Visie: Meldkamer en digitale brandweer
De Europese Commissie vindt dat bedrijven onmiddellijk melding moeten maken van cyberaanvallen. Als ‘meldkamer’ noemt de commissie de instanties die daar op nationaal niveau mee belast zijn. Het melden van cyberaanvallen is beslist nuttig, maar het roept de vraag op wat er dan gebeurt ná zo melding. Moet er een digitale brandweer uitrukken?
De Europese Commissie blijft voortvarend te werk gaan en heeft onlangs richtlijnen voorgesteld voor betere netwerk- en informatiebeveiliging. Het plan voor demeldkamer past hierin. Het doel dat de commissie heeft, is een betere uitwisselingvan cybercrime-informatie. De ervaringen van de afgelopen tijd hebben laten zien dat daar grote behoefte aan is. Meer en betere informatie is een prima startpunt.
Maar daarna zal er toch direct actie ondernomen moeten worden. Door wie en hoe? De digitale brandweer!Het plan voor een digitale brandweer stamt al uit najaar 2011. De SPlanceerde toen het voorstel om een ict-brigade op te richten die dag en nacht paraat staat om digitale beveiligingsrampen te bestrijden. Bij dat voorstel is het niet gebleven. De Vereniging Nederlandse Gemeenten (VNG) heeft inmiddels besloten om een dergelijke brandweer op te zetten. Onder de officiële naam Informatiebeveiligingsdienst (IBD) wordt hulp geboden bij grote cyberincidenten, denk aan Diginotar, Dorifel of ernstige beveiligingslekken. Prima initiatief, maar deze brandweer blust alleen bij gemeenten. Tot nu toe werd verwacht dat ons nationale cybersecuritycentrum NCSC de gemeenten ondersteunt bij een ICT-crisis. Dat centrum is daar echter nooit voor opgericht.
Voor gemeenten is er nu iets geregeld, maar hoe moet het met bedrijven?Het zou toch erg jammer zijn als er straks wel melding wordt gemaakt van allerlei cyberincidenten, maar dat het bedrijf dat die melding doet, vervolgens zelf maar moet uitzoeken hoe dat incident moet worden aangepakt.
Het is een aantrekkelijk idee om in analogie met de echte brandweer voor ons allemaal een digitaal equivalent te hebben. Een brandweer die helpt met preventie, de ‘brandveiligheid’ controleert en, voor het geval het onverhoopt misgaat, onmiddellijk uitrukt om de brand te komen blussen. Op commerciële basis bestaat zo’n brandweer al. Zo bieden diverse IT-dienstverlenerseen digitale brandweer die gebeld kan worden bij een probleem met de computerbeveiliging.Sommigen doen meteen ook aan forensisch werk en geven, als dat nodig is, informatie over de cybercrime door aan politie- en inlichtingendiensten. Die brandweer komt natuurlijk niet gratis. En met de oprichting van het IBD, die dus alleen bij de gemeenten komt blussen, is 2 miljoen euro gemoeid.
Maar behalve de kosten van de brandweer speelt de reactiesnelheid een rol. Bij een echte brand, zeker als het een grote is of als er slachtoffers vallen, wordt direct de vraag gesteld of de brandweer wel binnen de afgesproken tijd bij de brand is gearriveerd en of de meldkamer adequaat heeft gereageerd. En hier beginnen de problemen met de vergelijking van een digitale brandweer en een echte brandweer.
Zo liet onze kandidaat-meldkamer, het Nationaal Cyber Security Centrum (NCSC) weten dat het nodig is om de ip-adressenvan bedrijven te kennen om ze gericht te kunnen waarschuwen voor een cyberaanval. Dit na een bericht over het feit dat duizenden bedrijven en instanties niet op de hoogte waren gesteld van een cyberaanval. Politie en Justitie wisten al maanden dat tienduizenden pc's besmet waren, maar hebben nauwelijks iets met die informatie gedaan of kunnen doen, zo blijkt uit de berichtgeving.
Het is in de praktijk helemaal niet zo eenvoudig is om een goede infrastructuur op te zetten voor een organisatie die én zeer goed op de hoogte is van bedreigingen én in staat is die informatie direct te verspreiden én uitstekend samenwerkt met politie en justitie én kan helpen om een digitale brand te blussen. Voor zover ik weet ambieert het NCSC dit zeker niet allemaal.
Wat dan wel? Om te beginnen zou de meldkamer - NCSC dus -nog beter en vooral ook breder moeten gaan functioneren als dé informatie- en waarschuwingsdienst. Nu wordt de overheid gewaarschuwd en 40 tot 50 ‘bedrijven uit vitale sectoren’, vooropgesteld dat zij hun ip-adres hebben doorgegeven. Hoe lastig het misschien ook is, ik denk dat alleen een overheidsinstelling, in samenwerking met politie, justitie én IT-beveiligingsbedrijven, in staat is om de overheid én het gehele Nederlandse bedrijfsleven onafhankelijk, snel en adequaat te informeren over de IT-beveiligingsrisico’s die zij lopen.
Als het misgaat zal er vervolgens een commerciële digitale brandweer moeten komen die meteen ook innovatieveen effectieve ‘blusmiddelen’ kan leveren. Een landelijke digitale brandweer zie ik echt niet van de grond komen. Te ingewikkeld en veel te duur. Bovendien, waar zou de kazerne moeten komen?
Wim van Campen is Vice President Northern and Eastern Europe bij McAfee
