Symposium: OpStap naar Weerbaarheid
Donderdag 7 november was het zover; het symposium “OpStap naar Weerbaarheid” namens het Agentschap Telecom. Een mooi evenement met interessante sprekers en prikkelende stellingen. Als consultant rond het implementeren van security verbeteringen ben ik geïnteresseerd in de veiligheid van nieuwe technologieën en de voorwaarden daaraan.
Veel aandacht was er voor de komst van 5G en AI. Hier wordt op kleine schaal mee geëxperimenteerd in Groningen en het belooft een technische revolutie. Oneindig meer apparaten zullen/kunnen worden aangesloten op netwerken via internet technologie. De verwachting is dat hierdoor de hoeveelheid data enorm zal toenemen. Heel veel ‘smart sensors’ zullen data gaan verzamelen, zowel in huizen en kantoren. Zeker ook in fabrieken en ziekenhuizen en over het lichaam van personen. Maar.. al die data kunnen natuurlijk ook voor minder positieve doelstellingen worden ingezet.
Peter Kassies van Nouryon (voorheen Akzo Nobel) gaf een heldere presentatie over de waarschijnlijkheid dat de zware industrie 5G gaat gebruiken voor smart sensoring. Dit soort industrie is al heel lang bezig met veiligheid. Veel gebeurt nog ‘op papier’, want papier doet het altijd en ook zonder netwerkverbinding en zonder batterij. Zelfs het gebruik van laptops/tablets is daarom minimaal. Wel wordt er veel gemeten via sensors, opdat op grote terreinen adequaat kan worden herkend of er een gevaarlijke situatie ontstaat. Men zal/kan niet vertrouwen op sensors die het niet doen omdat het signaal wordt verstoord. Dien ten gevolge is men genoodzaakt om nog netwerkkabels aan te leggen.
Heel duidelijke regels over hoe IoT apparaten veilig moeten worden aangesloten zijn er nog niet. Elk bedrijf is natuurlijk verplicht zich te houden aan wetten zoals de AVG, en overheden aan WIR/BIR normen. Vreemd genoeg zijn er geen nog wettelijke eisen aan ondernemingen rond de kwaliteit en cyberveiligheid van hun IT. Er zijn natuurlijk frameworks zoals ISO27001/2, maar men is op geen enkele wijze verplicht hier ook iets mee te doen.
Als consultant hink ik hier op twee gedachten; het is/wordt dweilen met de kraan open en dat is niet goed voor de weerbaarheid.. anderzijds komt er dus een hoop interessant werk aan.
Tijdens het symposium was veel aandacht voor hét IT probleem van kleinere ondernemingen; hoe kunnen die meedoen met de laatste trends en hoe krijgen die hun IT omgeving veilig?
De overheid heeft hier onder meer een Digital Trust Center voor ingericht, en deze ondersteunt initiatieven zoals het Cyber Weerbaarheidscentrum Brainport. Opgezet door grote ondernemers, bedoelt om kleinere ondernemers te helpen met advies en inzicht. Het achterliggende doel hiervan is overigens geen altruïsme; de grotere ondernemers in de hightech industrie zijn zich bewust dat de hele leverancier-keten veilig genoeg moet zijn.
Het werd ook duidelijk dat de overheid geen eisen oplegt aan de industrie omtrent het intrinsiek veiliger maken van de aangeboden waren. Men verwacht dat ‘programmeurs en ontwikkelaars zich hiermee bezig houden’. In de praktijk komt het er dan op neer dat de gebruiker (en dus ook de kleine ondernemer) zelf z’n eigen cyberveiligheid voor elkaar moet zien te krijgen. Dit terwijl daarvoor vaak de kennis en het inzicht ontbreekt. Ik pleit voor een analogie met ‘veilig autorijden’: het verplichten van gordels in auto’s en het begrenzen van alcoholgebruik gecombineerd met een strenge controle hierop heeft geleid tot beduidend minder ongelukken. Zou zoiets ook niet kunnen worden bedacht voor cyberveiligheid of cyberweerbaarheid?
Wat mij betreft is het in ieder geval héél goed dat het Digital Trust Center komt met praktische tips en heldere basisprincipes om de cyberweerbaarheid te vergroten.
Hun 5 basisprincipes van veilig ondernemen zijn:
- Inventariseer kwetsbaarheden
- Kies veilige instellingen
- Voer updates uit
- Beperk toegang
- Voorkom virussen en andere malware
