‘Laten we stoppen om bekrompen te denken over de beveiliging van computernetwerken’, zegt Ciaran Martin van SANS. ‘Onze immer evoluerende digitale wereld kan op onvoorspelbare manieren worden verstoord – en het fysieke aspect wordt bij het zoeken naar strategische beveiliging (en veerkracht) steeds belangrijker.’

De roep om bredere veiligheidsmaatregelen klinkt door in zowel de digitale als in fysieke wereld. Admiraal Rob Bauer (voorzitter van het Militaire Comité van de NAVO) waarschuwde onlangs dat Nederland zich actiever op oorlog moet voorbereiden. Eerder dit jaar waarschuwde hij dat zowel de publieke als private sector hun mindset moeten veranderen van een tijdperk waarin alles plan-, voorspel- en controleerbaar was naar een tijdperk waarin alles op elk moment kan gebeuren, waarin we het onverwachte moeten verwachten én ons op effectiviteit moeten richten (zoals we ook bij Cybernautics-FERM hebben gezien, red.)

Een bijdrage van Ciaran Martin, Director SANS CISO Network and Summits EMEA

De dreigingen, en daarmee de verdediging en beveiliging van de digitale wereld, zijn het afgelopen decennium drastisch veranderd. Toen was cyberbeveiliging operationeel moeilijk, maar conceptueel nog heel eenvoudig. Er was één model van het internet, grotendeels gebouwd door de Amerikaanse privésector, en sommige mensen speelden vals: dat was het.

De wereld bevindt zich inmiddels in een tijd waarin er meer op het spel staat, maar ook randzaken een veel grotere rol spelen. Als we kijken naar geopolitieke kwesties, moeten we kijken naar dingen als de stroomvoorziening van ons datacenter, de locatie van dat datacenter en wie het bewaakt. Als je kijkt naar het nationale risiconiveau wil je weten waar de kabels liggen, wie de eigenaar is en wie ze controleert. Is de Nederlandse marine in staat om een fysieke aanval erop af te slaan?

Afhankelijkheid

Bauer merkt deze ongemakkelijke waarheid ook op. Hij stelt dat voor veel organisaties klimaat en biodiversiteit prioriteit zijn, maar dat niemand het heeft over de onveiligheid in de wereld. Beveiliging, virtueel of fysiek, wordt meestal gezien als omslachtig en kost geld. Bovendien heerst bij veel mensen de opvatting dat als landen zaken met elkaar doen, ze economisch van elkaar afhankelijk zijn en er dus nooit oorlog kan zijn. Die aanname wordt behoorlijk gelogenstraft, aldus Bauer. De boodschap van de NAVO-chef is dat iedereen nodig is om een land te beveiligen, zowel digitaal als fysiek. De uitdaging zit hem in de kosten.

“Lange tijd werd er alleen maar gedacht aan geld, geld, geld. De industrie moest zoveel mogelijk geld verdienen en de overheid moest zo min mogelijk uitgeven. Nu zijn we afhankelijk van China voor noodzakelijke grondstoffen, zoals we afhankelijk waren van Rusland voor energie. De industrie moet strategischer kijken naar haar toeleveringsketens. Van de meest geavanceerde computerchips wordt ongeveer 90 procent in Taiwan geproduceerd. Als daar een oorlog uitbreekt, wordt het Oekraïne-conflict economisch gezien kinderspel.”

“Als je kijkt naar het nationale risiconiveau wil je weten waar de kabels liggen, wie de eigenaar is en wie ze controleert.
Is de Nederlandse marine in staat om een fysieke aanval erop af te slaan?”

Ciaran Martin – Director SANS CISO Network and Summits EMEA, oprichter en eerste CEO van het National Cyber Security Center (UK)

Aanpasbare antwoorden

Het internet is gebaseerd op het zo goedkoop en snel mogelijk versturen van producten. Het idee is dat er een heel eenvoudig model van technologische connectiviteit is dat bestaat uit een virtuele snelweg en naadloos werkt omdat als er een stukje wordt verstoord, er snel een andere route wordt gevonden. Het is echter veel ingewikkelder geworden dan dat, en deze digitale snelweg kan op verschillende onvoorspelbare manieren worden verstoord.

Als je kijkt naar strategische beveiliging en veerkracht moet je ook nadenken over het fysieke aspect ervan. De energievoorziening, de datacenters, de kabels, de chips, et cetera. De technologiesector kan in dit opzicht leren van het leger, omdat zij erg sterk zijn in logistiek en logistieke ketens. Het leger begrijpt hoe dingen werken en ze begrijpen aanpasbare reacties, dus technologie zou daar echt van kunnen leren.

Massale verstoring

Vooral het leger en strategische nationale veiligheidsplanners kunnen nog wat leren van de cyberbeveiligingssector. Iets wat de cyberindustrie lang geleden heeft geleerd, is dat cybercapaciteiten niet in staat zijn om te toveren. Tot nu toe is het een wapen van massale verstoring en ergernis, maar niet van vernietiging. Maar we moeten duidelijk maken dat cyber niet zozeer een spectaculair als wel een heel moeilijk, vaak vervelend, organisatorisch probleem is. Het is hard ploeteren. Het gaat om risicovermindering. We proberen al jaren van cyber een ander bedrijfsrisico te maken. Aanvallen door staten zijn niet noodzakelijkerwijs een oorlogsdaad; zo werkt cyber gewoon niet. We moeten accepteren dat elke vorm van bedreiging deel uitmaakt van ons dagelijks leven, of het nu gaat om oorlog, hybride spanningen of vrede. Bedrijven leven in een staat van constante cyberdreiging, en ik denk dat naties hetzelfde moeten doen zonder al te veel geobsedeerd te zijn over de vraag of dat betekent dat je in oorlog bent of niet.

Sluit je aan bij FERM

Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.

Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode van 3 maanden verbonden.
Ook krijg je direct en zonder voorwaarden een voucher van 500 euro voor diensten uit ons portfolio.
Besluit je na 3 maanden om participant te blijven, dan krijg je 1/3 van de fee ook direct als voucher retour.

Vind FERM ook op LinkedIn

Deel dit bericht