‘Honderd procent beveiliging tegen cyberaanvallen is niet alleen onmogelijk, het is ook onwenselijk’

Bedrijven en instellingen kunnen zich tegen cyberaanvallen beschermen met „5 basisprincipes van digitale weerbaarheid”, stelt het Nationaal Cyber Security Centrum (NCSC) op zijn website. „Vaak maak je met relatief eenvoudige stappen je organisatie een stuk digitaal weerbaarder”, aldus het NCSC.

Maar, waarschuwt Ronald van der Zon, coördinerend adviseur bij het NCSC: „Honderd procent beveiliging tegen cyberaanvallen is niet alleen onmogelijk, het is ook onwenselijk.”

Een jaar of twintig geleden, zegt Van der Zon, kon je het IT-landschap nog zien als een verzameling kastelen met een ophaalbrug. Bedrijven hadden hun eigen systeem voor beveiliging, de systeembeheerder stelde de grenzen ervan vast op basis van wat mogelijk was, en de rest van de onderneming bemoeide zich er weinig mee.

„In de huidige tijd is dat volledig anders: vanuit de hele organisatie worden er van alle kanten eisen gesteld aan de IT. De behoefte van de business staat nu centraal. In plaats van aan een kasteel doet het IT-systeem nu denken aan een winkelcentrum waar iedereen in- en uitloopt.” Dat vraagt om een nieuwe benadering van de cyberbeveiliging.”

Afwegingen bij beveiliging

„Het is niet meer te doen om van incident naar incident te racen en te zeggen: we gaan zorgen dat dit nóóit meer kan voorkomen”, vervolgt hij. „De discussie zou moeten gaan over de vraag tot welk niveau je met je beveiliging wilt gaan. Want beveiliging kost geld, veel geld, en heeft ook andere consequenties. Veiligheidsmaatregelen kunnen ertoe leiden dat samenwerken minder efficiënt wordt.

„Als wij als Nederland ondernemend willen zijn om te kunnen concurreren met de rest van de wereld, is het waarschijnlijk niet wenselijk om te streven naar honderd procent cyberveiligheid. Ondernemen gaat gepaard met risico’s, de vraag is welke risico’s je acceptabel vindt.”

Waar in het verleden het beleid rond cyberveiligheid werd bepaald door harde eisen te stellen, zoals het gebruik van sterke wachtwoorden, vraagt de complexe omgeving waarin IT zich tegenwoordig bevindt volgens Van der Zon om flexibel risicomanagement dat op de omstandigheden is afgestemd. „Je kunt wel zeggen: overal in de zorg moeten we, om de identiteit van de persoon die inlogt vast te stellen, alleen nog werken met tweefactor-authenticatie [waarbij naast een wachtwoord nog een tweede identificatiestap vereist is]. Maar op een eerstehulppost waar spoed soms vereist is, kan dat te omslachtig zijn en moet je iets anders verzinnen.”

Veiligheidsmaatregelen kosten geld, veel geld, en kunnen er ook toe leiden dat samenwerken minder efficiënt wordt

Digitale weerbaarheid bestaat niet alleen uit het voorkomen van cyberaanvallen en datalekken, benadrukt Van der Zon. Drie andere zaken zijn zeker zo belangrijk: het ontdekken van inbreuken op het systeem, de juiste manier om erop te reageren en het herstellen van de opgelopen schade. „Als het niet gelukt is een aanval te voorkomen, dan is er altijd veel aandacht voor het eerste punt: waarom kon dit niet worden voorkomen. Maar die drie andere punten zouden we meer aandacht moeten geven. Als er een inbraak in je systeem is, maar je weet het probleem binnen enkele minuten op te lossen, dan help je in belangrijke mate mee om de risico’s te beperken.”

Zorg

Naast het NCSC zijn er nog vier gespecialiseerde teams opgericht die hulp kunnen verlenen bij cyberincidenten: die voor gemeenten, waterschappen, onderwijs- en onderzoeksinstellingen en de zorg.

Z-CERT, het expertisecentrum voor cybersecurity in de zorg, heeft naar aanleiding van de recente ransomware-aanval op het lab van Clinical Diagnostics in Rijswijk zijn „tien tips tegen ransomeware” geactualiseerd. Deze tips overlappen deels die van het NCSC, maar gaan nog wat verder. Over back-ups van belangrijke gegevens staat er bijvoorbeeld: maak „drie kopieën van je data, op twee verschillende opslagmedia en een kopie offline”.

„Cyberweerbaarheid is voor de zorg niet per se anders dan voor andere sectoren”, zegt Z-CERT-directeur Wim Hafkamp. „Maar we hebben in Nederland een heel complexe infrastructuur waarin de ziekenhuizen en ander zorgorganisaties veel taken hebben uitbesteed. Bovendien is er de afgelopen jaren veel gedigitaliseerd. Dat kan leiden tot kwetsbaarheden. Omdat er ook gevoelige persoonlijke gegevens in het geding zijn, maakt dat de zorg tot een gewild doelwit van cybercriminelen. Bestuurders moeten zich dat realiseren.”

Z-CERT ziet dat niet alle zorginstellingen voldoende beveiligingsmaatregelen hebben genomen. Zo schort het volgens Hafkamp vaak aan de snelheid waarmee oplossingen voor kwetsbaarheden in de software worden ingevoerd. „Je systeem moet zo ingericht zijn dat het aanpassingen zeven dagen per week, en 24 uur per etmaal kan doorvoeren.”

Maatregelen om het personeel te trainen om niet op verdachte links in emails te klikken, vindt Hafkamp ook belangrijk. „Je moet continu blijven oefenen. Daardoor wordt de kans dat iemand in de val trapt steeds kleiner. Maar een crimineel heeft maar één iemand nodig die er wél in trapt. Daardoor sta je altijd een beetje op achterstand. Het blijft voor iedereen opletten, elke dag weer.”

Als grote cyberaanvallen bekend worden leidt dat vaak tot veel publiciteit – „en hopelijk werkt dat voor organisaties als een wake-upcall”, zegt Hafkamp. „Ik heb een achtergrond van informatiebeveiliging in de financiële sector, en daar zag je hetzelfde proces: de opkomst van fraude via internetbankieren leidde tot bewustwording en tot een strengere aanpak van de toezichthouder. Ik verwacht dat het met de cyberveiligheid binnen de zorg ook zo gaat.”

We zijn principieel tegen betaling van losgeld. Dan houd je het systeem van criminelen in stand

Hafkamp wil niet ingaan op de recente diefstal van medische gegevens van het lab van Clinical Diagnostics en de vraag of daar losgeld is betaald. Maar in het algemeen, zegt hij, „zijn we principieel tegen het betalen van losgeld. Want als criminelen er geld aan kunnen verdienen, dan houd je daarmee hun systeem in stand.”

Daar maakt Hafkamp wel een kanttekening bij: „Het kan ook echt een dilemma zijn. Bijvoorbeeld als er een grote maatschappelijke ontwrichting ontstaat doordat een instelling niet meer bij zijn data kan. Of wanneer er een gevaar voor patiënten ontstaat. In dat soort gevallen kan ik me voorstellen dat een organisatie toch losgeld betaalt.”

Daling

Particuliere bedrijven voor cybersecurity spelen een belangrijke rol bij zowel het versterken van de digitale weerbaarheid, als bij het reageren wanneer er onverhoopt iets misgaat. Stefan van den Braak, accountmanager van het bedrijf NFIR, ziet de afgelopen jaren een daling van het aantal cyberincidenten. Dat is volgens hem te danken aan zowel grotere bewustwording van de risico’s als aan sterkere beveiligingsmaatregelen. Maar er is nog een wereld te winnen.

„Van alle incidenten is 65 tot 70 procent veroorzaakt door een menselijke fout, een zwak wachtwoord – zoiets als ‘welkom2025’ – of iemand die op een phishingmail heeft geklikt. Het is belangrijk te oefenen met je hele team om dat te voorkomen.

„Door de grote affaires die af en toe in de publiciteit komen krijg je incidenteel meer bewustwording, maar dat moet structureel worden. Je zou bijvoorbeeld iedere maand vijftien minuten met je medewerkers moeten nadenken over cyberveiligheid. We hebben meegemaakt dat medewerkers van bedrijven niet eens weten waar ze een phishingmail moeten melden. Of ze zijn huiverig om dat te doen. Je moet zorgen dat die drempels verdwijnen.”

Bij de dienstverlening van cybersecuritybedrijven als NFIR hoort ook de inzet van zogenoemde ‘ethische hackers’, die preventief op zoek gaan naar de kwetsbaarheden in digitale systemen van opdrachtgevers. „Soms krijgen we toegang tot het account van één gebruiker en kijken we bijvoorbeeld of we van daaruit bij alle data kunnen komen.” Als dat zo blijkt te zijn, heeft de opdrachtgever waarschijnlijk een onnodig risico genomen. Zoiets is dan makkelijk te beperken door de toegang tot het systeem van zulke accounts in te perken.