Cybersecurity en geopolitiek gaan hand in hand

Jaren geleden nodigde ik mijn oud-KMA-jaargenoot Rob Bertholee uit om een lezing te geven inzake cybersecurity. Rob was toen hoofd van de AIVD. Hij vertelde over de wijze waarop vooral China en Rusland voortdurend cyberaanvallen uitvoerden en ook langs allerlei wegen spioneerden bij bedrijven en overheden. De Chinezen deden het wat opzichtig en ruw, de Russen waren wat ontwikkelder.

De zaal stelde de vraag wat daaraan te doen was? Ja, waakzaam zijn en niet naïef. Gaat de regering daar dan niets aan doen, was de vraag. Nee was het antwoord, want de economische en politieke belangen zijn immers groot (en natuurlijk doen wij het ook…). Inmiddels is er niet zoveel veranderd als je de jaarverslagen van de AIVD leest. Dit staat er in hun voorwoord over het verslagjaar 2021:

‘Nederlandse burgers, bedrijven en overheden stonden in 2021 continu bloot aan het risico van cyberaanvallen door andere landen. China en Rusland lopen daarin voorop. Zij hebben offensieve cyberprogramma’s die grote aantallen hackers inzetten om te spioneren, kennis te stelen of sabotage voor te bereiden of te plegen. Veel dreigingen in 2021 zijn een samengaan van nationaal en internationaal, digitaal en fysiek, statelijk en non-statelijk. Dit, gedragen door technologie en digitalisering, zorgt ervoor dat nieuwe ontwikkelingen snel kunnen opkomen.’

Inmiddels weten we dankzij de oorlog in Oekraïne dat de dreiging vanwege cyberaanvallen groter en manifester is geworden dan ooit tevoren. Het is dus ook een zaak van geopolitiek en daarmee van strategisch belang, niet alleen voor het grootbedrijf. Dat betekent dus dat bedrijven en burgers meer maatregelen dienen te nemen om te voorkomen dat ze slachtoffer worden. De voorbeelden kunt u zelf wel bedenken, Maersk, de universiteit van Maastricht, het zijn er maar een paar.

Ik weet niet hoe het u vergaat, maar ik zie toe op een aantal organisaties en heb het van nabij meegemaakt, soms onschuldig, soms irritant, maar ik vrees de dag dat het meer is dan dat. Achterdeuren in systemen staan vaak wagenwijd open, wachtwoorden worden gedeeld, updates niet uitgevoerd en hardware is inmiddels voorzien van technieken waarmee spionage kinderlijk eenvoudig is geworden. Het is een ‘wapenwedloop’ geworden, in dit verband een toepasselijke term. Criminelen en statelijke actoren worden steeds slimmer en machtiger en dus rest ons allen niet veel meer dan veel geld en energie te stoppen in maatregelen.

In nagenoeg alle gevallen waar het misging bleek de constante factor overigens de mens te zijn. De oplossing zoeken we vaak in techniek, maar dat helpt dus onvoldoende. Er moet meer energie gestopt worden in trainingen en in mensen bewust maken van de risico’s en hoe die te voorkomen. Dat is dus niet één training, nee, dat is continu aandacht vragen voor de gevaren. Dat betekent ook dat internal auditors meer tijd moeten steken in het vaststellen dat cyberrisico’s in kaart zijn gebracht en gemitigeerd. Internal audit moet dan zelf voortdurend werken aan bijscholing, want de ontwikkelingen in dit domein gaan snel. Permanente educatie wordt letterlijk permanent, zeker dankzij dit onderwerp. Laat het niet aan dovemans oren gericht zijn.

Waarde lezer, dit is mijn laatste column. Op 8 december 2022 is mijn afscheidscollege op Nyenrode. Na drie jaar neemt Thijs Smit mijn rol over en daarmee is dat in uitstekende handen. Het was mij een genoegen u af en toe een spiegel voor te houden. Uw beroep is mij dierbaar, heeft mij mede gevormd en bijgedragen aan de nieuwsgierige houding die noodzakelijk is voor elke verantwoordelijke positie die ik daarna mocht bekleden. Ik wens u hetzelfde toe en dan weet ik zeker dat uw organisatie daarmee gebaat is. Het ga u goed.