Het aantal berichten over succesvolle ransomware stijgt onophoudelijk, het aantal gehackte bedrijven neemt nog dagelijks toe en de cybercriminelen verdienen meer geld dan ooit tevoren. Wat gaat hier mis?
Ondanks de hierboven genoemde feiten, nemen veel organisaties cybersecurity nog steeds niet serieus genoeg met als gevolg dat er te weinig wordt geïnvesteerd in cybersecurity. Dit blijkt vooral uit het feit dat relatief eenvoudige aanvallen, zoals ransomware, nog steeds zeer succesvol zijn (voor de cybercriminelen) en blijkbaar niet kunnen worden voorkomen. Waarschijnlijk ontbreekt de noodzakelijke basale cyber-hygiëne nog steeds bij een groot aantal organisaties, wat onbegrijpelijk is in de huidige digitale wereld. Tevens constateer ik dat er nog steeds teveel organisaties geen CISO met het benodigde mandaat hebben aangesteld. Een CISO met mandaat en die een Zero Trust aanpak nastreef, kan in de huidige complexe tijd namelijk het verschil maken tussen wel of niet worden gehackt.
Aan de andere kant zijn er ook veel te veel securitybedrijven in de wereld, die allemaal hun eigen ‘oplossing’ promoten. Het draait blijkbaar alleen om hun eigen winst en niet om het algemeen belang. Uitzonderingen daargelaten, wordt er vooral geconcurreerd en niet samengewerkt. Daarnaast hebben investeringsmaatschappijen deze groeimarkt ook ontdekt, waardoor er een levendige handel is ontstaan in cybersecurity bedrijven. Het gevolg is dat er voortdurend nieuwe cybersecuritybedrijven worden opgericht, die allemaal met een vergelijkbare oplossing komen waardoor de cybersecurityindustrie nog voller wordt met ‘point products’. Dit komt de overkoepelende aanpak van cybercriminaliteit niet ten goede.
Als wij dan iets verder inzoomen op de cybersecurity bedrijven zelf en met name op de bedrijven die cyberconsultancydiensten aanbieden, dan constateer ik nog steeds dat mensen met minimale cybersecurity ervaring, een dansdiploma en een certificering van een multiple-choice cybersecurity cursus bij klanten worden gepositioneerd als ‘cybersecurity advisor’ or ‘ cloud security architect’. Blijkbaar is echte cybersecurity ervaring in het veld niet noodzakelijk om gedegen cyber advies te kunnen geven. Daarnaast helpt het ook niet dat de organisaties, die CISO-vacatures plaatsen, geen idee hebben waar een CISO aan moet voldoen. Het gevolg is dat er een schaap met de vijf poten wordt gevraagd met minimaal 10 jaar ervaring voor een zeer mager salaris.
Hoe zit het dan bij de overheid?
Helaas is de situatie bij overheden niet veel beter, want ook hier wordt cybersecurity niet gezien als ‘core business’, maar meer als ‘noodzakelijk kwaad’. Dit blijkt vooral uit de salarisschalen waarmee overheidsorganisaties proberen cybersecurity professionals aan te trekken. Een voorbeeld hiervan is de functie van CISO bij de Nationale Politie, die verantwoordelijk is voor de IT-beveiliging van het gehele (!) Nederlandse politiecorps. De vacature tekst beschrijft dat de maximale vergoeding ligt op een schaal 14 (6.889 euro bruto), hetgeen niet in verhouding ligt met de taken en verantwoordelijkheden van een CISO-functie voor de Nationale Politie. ‘If you pay peanuts, you get monkeys’.
Daarnaast is cybersecurity binnen de overheid enorm versnipperd, hetgeen het delen van informatie en het leren van de ‘lessons learned’ niet ten goede komt. Er is geen centrale plaats of organisatie waar alle belangrijke informatie wordt verzameld, verbanden worden gelegd en waar de lessen daadwerkelijk kunnen worden geleerd op basis waarvan vervolgens beleid kan worden ontwikkeld. Er zijn weliswaar verschillende ‘verzamelingscentra’ (NCSC, Digital Trust Center, HSD, ECP, Brainport Eindhoven, AIVD, MIVD, Nationale Politie, High Tech Crime Team, regionale politiecorpsen, etc.) die allemaal hun eigen ‘ding doen’, maar van enige centralisatie is geen sprake.
Is het dan alleen maar ‘kommer en kwel’?
Nee, gelukkig zijn er ook positieve ontwikkelingen te melden. De roep om een ministerie van Digitale Zaken wordt steeds luider, evenals de wens om het vak ‘Digitalisering’ op basis- en middelbare scholen in te voeren. Daarnaast zijn er natuurlijk organisaties die cybersecurity wel serieus nemen en de juiste investeringen durven te doen in cybersecurity. Dit zijn dan ook de bedrijven die het begrijpen en die wij NIET op de voorpagina’s vinden als er weer een succesvolle ransomware aanval is geweest …
Helaas zijn dit de uitzonderingen en is het merendeel van de organisaties nog steeds niet echt wakker, wat in mijn ogen onbegrijpelijk is als je ziet hoe de digitale wereld werkt. Daarnaast werkt de cybersecurityindustrie ook niet echt mee en blijven de honderden (!) cybersecurity bedrijven hun ‘point products’ aanbieden, zoals ze al jaren doen … Helaas, omdat organisaties daar nog steeds om vragen. De cybersecurity industrie is ziek en moet snel beter worden!
Fred Streefland is directeur Cybersecurity (CSO/DPO) bij Hikvision.