De recente uitspraken van Ferd Grapperhaus blazen nieuw leven in de discussie over cybersecurity. In het FD stelde de minister van Justitie en Veiligheid organisaties die hun digitale beveiliging niet op orde hebben aan de kaak. Een klassiek geval van de pot die de ketel verwijt dat hij zwart ziet.
Grapperhaus wil dat de overheid kan ingrijpen als bedrijven hun digitale beveiliging niet op orde hebben. Die bedrijven zou hij ‘ongelooflijke oliebollen’ hebben genoemd. Aanleiding was een onderzoek van de Volkskrant waaruit naar voren kwam dat veel Nederlandse bedrijven – waaronder Shell en KLM – hun VPN-software Pulse Secure niet hadden bijgewerkt. Daardoor waren ze maandenlang kwetsbaar voor hackers. Dat de minister een noodklok wil luiden, is niet eens verkeerd. Maar dat hij suggereert dat de overheid meer regie behoort te krijgen over de digitale veiligheid in Nederland roept beelden op van de lamme die de blinde leidt. Ook zijn eigen ministerie had de betreffende software namelijk niet bijgewerkt.
Extra aandacht
Hoewel cyberbeveiligers de kern van de uitspraken van Grapperhaus ondersteunen, typeren ze die toch als ‘kort door de bocht’. Veronderstelde plannen dat de overheid bedrijven zouden dwingen updates te installeren, zouden ontaarden in een nietszeggende checklist. Diverse cybersecurity-experts brengen nuance aan. Zo introduceert iedere update weer nieuwe veiligheidsrisico’s en lost het continu installeren van alle updates niet het probleem op. Daar kun je oneindig mee doorgaan, terwijl de budgetten niet navenant oneindig zijn. Daarentegen vormt het up-to-date houden van systemen wel de basis. We moeten af van het idee dat je pas moet ingrijpen als een systeem is omgevallen. Er is niets mis met wat extra aandacht vanuit de overheid, zolang dat blijft bij voorlichting, het voeden van de dialoog en bewustwording. Het afdwingen van veiligheid en updates met nieuwe regels gaat veel te ver, vinden de experts, en is bovendien in praktische zin niet uitvoerbaar. Cyberveiligheid is een complexe aangelegenheid en afhankelijk van de context. In het ene netwerk is updaten wel verstandig, in het andere niet.
Moeten we nu wel of niet een onafhankelijke cybersecurity-autoriteit oprichten, zoals de minister voorstelt? En moet die autoriteit dan zelfstandig kunnen ingrijpen? In ieder geval mag er volgens de experts niet een situatie ontstaan waarbij zonder na te denken wordt gepatcht als er sprake blijkt te zijn van een kwetsbaarheid. Dat zou de negatieve gevolgen alleen maar vergroten.