantal gebruikers en datastromen. Dat dekt de lading gewoon niet helemaal. De schattingen voor deze meetpunten lopen overigens erg uiteen, zowel tussen als binnen de meetpunten zelf.

Ik had natuurlijk het liefst bij Trouw en BNR Nieuwsradio gezegd dat het internet inderdaad veiliger is dan het leek, maar dat kon ik dus helaas op basis van dit onderzoek niet doen.
 

Q: Waarom is die data dan zo moeilijk te verkrijgen?

A: Een van de journalisten vroeg me: “Waarom horen we nooit iets goeds over cybersecurity? We zien alleen maar van die enorme blunders in de kranten”. Dat is helaas de aard van het beest.

In principe geldt dat des te beter je beveiligd bent, des te minder groot de kans is dat je gehackt wordt. Maar hoe kun je iets meten dat niet plaatsvindt? Er is geen bewijs, geen data. Daarom is het een uitdaging bedrijven te overtuigen om te investeren in security, terwijl het niet te meten valt wat je voor die investering terug krijgt. Een lastige business case.
 

Q: Dus zolang we een berg geld erin steken, zijn we veilig?

A: Nee, cru genoeg niet. Het komt voor dat uitstekend beveiligde bedrijven alsnog gehackt worden. Sommige hackers richten zich met bijna ongelimiteerde hoeveelheden tijd en geld op een doelwit. Probeer dat maar eens tegen te houden!

Naast de techniek gaat het vaak mis op de menselijke factor: een werknemer doet iets tegen de veiligheidsvoorschriften in, waarvan hij of zij het kwaad niet inziet, maar waardoor een hacker uiteindelijk zijn Golden Ticket naar binnen heeft. Denk aan een USB-stick die hij op de parkeerplaats vindt en inplugt op een op het bedrijfsnetwerk aangesloten computer om te zien wat er op staat.

Daarom vinden we het creëren van bewustzijn zo belangrijk. Enerzijds lekken bedrijven soms via een hacker persoonlijke gegevens van consumenten (dit verschijnt vaak in de media), anderzijds zijn consumenten in hun rol als werknemer van dat bedrijf soms juist de reden dat de hacker in de eerste plaats binnenkomt.
 

Q: Dat klinkt gecompliceerd. Hoe kan het beter?

A: “Meten is weten”, zoals Petra Grijzen van BNR al zo treffend op de radio zei. We moeten toch naar een manier toe om betrouwbare data te verzamelen. Omdat cybercrime op globale schaal plaatsvindt, zouden nationale en internationale instellingen met elkaar moeten samenwerken om een accuraat beeld te kunnen vormen. En we weten allemaal dat het opzetten van dat soort samenwerkingen, zeker als het gevoelige informatie betreft, niet over één nacht ijs gaat.

Binnen Deloitte dragen we in ieder geval ons steentje bij. Met een aantal collega’s werk ik aan een initiatief dat Cyber Value-at-Risk heet, waarbij we met een complex risicomodel een precieze waarde in Euro’s proberen op te hangen aan het cyberrisico dat een bedrijf loopt.
 

Q: En de burger dan?

A: Tegen de burger kan ik maar een ding zeggen: laat die cijfers voor wat ze zijn. Aan het einde van de dag telt hoe groot de kans is dat het jou overkomt. En dat is waarom dit onderzoek uiteindelijk wel interessant is: het introduceert een nieuwe methode om uit te drukken hoeveel wachtwoorden er op jaarbasis gestolen zijn, per bijvoorbeeld 100.000 internetgebruikers, en hoe dat verandert over de jaren. En dat creëert een hele andere perceptie voor de consument.

Misschien is de belangrijkste maatstaf daarom de volgende: “Hoe veilig voel jij je op het internet?”.

Lees het artikel van Trouw 

Luister hier het radio-interview op BNR terug

Vond u dit nuttig?

Gerelateerde onderwerpen