'Cyberveerkracht is wat we als maatschappij nodig hebben'

Regie tijdelijk kwijtraken

Tegenwoordig spelen veel zaken zich digitaal af. "Denk aan automatisering van kantoren, maar ook aan veel onzichtbare computersystemen die ons land draaiende houden en anno nu zijn gedigitaliseerd”, aldus Maasland. “Lange tijd zijn dit soort systemen van de buitenwereld afgesloten geweest, waardoor ze altijd konden doordraaien. Door de digitalisering is dit veranderd. Dit brengt uitdagingen en kansen met zich mee." Volgens de cyberexpert zal een risico van de toekomst zijn dat onderdelen van onze samenleving uitvallen; energiecentrales die stil komen te liggen, waardoor we zonder stroom komen te zitten, afdelingen van ziekenhuizen die niet meer operationeel kunnen zijn of dijken en sluizen die niet doen wat we willen.”

Als voorbeeld van hoe afhankelijk we van de digitale infrastructuur zijn, kaart Maasland een voorbeeld uit zijn eigen leven aan. "Laatst stapte ik in mijn elektrische auto die - terwijl hij nota bene aan de laadpaal hing - maar voor 19% opgeladen bleek te zijn. Hoe kon dit? Ik zeg je eerlijk, ik raakte lichtelijk in paniek. Wat bleek, EVBox had een landelijke storing, waardoor de laadpalen niet werkten. Op kleine schaal is dit een voorbeeld van hoe afhankelijk we van technologie zijn geworden. Om klimaatvriendelijker te rijden, willen we dat collectief Nederland aan de elektrische auto gaat. Maar als ons laadnetwerk niet meer werkt, dan zorgt dat direct voor problemen. Dit maakt dat ook sectoren die tot voor kort niet volledig waren gedigitaliseerd, zoals de energiesector, logisitieke industrie en voedselketens, in rap tempo kwetsbaarder worden." 

Toch moeten we volgens Maasland nu niet denken dat de uitdagingen van morgen nieuwe uitdagingen zijn. "We weten al langer dat de verdere digitalisering als maatschappij uitdagingen kent, alleen gaat de impact op de fysieke wereld, op ons dagelijks leven, in de toekomst groter zijn."

NIS2: op naar een veerkrachtig Europa

Omdat de uitdagingen van de toekomst steeds meer in de hoek van het uitvallen van vitale infrastructuur te vinden zullen zijn, is er een belangrijke rol voor de vitale infrastructuur en haar cyberveiligheid weggelegd. De cyberexpert is dan ook zeer te spreken over de komst van de NIS2-richtlijn. "Medio 2024 moet deze Europese richtlijn in lokale wetgeving zijn opgenomen. De richtlijn verwacht dat vitale infrastructuur een stevig fundament aan basis veiligheidsmaatregelen inclusief crisis- en incidentbeheersplannen aanleggen. Door dit te doen, zijn we beter tegen criminele hackers en andere 'noodgevallen' beschermd én weten we wat te doen als er sprake van een crisis of incident is."

Oorzaken uitvallen vitale infrastructuur

Op de vraag of we voor het platleggen van onze vitale infrastructuur altijd aan criminele hacks moeten denken, stelt Maasland dat er meer oorzaken aan te wijzen zijn. "Naast dat het een hack of een storing kan zijn, is een andere mogelijke oorzaak het grootschalig uitvallen van mensen, zoals we ook met de pandemie hebben gezien. Momenteel hebben we te kampen met een tekort aan talent op digitaliseringsvlak. Vallen veel mensen plots uit, dan gaat dat gelijk gevolgen hebben.”

De wil is er, maar de kennis ontbreekt

Maasland is ervan overtuigd dat veel mensen, zoals veiligheidsdiensten, de overheid en medewerkers binnen cybersecurity-bedrijven zich met de cyberveiligheid van onze vitale infrastructuur bezighouden. "Het enige is dat het tekort aan kennis ervoor zorgt dat we minder hard gaan." Hij vergelijkt het met de klimaatproblematiek, waarbij de opmerking 'we lopen achter de feiten aan' vaak valt. "Nee hoor, dat doen we op cyberniveau niet. Het is al heel lang bekend dat we iets met onze digitale veiligheid moeten doen, alleen moet je een hele samenleving meekrijgen. Daarbij zie ik dat bestuurders van vitale sectoren, gemeente en waterschappen soms moeite hebben om te begrijpen - het is niet dat ze het niet willen of kunnen -, wat er aan de hand is, wat er moet gebeuren en hoe ze het risico moeten managen."

Haal je bedrijf uit de ‘knoop’

Momenteel zitten we in een transitie naar verdere digitalisering. Dit brengt een belangrijke kans met zich mee. "De afgelopen twintig jaar hebben veel bedrijven alle digitale systemen aan elkaar geknoopt. Zie het als bollen wol die volledig in de war zijn geraakt. Wil je dit draadje voor draadje uit elkaar trekken, dan heb je daar een flinke kluif aan. Daarom ben ik van mening dat de digitale transformatie kansen biedt om organisaties opnieuw in te richten. Of beter gezegd, digitaal veilig in te richten. Het begint bij wat je met jouw bedrijf wilt bereiken en hoe je meerwaarde wilt creëren, waarna je gelijk security in de dingen die je doet, kunt inbrengen."

De grootste kans die de cyberspecialist ziet, is security & privacy by design. "Ben je een start-up of een grote organisatie die een transitie naar de toekomst doormaakt, dan kun je gelijk de (cyber)veiligheid van jouw vitale systemen aanpakken." Daarbij haalt Maasland de metafoor van auto's met remmen aan: "Security is niet ingebouwd om je af te remmen, maar om met vertrouwen vooruit te kunnen. Moet je remmen, dan kun je remmen. Bij veel organisaties weten ze niet waar de rem zit, hebben ze geen rem of hebben ze niet gecontroleerd of er nog remschijven op zitten. Daar zit 'm de grootste kans; als je nu toch opnieuw moet beginnen, begin dan gelijk goed opnieuw. En bijkomend voordeel; je kunt er concurrentievoordeel mee opdoen."

Tips om op kansen en bedreigingen in te spelen

Volgens Maasland kun je als bedrijf én land alleen op uitdagingen zijn voorbereid en op kansen inspelen door IT als epicentrum binnen het bedrijf te zien. "Het is belangrijk om jezelf eerlijk af te vragen of binnen jouw organisatie IT tot strategisch belang is gemaakt of dat het nog altijd slechts als iets facilitairs wordt gezien." 

Is dit laatste het geval, dan is het volgens de cyberexpert tijd voor actie. "Als bedrijven het zelf al niet als vitaal onderdeel van de organisatie zien, wie dan wel? De vraag is dan ook hoe je IT hoger op de agenda krijgt. Moet IT bijvoorbeeld in het managementteam plaatsvinden, of zal IT anders moeten gaan rapporteren? Zodra IT intern als strategisch middel wordt behandeld, dan wordt daarna het cybersecurity-component vanzelf in de organisatie geïntegreerd." 

Maasland vervolgt met de tip om een roadmap te maken. "Maak een planning voor de komende achttien maanden. Waar willen jullie over een jaar of anderhalf staan? En welke stappen moeten daarvoor worden gezet? Neem hierbij cybersecurity gelijk als belangrijk onderdeel mee. Als er een tijd is om IT hoger op de agenda te zetten, dan is het - gezien alles wat er (digitaal) speelt - nu het moment."

Verder adviseert de cyberspecialist om als bedrijf aan scenarioplanning te doen. "Bij een energiebedrijf heb ik eens de vraag gehad: 'Moeten we bij een ransomware-aanval wel of niet betalen?' Om die vraag te beantwoorden, moet je bijvoorbeeld weten hoe lang het bedrijf zonder stroom kan. Op dergelijke situaties zou er scenarioplanning moeten worden toegepast. Als optie A gebeurt, wat doe je dan? Als optie B gebeurt, wat doe je dan? Vervolgens is het belangrijk de bedrijfsvloer op deze scenario's voor te bereiden. Door dit met z’n allen te doen, gaan we naar een wereld toe, waarin bedrijven zichzelf en hun cruciale systemen weerbaar kunnen maken."

Maasland sluit met een hoopvolle boodschap af. "Er komt een generatie aan die de (cyber)problemen beter erkent, dat weet ik zeker. Ik lig dan ook niet wakker van de cyberuitdagingen die als maatschappij op ons pad kunnen komen, mits we maar goed doordacht hebben wat te doen in geval van scenario A, B of C gebeurt.” 

Hulp nodig? Digitaal beveiligingsbedrijf ESET helpt bedrijven bij het digitaal weerbaar maken.