Opinie: Cyberveiligheid is een illusie, weerbaarheid is noodzaak

Dit opiniestuk wordt op zaterdag 24 mei gepubliceerd in BN/DeStem.

Ondanks forse investeringen in preventie, blijft het aantal cyberincidenten groeien. Dreigingen nemen toe en worden ook complexer. De cybersecuritymarkt belooft gouden bergen met zogenoemde zilveren kogels — producten en processen die effectief lijken, maar waarvoor geen rationele onderbouwing is. Dat is gevaarlijk, want het leidt tot verlamming: we weten niet wat werkt, dus we doen maar niks.

Organisaties richten zich op het voorkomen van incidenten, maar vergeten zo zich voor te bereiden op wat er daarna komt. Dat maakt ons kwetsbaar. Want gehackt worden is allang geen ‘wat-als’-scenario meer, maar een ‘wanneer’-vraag. Talloze voorbeelden tonen dat aan. Bij NRC haperde 30 april de app en website na een cyberaanval. Bij Belgische bierbrouwers stokte vorig jaar de productie toen hun automatiseringssystemen werden gegijzeld door ransomware.

‘Get used to it’

Bij de overheid zie je de verschuiving van focus op alleen bescherming tegen cyberaanvallen, naar het uitgangspunt dat er al een kwaadwillende in je netwerk zit. In het verlengde hiervan zei justitieminister David van Weel in augustus 2024, nadat meerdere overheidsinstanties getroffen waren door een storing in het digitale krijgsmachtnetwerk Nafin: ‘Get used to it.’ Van Weel: ‘Kwetsbaarheden gaan we altijd houden. De kwestie is hoe snel kunnen we zorgen dat we kunnen doorwerken als er een storing is. En hoe snel kunnen we de storing vinden en zorgen dat het netwerk weer online komt.’

Van illusie naar inzicht

Wat we nodig hebben, is het erkennen van de realiteit en een fundamentele denkomslag van cybersecurity naar cyberweerbaarheid. Zoals Van Weel al zei: incidenten zijn onvermijdelijk. De vraag is niet óf, maar hoe we reageren, herstellen en ervan leren.

In de zoektocht naar digitale veiligheid gaan veel organisaties aan de slag met oplossingen zonder dat ze echt weten wat het probleem is. Maar als je niet weet waarom het misgaat, dan sla je de plank al snel mis. Een voorbeeld: als bedrijven het nut niet inzien van investeren in veiligheid, omdat ze ten onrechte denken dat de kans om slachtoffer te worden van een cyberincident klein is, dan biedt een zoveelste kennisproduct over hoe je basismaatregelen moet nemen geen oplossing. Ik pleit dan ook, als manier om de benodigde denkomslag te realiseren, voor goed onderzoek naar belemmeringen, gedrag en context. Praktijkgericht onderzoek is cruciaal om te begrijpen wat werkt, in welke context, en onder welke omstandigheden. Alleen zo kunnen we de impact van incidenten verminderen en onze cyberweerbaarheid optimaliseren.

Samenhang

Technologie moet ondersteunend zijn, niet belemmerend. Denk aan security by design: vanaf de tekentafel rekening houden met gebruiksvriendelijkheid en veiligheid. Ontwikkelaars denken daar vaak niet aan, omdat het extra geld en tijd kost. Maar als je daar niet vanaf het begin over nadenkt, ben je later veel verder van huis. Samenwerking is essentieel om tot een echt cyberweerbare samenleving te komen – niet alleen tussen overheden, kennisinstellingen, maatschappelijke organisaties en het bedrijfsleven, maar ook in de manier waarop we naar cybersecurity kijken. Veiligheid is een optelsom van hardware, software, netwerken, gegevens, processen en mensen die gezamenlijk werken om essentiële functies en diensten te leveren. Pas als je dat in samenhang ziet, kun je de stap zetten naar meer cyberweerbaarheid. Dat vraagt om meer dan techniek.

Niet capituleren

Critici kunnen zeggen: als we cybersecurity loslaten en incidenten accepteren, geven we ons gewonnen aan hackers en cybercriminelen. Maar dat is een misverstand. Cyberweerbaarheid is geen capitulatie, maar realisme. Het besef dat absolute veiligheid niet bestaat, en dat onze kracht juist ligt in hoe we omgaan met onvermijdelijke incidenten. Wie inzet op cyberweerbaarheid, kiest niet voor overgave, maar voor veerkracht en strategisch herstelvermogen. De aandacht verleggen naar cyberweerbaarheid betekent niet dat we niet meer werken aan voorkomen. Cyberweerbaarheid omvat security, het is breder.

We moeten als maatschappij erkennen dat incidenten erbij horen. Dat we voorbereid zijn op herstel. En dat vraagt ook om investeringen in onderzoek, sociale innovatie en samenwerking op alle niveaus. Maar vooral: we moeten weerbaarheid als het nieuwe uitgangspunt van elke digitale strategie maken. Dat begint met beleid. Met lef. Met keuzes maken. En met het besef dat wachten op de volgende aanval geen optie meer is. Niet morgen. Vandaag.

Dr. Rick van der Kleij (1973) is sinds 1 januari 2024 verbonden aan het Centre of Expertise Veiligheid & Veerkracht van Avans Hogeschool als lector Cyberweerbare Organisaties. Naast zijn werk voor Avans is Van der Kleij ook werkzaam als cybersecurity onderzoeker bij de Nederlandse Organisatie voor toegepast-natuurwetenschappelijk onderzoek (TNO).