2012 wordt een véél veiliger jaar dan 2011. Dan gaan namelijk het Nederlands Cyber Security Centrum NCSC, de Cyber Security Raad en de nationale cyber strategie van start. Onder het motto Slagkracht door Samenwerking zullen zij gezamenlijk onze digitale dijken bewaken. Vanaf 1 januari hebben wij een samenhangende aanpak van digitale beveiliging waarin alle relevante partijen meedoen. Het is op dit moment dus nog wat vroeg om iets over de resultaten van deze aanpak te zeggen. Toch ga ik dat doen.
Er komen geen resultaten.
Jeetje, Peter. Waarom nu meteen weer zo negatief?
Nou, het is namelijk een onmogelijke opgave. Ik zie vier levensgrote problemen.
Het eerste probleem is de algemene opzet. Het NCSC gaat coördineren tussen overheidsinstellingen en adviseren aan de rest. Dat houdt de digitale dijken niet dicht. Het is veel te vrijblijvend.
Bedrijven en burgers zullen er nog steeds alleen voorstaan. Coördineren en adviseren is niet genoeg. Daarmee krijg je nog geen samenhang tussen alle verdedigingen in ons land. De versnippering blijft. In cybercrime werken de bad guys steeds meer samen en onder steeds meer bitjes zit een Chinese hacker die onze bedrijfsgeheimen wil stelen om onze bedrijven weg te concurreren op de wereldmarkt. Bovendien leidt de sector onder een voortgaand gebrek aan onderlegd personeel. De noodzaak van verdere samenwerking is vrijwel iedereen duidelijk. Maar ja, hoe doe je zo iets?
Met coördineren en adviseren kom je er niet. Want ook probleem nummer 2 dient zich aan: cultuur. ICT Security kent van oudsher een sterke eilandencultuur. Iedere organisatie voor zich, en binnen iedere organisatie zit Security vaak ook op één of meer eilanden. Eilanden die elkaar het licht in de ogen niet gunnen. Er kan er immers maar één de beste zijn, en in Security geldt dat alleen het beste goed genoeg is. Het zien van de noodzaak tot samenwerken op rationeel niveau is niet hetzelfde als het ook emotioneel willen.
Samenwerken betekent autonomie inleveren. Dat willen we niet. Erger nog is dat samenwerken ook het inleveren van aanzien is. Binnen een organisatie de goeroe zijn, dat is nog wel te doen. Maar in een club van zeg honderd bedrijven kan er maar één de beste zijn, en dat is vast iemand anders. Zolang vrijwel iedere beveiliger vooral bezig is te bewijzen dat hij het beter weet dan een ander, zijn we nog helemaal niet toe aan een samenhangende aanpak.
Ten derde zie ik een vermelding dat het NCSC via de Cyber Security Raad werkt met deelname van alle relevante partijen. Wie zijn deze deelnemers en waarom zijn nemen ze deel? En vooral, waarom een heleboel anderen niet?
Hoe het ook zij; de IT bedrijven die er via ICT~Office bij zitten zullen – zoals het een commerciële instelling betaamt - het verkopen van hun diensten laten prevaleren boven het oplossen van het cyber security probleem van Nederland. Natuurlijk zullen zij dit als hetzelfde zien, maar stel je voor dat IBM wél en bijvoorbeeld Microsoft niet in de club zou zitten – zou de overheid dan niet te veel van de één afnemen en te weinig van de ander? En natuurlijk gaan we ook nog kibbelen over Open Source, of het gebrek daaraan.
ICT~Office vertegenwoordigt 550 IT-, telecom-, internet- en officebedrijven in Nederland, dat is maar een klein deel van al die bedrijven. De rest is dus volgens de overheid niet relevant. Nota bene cyberlieveling Fox-IT is geen lid. Dus hoe het NCSC dit ook doet, het is in alle gevallen verkeerd en schaadt het vertrouwen. Immers: als de overheid koopt van mijn concurrent, dan zal ik niet nalaten te benadrukken dat ze er nog steeds geen verstand van hebben. Bij ieder IT Security oplossinkje zal er wel een IT Security leverancier zijn die er zo over denkt en dat ventileert. Dat schaadt het aanzien van het NCSC, nog voordat ze het hebben kunnen opbouwen. Aanzien dat onmisbaar is voor een club die afhankelijk is van vrijwillige ondersteuning vanuit de markt.
Ten vierde en laatste is de rol van de overheid in het geheel nogal problematisch. De overheid voert de regie bij de ‘samenhangende aanpak’. Bij bedrijven heerst een zekere minachting voor de overheid, wat in informatiebeveiliging nog versterkt wordt door het verleden. Dat je nu geadviseerd wordt door overheidsdiensten die nog niet al te lang geleden door pure onkunde de antivirus op je mail overbelastten, is niet geloofwaardig. Ook de statuur in de pers door recente zaken rond DigID, OV Chipkaart en andere toestanden helpt niet echt. We zijn dus al helemaal niet toe aan een samenhangende aanpak als dat moet onder de regie van de overheid.
Kortom, zolang de samenwerking vrijblijvend is, wordt het niets en als de overheid gaat dwingen wordt het nog minder.
Maar goed, het gaat toch door.
Oké dan. Bedrijf A gaat deelnemen aan een cybersecurity overleg van onze spiksplinternieuwe Slagkracht Door Samenwerking. Wie gaat ernaartoe? De opperspecialist? Die heeft het erg druk en hij kan bovendien ‘niet zo goed communiceren’. En zijn haar is te lang. Ik vermoed dat de manager van de afdeling waar de opperspecialist werkt naar het overleg gaat. Of de manager boven de managers van alle afdelingen waar alle specialisten zitten. Het is natuurlijk een belangrijke samenwerking, met vertegenwoordiging van politie en inlichtingendiensten, dus de baas gaat het liefst zelf. En de baas, dat is vrijwel per definitie iemand die zich bezighoudt met hoofdlijnen en zeker niet met details. Laat Security nu toch eigenlijk gaan over details. En over details, en nog meer details, en nog eindeloos veel meer details. Daar zit de baas dus aan tafel, samen met alle andere bazen die zich bij voorkeur aan de oppervlakte bewegen. En daarna gaan deze bazen ons inhoudelijk advies geven.
Zo’n nieuwe bestuurlijke laag ontwikkelt haar eigen dynamiek. Die laag gaat groeien. Je kunt zeggen wat je wilt, maar je kunt met duizend man even goed adviseren en coördineren als met honderd man. Alleen: als je er duizend hebt, dan ben je belangrijker dan met honderd. Dat is marktwerking bij de overheid. Dus het worden tweeduizend man, minstens.
Tjeempie, Peter, dit is wel een heel zwartgallige visie. Kan het niet meevallen?
In sectoren waar er traditioneel een veiligheidscultuur bestaat, zal het inderdaad wel meevallen. Over de luchtvaart en de petrochemie maak ik me niet al te veel zorgen, omdat veiligheid daar in de genen zit, en alleen vertaald moet worden naar het digitale domein. Maar daarbuiten? Er zijn tal van sectoren die deel uitmaken van onze vitale infrastructuur die een dergelijke cultuur ontberen. Zeer verhelderend is dit al wat oudere stuk over hoe extra bestuurlijke aandacht voor beveiliging uitwerkte in een elektriciteitsbedrijf. Hier heeft “de intensivering van het bureaucratische veiligheidsbeleid vooralsnog niet tot sterk verbeterde veiligheidsprestaties geleid”, maar tot “acceptatie van de risico’s vanuit het idee dat er ‘toch niets aan te doen valt’”…elektriciteitsbedrijven staan nota bene bovenaan de lijst van vitale infrastructuur.
Misschien is het voor de digitale dijkbewakers nog niet te laat om te leren van een vergelijkbaar dossier, de nieuwe bestuurlijke laag in rampenbestrijding genaamd veiligheidsregio’s. De traditionele lokale brandweerkorpsen, grotendeels gedragen door vrijwilligers, werden van boven aangevuld met een bestuurlijke laag van veiligheidsregio’s. Met als doel om taken bij de lokale overheden weg te halen, omdat gebleken is dat deze bij grote rampen onvoldoende bestuurlijke slagkracht hebben, zoals bij Enschede en Volendam. De veiligheidsregio’s moeten voortaan deze slagkracht leveren. Het tweede doel is kwaliteitsverhoging, en het derde doel kostenbesparing.
Volgens de bestuurders van de veiligheidsregio’s loopt de operatie over het algemeen naar wens. Politiek Den Haag geeft zichzelf dan ook uitgebreid schouderklopjes en beschouwt de veiligheidsregio als bewezen oplossing, als Good Practice zo je wilt.
De uitvoerende mensen denken er echter faliekant anders over. Het recente rapport over de veiligheidsregio Limburg-Noord schetst een onthutsend beeld van een in zichzelf gekeerde bureaucratie die in alle bestuurlijke heisa van abstracties en strategieën geen millimeter extra slagkracht bij grote rampen op blijkt te leveren. En door de grotere afstand tot de lokale werkelijkheid, bij kleinere rampen juist minder slagkracht blijkt te leveren. De kamer heeft dit als een incident behandeld en minister Opstelten was daar dankbaar voor.
Maar is het wel een incident? Ook andere publicaties over de veiligheidsregio’s en de brandweer ondersteunen het beeld van een autocratische, kissebissende en falende bureaucratie, zoals recent rond de Moerdijkramp. Intussen herkennen de brandweervrijwilligers zich door de schaalvergroting niet meer in hun organisatie en sluiten er steeds vaker kazernes bij gebrek aan personeel. Want dat loopt weg.
Andere kazernes sluiten vanwege geldgebrek. Er worden namelijk ook bezuinigingen opgelegd aan de blusbrigades. Officieel natuurlijk niet om de hogere kosten voor de overhead te dragen, maar dat is natuurlijk wel zo: het geld moet ergens vandaan komen en de operatie was bedoeld als bezuiniging. De kwaliteitsverhoging blijkt ook al niet te lukken: op steeds meer plaatsen worden de aanrijtijden langer bij gebrek aan vrijwilligers. De oplossing van onze veiligheidsbestuurders is briljant in zijn eenvoud: de burger moet zelf meer geld uitgeven aan preventieve middelen want de brandweer komt wat later! Als het meezit krijgen we een gratis rookmelder.
Dit is ernstig. Dit is extreem ernstig. Maar ook waardevol, vanwege de lessen die we hieruit kunnen leren. Worden die geleerd? Opstelten ja, die van die schouderklopjes aan zichzelf is als minister van Veiligheid tevens de dossierhouder van het NCSC. Hij ziet de veiligheidsregio en de regionalisering van de brandweer vast als een best practice voor het cyberdossier. Opstelten houdt wel van schaalvergroting, zoals ook de politie nu ondergaat.
Bedrijven die gaan bijdragen aan de nationale cyberbescherming zullen net als de brandweerlieden een soort vrijwilligers zijn. De nationale coördinatie ervan zal vooral een bestuurlijk karakter krijgen, met een grote kans op bodemloze bureaucratische putten, en bovenal op afhakende deelnemers: na een tijdje passen ze ervoor om nog langer de overheid te helpen met bestuurlijke luchtverplaatsing. Wat kost dat allemaal wel niet, en wat levert het op? Die Good Practices staan toch al lang gratis op internet. De enige die over zullen blijven in de samenwerking zijn bedrijven die de overheid iets willen verkopen.
Slagkracht Door Samenwerking? Het zou me niet verbazen als we in de praktijk minder veiligheid krijgen voor meer geld. Uit de Nationale Strategie: “Alle gebruikers burgers, bedrijven, instellingen en overheden nemen passende maatregelen om hun eigen ICT-systemen en –netwerken te beveiligen en veiligheidsrisico’s voor anderen te voorkomen”. Juist. Uiteindelijk moet je toch alles zelf doen. Misschien blijft er ergens nog een klein gemeentelijk potje over om scharen uit te delen. Daar kunnen we dan onze internetverbinding mee doorknippen. Opdat het veilig worde.
Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Laatste 10 columns
Deze posting is gelocked. Reageren is niet meer mogelijk.