De cybersecuritystrategie – pijler 3 en 4
De doelen en bijhorende acties
Begin oktober is de nieuwe Nederlandse cybersecuritystrategie gepresenteerd. Hoe het kabinet deze strategie wil realiseren, lees je in deel I van deze drieluik. In deel II heb ik pijler één en twee uitgelicht en in het laatste deel van deze drieluik ga ik verder in op pijlers drie en vier.
Vier pijlers
De strategie moet het beleid voor cybersecurity de komende zes jaar richting geven en bevat een plan met concrete acties om de digitale weerbaarheid van inwoners, bedrijven en overheidsinstellingen te verbeteren. Om dit te realiseren zijn doelen geformuleerd langs vier pijlers. In mijn vorige blog heb ik pijler één en twee uitgelicht en in deze blog ga ik dieper in op pijler drie en vier.
Een lokale uitwerking van de Nederlandse Cybersecuritystrategie
Om meer aandacht te geven aan het lokale perspectief op digitale veiligheid zijn de Vereniging voor Nederlandse Gemeenten (VNG) en de G4 gemeenten nauw betrokken geweest bij de totstandkoming van de cybersecuritystrategie. Hierbij werd duidelijk dat er voor gemeenten nog een aantal fundamentele uitdagingen zijn, waaraan gezamenlijk moet worden gewerkt. Om de digitale dreiging ook op lokaal niveau beter aan te pakken, hebben Minister Yeşilgöz-Zegerius van J&V, staatssecretaris Van Huffelen van Digitalisering en VNG-voorzitter en burgemeester van Den Haag Van Zanen een convenant ondertekend over de gezamenlijke inzet voor meer digitale veiligheid.
Pijler drie: Tegengaan van digitale dreigingen
van staten en criminelen
Het kabinet wil meer zicht op digitale dreigingen van staten en criminelen, zodat ze op basis hiervan kan handelen. Die dreiging neemt namelijk steeds verder toe, zoals uit het Dreigingsbeeld Statelijke Actoren 2 (DBSA 2) van de AIVD, de MIVD en de NCTV blijkt. Pijler drie richt zich daarom op de nationale en internationale aanpak van kwaadwillende actoren en op het vergroten van het zicht op deze digitale dreiging. De doelen en acties die hierbij horen zijn:
- Nederland heeft zicht op digitale dreigingen van staten en criminelen
Samenwerking met bepaalde staten levert kansen op, maar ook risico’s. Die dreiging kan zich op verschillende manieren uiten. Van het verspreiden van desinformatie tot aan de inzet van (digitale) middelen voor spionage en sabotage. Dit heeft invloed op de nationale veiligheid. De overheid wil daarom beter zicht op handelingen van statelijke en niet-statelijke actoren in de digitale ruimte. Een groot deel van deze opgave is een verantwoordelijkheid van de overheid in samenwerking met de politie, het Openbaar Ministerie (OM) en de Inlichtingen- en Veiligheidsdiensten. Het kabinet investeert dan ook fors in de onderzoekscapaciteit van deze diensten. Hierdoor ontstaat breder zicht in huidige en voorspelbare digitale dreigingen. - Nederland heeft grip op digitale dreigingen van staten en criminelen
De overheid gaat de komende jaren vaker proactief (cyber)inlichtingen delen, om zo anderen in staat te stellen hun weerbaarheid te verhogen of op te treden tegen cybercriminelen. Dit draagt bij aan het beperken van de impact indien een dreiging zich manifesteert. Daarnaast wil de overheid, nog meer dan nu, proactief optreden wanneer onze belangen worden geschaad. Uiteraard binnen de juridische kaders. Het OM breidt de komende jaren haar kennis en kunde uit op dit onderwerp en onderzoekt de mogelijkheid om middels een ‘fast-track’ rechtszaken versneld af te doen. Daarnaast worden er, samen met (inter)nationale partners, meer diplomatieke middelen ingezet in reactie op cyberaanvallen en -incidenten. Wanneer juridische kaders de operationele slagkracht te veel beperken om het doel te bereiken, wordt verruiming van deze kaders overwogen. - Staten houden zich aan het VN normatief kader voor verantwoordelijk statelijk gedrag in de digitale ruimte
Nederland staat aan de basis van stevige coalities die moeten zorgen voor verantwoordelijk statelijk gedrag in de digitale ruimte. Het kabinet investeert daarom in het cyberdiplomatennetwerk. Daarnaast zet het kabinet zich in coalitieverband in voor naleving van internationale gedragsnormen en toepassing van het internationaal recht in het digitale domein, alsook voor een open, vrij en veilig internet. Samen met internationale partners worden nieuwe en effectievere opties voor diplomatieke respons op cyberdreigingen ontwikkeld. Bestaande kaders en instrumenten zoals het interdepartementale cyber responskader, de EU Cyber Diplomacy Toolbox en de NATO Guide worden doorontwikkeld. Ook bouwt het kabinet verder aan het Rijksbreed Responskader voor Statelijke Dreigingen, waarmee zij snel terug kan duwen tegen een kwaadwillende statelijke actor. Het doel hiervan is om af te schrikken maar ook om het effect van bepaalde acties zo klein mogelijk te maken. Tot slot, breidt Defensie haar bijstandsconstructies uit om andere organisaties te kunnen helpen bij grootschalige incidenten. Dit gebeurt onder andere via het Nationale Respons Netwerk (NRN).
Normatief kader voor verantwoordelijk statelijk gedrag in de digitale ruimte
Om de dreiging van destabiliserende cyberaanvallen het hoofd te bieden is het noodzakelijk om internationale afspraken te maken. In VN verband wordt daarom sinds 1998 onderhandeld over de spelregels die gelden in de digitale ruimte Dit is inmiddels uitgegroeid tot meerdere overleggen en onderhandelingsmechanismes gericht op de digitale ruimte, waaraan ook Nederland actief bijdraagt of heeft bijgedragen: de Group of Governmental Experts (GGE), de Open Ended Working Group (OEWG), en het Program of Action (PoA). De behoefte aan stabiliteit heeft geleid tot de vaststelling van een normatief kader voor verantwoordelijk statelijk gedrag in de digitale ruimte, waarmee de VN-lidstaten in 2021 hebben ingestemd. Het uitgangspunt is dat bestaand internationaal recht van toepassing is in de digitale ruimte.
Pijler vier: Cybersecurity-arbeidsmarkt
en ook onderwijs en digitale weerbaarheid van burgers
Pijler twee focust zich op de mens achter de techniek en de digitale weerbaarheid van burgers. Door de snelle digitalisering van onze maatschappij komen kinderen op steeds jongere leeftijd in aanraking met digitale producten en diensten. Voor de hele samenleving geldt daarom dat we digitale vaardigheden moeten ontwikkelen. Van basiskennis en -vaardigheden tot aan hoogwaardige kennis en specialistische vaardigheden op cybersecurityvlak. We moeten het bewustzijn van cyberrisico’s onder burgers vergroten. De doelen en acties die hierbij horen zijn:
- Burgers zijn goed beschermd tegen digitale risico’s
Het is belangrijk dat burgers zelfredzaam zijn en over de nodige basiskennis en -vaardigheden beschikken om maatregelen te kunnen nemen tegen cyberdreigingen en daarmee risico’s te verkleinen. Het is daarbij belangrijk dat zij deze maatregelen ook daadwerkelijk toepassen bij het gebruik van digitale diensten. Bijvoorbeeld het gebruik van sterke wachtwoorden, multifactorauthenticatie, het maken van back-ups, het uitvoeren van updates en het adequaat reageren op phishingaanvallen. Het is belangrijk dat er op vertrouwde en bekende plekken laagdrempelige toegang is tot informatie en dat er advies op maat beschikbaar is voor het vergroten van digitale (veiligheids)vaardigheden. Dit vraagt om specifieke campagnes voor verschillende doelgroepen, gericht op de maatregelen die voor hen van toepassing zijn. - Burgers reageren snel en adequaat op cyberincidenten
Het moet voor burgers duidelijk zijn waar zij informatie kunnen vinden. Ook moet iedereen worden geïnformeerd over het handelingsperspectief. Wat moeten zij doen in het geval van een incident? Tot slot moet iedereen in de toekomst eenvoudig melding of aangifte kunnen doen van cyberincidenten, zoals phishing. De politie maakt het daarom vanaf 2023 mogelijk om online melding of aangifte te doen van cyberincidenten. - Leerlingen krijgen onderwijs in digitale vaardigheden gericht op veiligheid
Momenteel zijn digitale vaardigheden, waaronder bewustwording van cyberrisico’s en veiligheid, geen onderdeel van het landelijk curriculum voor het basis- en voortgezet onderwijs. Dit moet veranderen. Digitale vaardigheden gericht op veiligheid worden daarom onderdeel van het landelijk curriculum in het primair en voortgezet onderwijs. Stichting Leerplan Ontwikkeling (SLO) ontwikkelt samen met het onderwijsveld concrete kerndoelen voor de basisvaardigheden waar digitale veiligheid deel van uit moet maken. Ook moeten docenten in het primair en voortgezet onderwijs (met hulp van anderen) hier vaardig in zijn en goed les in kunnen geven. Het ‘masterplan basisvaardigheden’ dat wordt opgezet, moet ervoor zorgen dat de leraar in staat is om het beste onderwijs te geven in taal, rekenen/wiskunde, burgerschap én digitale geletterdheid. - De Nederlandse arbeidsmarkt kan voldoen aan de toenemende vraag naar cybersecurity-experts
Om de toenemende vraag naar cybersecurity-experts het hoofd te bieden, moet worden ingezet op voldoende specialisten op de arbeidsmarkt. Hiervoor is publiek-private samenwerking essentieel. Om te zorgen voor een beter aanbod moet duidelijk zijn waar het tekort naar cybersecurity-experts precies zit en welk aanbod er nodig is om dit op te lossen. Ook moeten er meer cybersecurity-opleidingen komen op zowel mbo, hbo als wo niveau, die aansluiten op de arbeidsmarkt. Net als het aanbieden van bij- en omscholingsprogramma’s voor cybersecurity-expertise. Het kabinet werkt daarom samen met onderwijsinstellingen aan bij- en omscholingsprogramma’s om de cybersecurity-expertise van werknemers te vergroten. Ook investeert het kabinet in hbo-opleidingen in de bètatechniek, waar cybersecurity-opleidingen ook onderdeel van zijn.
Benieuwd naar een uitgebreid overzicht van alle acties die bij pijler drie en vier horen? Lees dan het gehele ‘Actieplan Nederlandse Cybersecuritystrategie 2022-2028’.
Meer verantwoordelijkheid bij de burger
Zoals je hebt kunnen lezen, gaat ook de burger met het cybersecuritybeleid te maken krijgen. Zo wordt er van burgers verwacht dat ze veilig werken, onder andere door multifactorauthenticatie en veilige wachtwoorden te gebruiken en phishing mails te herkennen. Ook neemt de overheid zich voor burgers snel van begrijpelijke informatie te voorzien en burgers in staat te stellen eenvoudig melding of aangifte te laten doen van cyberincidenten, zoals phishing.
Met name dat eerste wordt nog een hele uitdaging. Veel burgers voelen de urgentie (nog) niet en een groot deel van de Nederlanders gebruikt slechte of te eenvoudige wachtwoorden. Simpele wachtwoorden zijn echter niet het enige probleem. Ook gebruiken we hetzelfde wachtwoord voor verschillende accounts en veranderen veel mensen hun wachtwoorden nooit. Daarnaast is het voornemen om burgers beter phishing mails te laten herkennen bijna onmogelijk. Dit komt doordat phishing mails tegenwoordig zo goed worden nagemaakt dat ze niet van echt te onderscheiden zijn. Mijns inziens is het daarom redelijker om de impact van phishing mails te beperken, middels technische maatregelen. Dus we moeten er zeker niet mee stoppen, maar we moeten wel reële verwachtingen hebben over wat de mens hierin kan leren.
De plannen om samen met het bedrijfsleven te werken aan een platform voor wederkerige cybersecurity informatie- en kennisdeling, zijn erg mooi. Want, één van de grootste uitdagingen bij de uitvoering van de gehele strategie (zoals ook benoemd in de eerste blog), is de behoefte aan meer cybersecurityspecialisten. Niet alleen de overheid zelf heeft veel meer specialisten nodig, ook de leveranciers die aan nieuwe hogere eisen moeten voldoen hebben meer medewerkers nodig op dit vlak. En er is op dit moment al een groot tekort aan cybersecurityspecialisten. Kortom, het succes van de cybersecuritystrategie staat of valt met het oplossen van die tekorten .