Volgens het regeerakkoord van Rutte III gaat het nieuwe kabinet tientallen miljoenen euro’s extra investeren in cybersecurity. In de basis een goede zaak, want cybersecurity is cruciaal voor onze digitaliserende maatschappij. Maar is meer overheidsgeld wel de oplossing van de cybersecurity uitdagingen waar Nederland mee kampt?
Internationaal onderzoek van CGI laat zien dat datalekken wereldwijd veel voorkomen en dat dit een negatieve impact heeft op de beurskoers van geraakte bedrijven. Hoewel in het genoemde onderzoek slechts twee Nederlandse datalekken zijn onderzocht, komen datalekken in Nederland ook regelmatig voor. Uit rapportages van bijvoorbeeld Autoriteit Persoonsgegevens (AP) blijkt dat duizenden datalekken zijn gemeld. En ook het Nationaal Cybersecurity Centrum (NCSC) geeft aan zij vele honderden cybersecurity incidenten hebben afgehandeld.
Ook al zegt het aangehaalde wereldwijde onderzoek weinig over Nederland, het is evident dat datalekken en cyberincidenten ook hier impact hebben op organisaties: incidenten krijgen uitgebreide media-aandacht, klanten uiten hun ongenoegen op sociale media, omzet wordt misgelopen en het herstel van ICT kost veel geld. Daar bovenop zijn er nog de dreigende boetes van toezichthouders, zoals de autoriteit persoonsgegevens.
De Nederlandse overheid erkent het belang van cybersecurity. Al op Prinsjesdag werd bekend gemaakt dat de overheid 26 miljoen euro extra investeert in de bestrijding van cybercrime en de verhoging van cybersecurity. En het nieuwe kabinet deed daar in het regeerakkoord nog een flinke schep bovenop, waardoor de investering oploopt tot 49 miljoen euro structureel in 2021. Een groot deel van dit geld gaat naar de politie, het OM, het NCSC en inlichtingendiensten. Een ander deel gaat naar de oprichting van een Digital Trust Center voor het MKB. Het Digital Trust Center (DTC) is een idee van branchevereniging Nederland ICT, bedoeld om het MKB te adviseren op het gebied van cybersecurity. Het NCSC geeft namens de overheid ook al advies en dreigingsinformatie, maar beperkt zijn dienstverlening tot organisaties in de vitale infrastructuur. Het DTC moet deze lacune gaan opvullen.
Deze investering is goed nieuws voor de online veiligheid van Nederland, al kun je stellen dat het nog verre van voldoende is. Zeker als je het vergelijkt met de bedragen die het Verenigd Koninkrijk uitgeeft aan cybersecurity. Een grotere investering zou zeker goed zijn, maar voor nu biedt deze kapitaalinjectie voor de betrokken organisaties de mogelijkheden om hun taak beter uit te kunnen voeren.
Maar de overheidsinvestering is maar één kant van het verhaal. Deze investering gaat naar advies, toezicht, response. Maar op nationale schaal blijft dit een investering in wat experts de ‘second line of defense’ noemen, de tweede verdedigingslinie. De grootste slag zal gemaakt moeten worden in de verhoging van de digitale weerbaarheid van bedrijven zelf. Zij vormen de eerste en belangrijkste verdedigingslinie. En die slag kan en zal niet betaald worden uit de 26 miljoen die de overheid nu heeft vrijgemaakt.
Uit het recente rapport van PostNL topvrouw Herna Verhagen blijkt dat organisaties nog te weinig investeren in cybersecurity. De aanbeveling in dat rapport is om 10% van het IT budget te besteden aan cybersecurity. Op dit moment varieert dat percentage volgens onderzoek gemiddeld tussen de 4 en 8 procent, afhankelijk van de sector.
Nu het belang van ICT voor burgers, bedrijven en overheden blijft toenemen zal de impact van cybersecurity incidenten steeds groter worden. Niet alleen op beurskoersen, maar uiteindelijk ook op onze maatschappij en iedereen daarbinnen: onze levens hangen inmiddels af van ICT. Om dat risico het hoofd te bieden zal er, naast de aangekondigde budgetverhoging van de genoemde cyber-overheidsorganisaties, geïnvesteerd moeten worden door alle bedrijven en overheidsorganisaties om de digitale weerbaarheid te verhogen.
Dit blog verscheen eerder in iets gewijzigde vorm verschenen op Risk & Compliance Platform Europe.