Cybersecurity is hot. De afgelopen jaren schoten de cybersecurity advisory teams als paddestoelen uit de grond. Grote accountancy-bedrijven stelden teams samen uit net-afgestudeerde mensen, die werden vermarkt als cyberexpert of -adviseur. Cybercriminelen zijn ons tot op de dag van vandaag nog altijd een stap vóór. Wat gaat er mis?
Duizenden cybersecurity-aanbieders
Internationale IT-netwerkbedrijven begonnen met het ontwikkelen en het op de markt brengen van netwerk security-oplossingen (lees: firewalls). Internationale softwarebedrijven begonnen met de ontwikkeling van specifieke softwareoplossingen voor cybersecurity, vaak initieel om hun eigen producten (lees: cloud) te beveiligen. Sommige bedrijven gebruikten zelfs het buzzword AI (Artificial Intelligence), terwijl er tot op de dag van vandaag nog geen echte AI cybersecurity-oplossing is. Machine Learning is namelijk niet hetzelfde als AI. Het resultaat: wereldwijd zijn er inmiddels duizenden cybersecurity-aanbieders.
Samenwerking ontbreekt
Die duizenden cybersecurity-aanbieders hebben elk hun eigen point-oplossing die onderling minimaal verschillen. En de concurrentie is enorm. Op de dag dat ik deze blog schrijf zijn er vijf verschillende cybersecurity webinars. En van enige samenwerking is geen sprake. Hierdoor ziet de eindgebruiker door de bomen het bos niet meer. Hij heeft géén idee wat de juiste manier is om zijn organisatie goed te beveiligen.
Cybercriminelen werken wél samen
De afgelopen jaren is het aantal cyberaanvallen toegenomen. Door een steeds complexere wereld met een exponentiële groei van IoT- (Internet of Things-)apparaten, de invoering van 5G, het opschalen van cloudcomputing en de toepassing van Machine Learning, wordt het aanvalsoppervlak voor de cybercriminelen groter en groter. Terwijl de eindgebruiker alleen toegang heeft tot niet-geïntegreerde en niet-geautomatiseerde point-oplossingen, werken de cybercriminelen nauw samen. Sterker, ze vallen wél geïntegreerd, geautomatiseerd en gecoördineerd aan. Met als gevolg: het aantal succesvolle cyberaanvallen neemt toe.
Politieke urgentie ontbreekt
En er speelt nog iets: cybersecurity wordt nog altijd niet serieus genoeg genomen in de politiek en bij de verschillende publieke organisaties. Er worden mensen op essentiële cybersecurity-posities geplaatst zonder enige relevante cyberkennis of -ervaring. Eén voorbeeld: de positie van commandant van het Defensie Cyber Commando moet vooral een militair zijn. Enige cyberkennis is gewenst, maar is niet vereist. En zo zijn er nog tal van voorbeelden. Ook is er nog altijd géén Ministerie van Digitale Zaken, waardoor bij de politiek cybersecurity een versnipperd onderwerp blijft. Ja, er komt een Vaste Kamercommissie Digitale Zaken, maar dat is vooral een commissie zonder enig mandaat en daadkracht. Ook in het onderwijs ontbreekt nog elk spoor om de volgende generatie hierin op te leiden.
Drastische verandering is noodzaak
Er is, kortom, drastische verandering nodig om de cybercriminaliteit tegen te gaan. Er is samenwerking nodig tussen cybersecurity-aanbieders en ook de politiek en onderwijs moeten dit probleem echt serieus nemen. Anders blijven cybercriminelen ons altijd een stap voor en moeten we niet verbaasd zijn als organisaties worden gehackt, gevoelige en persoonlijke gegevens op straat komen en onze kritische infrastructuur nog altijd heel kwetsbaar blijkt. Laten we leren van onze lessen uit ’t verleden en die inzetten voor een veiligere toekomst.
