Onderzoek cybersecurity

'Meer onderzoek cybersecurity nodig'

CBS
- 6 July 2018

In het voorjaar luidde prof. Bibi van den Berg de noodklok over het tekort aan cybersecurityspecialisten in Nederland. Van den Berg, verbonden aan de Universiteit Leiden (leerstoel Cybersecurity Governance) en lid van zowel de ICT-raad van het CBS als de Cyber Security Raad (CSR), stelt dat er daarnaast veel meer wetenschappelijk onderzoek in het vakgebied nodig is. Dat deed ze in haar oratie aan de universiteit, waar ze onderzoek doet naar niet-technische maatregelen om cybersecurity te verbeteren.

Cyberrevolutie

Cybersecurity wordt steeds veelomvattender, stelde prof. Bibi van den Berg in haar oratie. ‘Ooit ging het alleen om het beschermen van data. Nu betrekken we bijvoorbeeld ook de gevolgen van verstoringen en uitval van ICT-processen erbij en de structuren van organisaties en de processen die daar spelen. In de afgelopen tien jaar is er zoveel veranderd in de wereld - er heeft zich een cyberrevolutie voltrokken - dat we de gevolgen daarvan nog niet precies kunnen overzien.’

De oratie, getiteld 'De cyberrevolutie: pak me dan als je kan', werd gekenmerkt door een drietal boodschappen. Om te beginnen sprak Van den Berg over het belang van de inbreng van sociale en geesteswetenschappen bij cybersecurity: ‘Het vakgebied is nog steeds heel technisch georiënteerd. Er wordt bijvoorbeeld nog steeds vaak risicomanagement ingezet om de cybersecurity bij bedrijven en de overheid in kaart te brengen. Deze methode is afkomstig uit de technische branche en erg gericht op cijfers. Ik vind dat je die cijfers niet kritiekloos moet toepassen maar bijvoorbeeld ook moet kijken naar risicoperceptie. Wat vinden burgers ervan? Hoe ervaren zij de risico’s? En wat is de rol van uitspraken van politici?’

Vakgebied cybersecurity: verbreding en verdieping

Daarnaast dient het onderzoeksgebied verbreed te worden: ‘We kijken nu alleen naar bewuste aanvallen - zoals hacks - en nog te weinig naar de gevaren van menselijke fouten of bijvoorbeeld natuurrampen. Bovendien is cybersecurity nog voornamelijk gericht op het voorkomen van aanvallen op machines en datasystemen. Voor de gevaren van nepnieuws is geen beleid of methodologie ontwikkeld. Terwijl dit het democratisch proces ernstig in gevaar kan brengen. Een bericht dat zich via sociale media razendsnel verspreidt, is echt niet te vergelijken met de pamfletten die vroeger uit een vliegtuig gegooid werden.’

Tot slot stelde Van den Berg dat er nog te weinig basis is in het vakgebied, te weinig theorie en definities. 'Wat is cybersecurity precies? Wat is cyberterrorisme eigenlijk? Vorig jaar was de containerterminal in Rotterdam enige tijd verstoord door een aanval en de ransomware Wannacry bracht wereldwijd grote bedrijven in de problemen. Dat is ernstig, maar er waren geen mensenlevens in gevaar. Bij een aanval waarbij de elektriciteit voor langere tijd uitvalt of het waterbeheer wordt uitgeschakeld, is dat wel het geval. Hoe goed Nederland is voorbereid op dergelijke aanvallen, weten we nog niet. Er wordt veel in cybersecurity geïnvesteerd. Maar we zijn er nog niet.’

LEES OOK: Kabinet steekt 1,5 miljoen in onderzoek cybersecurity