5 juni 2018

Hoe draagt de ICT-sector bij aan cybersecurity?

CYBERSECURITY, VERTROUWEN

Er is terecht veel aandacht voor het verbeteren van digitale veiligheid bij burgers en in het bedrijfsleven. Er gaat geen week voorbij zonder nieuws, opinies en nieuwe initiatieven op dit vlak. Deze week nog riep het Agentschap Telecom in haar jaarlijkse Staat van de Ether op tot snellere actie om de veiligheid van het internet of things te verbeteren. Nederland ICT steunt die oproep.

Een van de uitdagingen van cybersecurity is dat het een containerbegrip is dat veel verschillende onderdelen omvat. Om digitale veiligheid echt te verbeteren, is er actie in de hele keten nodig: van producent tot eindgebruiker. Nederland ICT pleit voor een combinatie van beleid, voorlichting en technologische oplossingen. En we willen zo veel mogelijk uitgaan van gezamenlijke standaarden, liefst op Europees niveau. Er gebeurt gelukkig al heel veel op dit vlak binnen de sector. We zetten een aantal interessante ontwikkelingen en initiatieven op een rij.

Cyber VRKI: risico-classificatie en keurmerk

Het afgelopen half jaar heeft Nederland ICT samen met het Verbond van Verzekeraars en het Centrum voor Criminaliteitspreventie gewerkt aan een keurmerk voor cybersecurity-maatregelen en bijbehorende risicoclassificatie. Om breder draagvlak te krijgen hebben we ook andere partijen uitgenodigd om mee te denken. Deze zogenaamde Cyber VRKI wordt binnenkort gelanceerd. Het doel is om een meer gemeenschappelijke en objectieve methode te hebben waarmee risico’s en bijbehorende maatregelen in kaart kunnen worden gebracht.

Keurmerk voor veilige IoT-devices

De Europese Commissie werkt op dit moment aan de zogenaamde Cybersecurity Act, waar ook een nieuwe certificering voor digitale technologie deel van uitmaakt. Nederland ICT steunt het idee van een Europa-brede richtlijn voor veilige apparatuur. Via het bestuur van onze koepelorganisatie DIGITALEUROPE praten we namens Nederlandse bedrijven mee over de richtlijn.

Uit onderzoek naar aanvallen met botnets weten we dat het grootste deel van de onveilige apparaten door importeurs op de Europese markt wordt gezet. Het betreft meestal B-merken met slechte beveiliging die niet of nauwelijks geüpdatet worden. Denk aan goedkope webcams, routers of netwerkschijven. De fabrikanten van deze apparaten zijn niet vertegenwoordigd in Nederland en daardoor moeilijk aanspreekbaar. Daarom is regulering op Europees niveau noodzakelijk.

Tegelijkertijd zien we dat er steeds meer producten met het internet worden verbonden: speelgoed, poppen, huishoudelijke artikelen. Fabrikanten van deze producten hebben vaak een kennisachterstand, of besteden te weinig tijd en geld aan digitale beveiliging. De ICT-sector heeft al decennia lang ervaring met communicatie via het internet en de veiligheidsrisico’s die dat oplevert. Een Europese richtlijn zal er aan bijdragen dat security-by-design meer gemeengoed wordt onder fabrikanten.

Bestrijding van ddos-aanvallen

De beveiliging van devices is belangrijk om botnets te bestrijden die worden gebruikt bij ddos-aanvallen. Maar aan de andere kant van de keten wordt ook samengewerkt om onze digitale infrastructuur zo goed mogelijk tegen deze aanvallen te beschermen. De Nederlandse providers werken al langer samen op dit vlak en hebben recent een proefproject uitgevoerd met de Belastingdienst. Met succes: bij een grootschalige ddos-aanval was de website van de Belastingdienst na 4 minuten alweer bereikbaar, waar andere websites veel langer offline bleven. Nederland ICT is betrokken bij het Dutch Continuity Board, waarbinnen structureel wordt samengewerkt om ddos-aanvallen te bestrijden.

Oprichting Digital Trust Centre

De komende maanden zullen er steeds meer onderdelen van het nieuwe Digital Trust Centre (DTC) operationeel zijn. Nederland ICT is een van de initiatiefnemers van het DTC. Het doel is om het hele Nederlandse bedrijfsleven, en dan met name het mkb, te voorzien van nuttige en betrouwbare informatie over cybersecurity. Zo wordt er gewerkt aan een set met standaardmaatregelen die elk bedrijf zou moeten nemen om de digitale veiligheid te vergroten.

Daarnaast hebben we het ministerie van Economische Zaken en Klimaat (EZK) geadviseerd de CSIRT-functie, die ze vanuit de NIB-richtlijn moeten opzetten, onder het DTC te hangen. Zo doet het DTC ook ervaring op met cybersecurityproblemen bij het mkb en kan het ondernemers meer handelingsperspectief bieden.

Keurmerk en certificering voor gegevensbescherming

Tot slot werkt Nederland ICT aan een branche-standaard voor de bescherming van persoonsgegevens, in het kielzog van de Algemene Verordening Gegevensbescherming (Avg) die sinds 25 mei van kracht is. Met de Data Pro Code heeft Nederland ICT een invulling gemaakt van de eisen van de Avg voor verwerkers van persoonsgegevens. Security-maatregelen zijn een belangrijk onderdeel van de code. Later dit jaar komen we met certificering die is gebaseerd op de code: het Data Pro Certificate. Hiermee kunnen bedrijven aantonen dat zij de beveiliging van persoonsgegevens goed hebben geregeld.