Oefenen tegen cybercriminaliteit must voor overheid

Overheden dienen zich meer te bekommeren om de veiligheid van het internet. ‘Ze moeten zich beter realiseren wat ze te verliezen hebben,’ meent cyberveiligheidsadviseur van Deloitte generaal b.d. Dick Berlijn.

Deloitte schat het totale waardeverlies door cybermisdaad voor de publieke sector op een jaarlijks waardeverlies van 2,4 miljard euro. ‘Probleem is dat bestuurders in het bedrijfsleven en in het openbaar bestuur onvoldoende idee hebben tot welk waardeverlies een hack of systeeminfectie door omzetverlies, imagoschade, afkalven van vertrouwen kan leiden’, zegt Berlijn.

Geen garantie
Het besef is er wel dat internetcriminaliteit een dagelijks en duur gevaar is, maar als het aankomt op het nemen van maatregelen, is de cyberveiligheidsadviseur ‘niet zo positief’. Berlijn: ‘De voorbereidende maatregelen zijn geen garantie dat je niet aan de beurt komt. Misschien worden er aan de voorkant wel maatregelen genomen, maar we moeten ook kunnen waarnemen dat er iets raars gebeurt met onze netwerken en onze data. Als je de problemen kunt waarnemen, kun je ook een antwoord geven. Maar bestuurders kijken vaak naar de punten van hun schoenen als ik daarover begin.’

Overheden moeten razendsnel kunnen reageren op cyberinbraken. ‘Als je dat niet lukt, neemt de schade toe en verlies je het vertrouwen van de burgers. Overheden zijn geen commerciële bedrijven, maar ook hún data zijn het nieuwe goud. Kijk naar ziekenhuizen, die lang niet allemaal hun lesje hebben geleerd. Ze zitten op een berg informatie en denken: “Wie kan het nou op ons gemunt hebben; we maken alleen maar mensen beter.” Dat is naïef, want ook hun informatie is goud en verhandelaar op de zwarte markt.’

Gemeentelijk netwerk
Gemeenten, groot en klein, kunnen de digitale veiligheid goed organiseren, aldus Berlijn. Vaak merkt hij dat men niet goed weet hoe het moet worden aangepakt. Zijn advies is steeds: vraag om hulp. Bijvoorbeeld bij het organiseren van crisisoefeningen waarbij inbrekers data stelen of een chantagevirus zich invreet in het gemeentelijke netwerk. ‘Wat zou je op zijn minst moeten doen, op welke manier laat je je doorlichten en welk stappenplan heb je om van de ad-hoc naar de in-controlesituatie te gaan? We lopen crisis­managementscenario’s door. Wat is er met de gegevens op een server gebeurd? Hoe reageert een managementteam? We kijken hoe een managementteam omgaat met een worst case cyberscenario. Hebben jullie überhaupt weleens naar scenario’s gekeken? Nagedacht wie het op jullie gemunt kan hebben? Is er een reactieteam? Is er nagedacht over een persmoment?’

Crisismanagement
Menig managementteam zakt tegen die tijd door het ijs, ervaart Berlijn. ‘Ze denken dat ze professioneel genoeg zijn om het cyberprobleem improviserend te lijf kunnen. Dat is niet meer van deze tijd. Goed crisismanagement doe je voor 90 procent voordat de cybercrisis uitbreekt. Je moet een scenario-analyse hebben gemaakt en weten waar je kwetsbaarheden zitten. Je hebt een protocol en dat heb je gestresstest en geëvalueerd.’

Oefening baart kunst, aldus de oud F-16 vlieger. ‘Ik vraag mensen weleens: “Waarom denk je dat Defensie zoveel kost?” Omdat Defensie veel oefent. Waarom is dat? Omdat Defensie goed voorbereid wil zijn op alle noodsituaties’, zegt hij. Omdat ze geoefend hebben, hebben ze ook het vertrouwen dat ze het aankunnen. De rust keert daardoor ook veel sneller terug. Maar wat zie je meestal? Er is een incident gebeurd, misschien wel een ramp. En vervolgens krijg je de ramp na de ramp – paniek na de paniek,’ zegt hij.

Lees het volledige artikel in Binnenlands Bestuur nr. 8 van deze week. (inlog)