Het televisieprogramma Zembla onthulde afgelopen najaar dat een fors deel van de vitale bedrijven in Nederland niet goed beschermd is tegen aanvallen met gijzelsoftware (ransomware) door cybercriminelen. Maar liefst 43 van de 100 vitale bedrijven in ons land hebben de beveiliging van hun e-mail niet voldoende op orde – het digitale equivalent van de achterdeur nooit op slot doen.

Een ernstige situatie, maar wat de onderzoeksresultaten vooral laten zien is dat verreweg de meeste organisaties in Nederland – de niet-vitale bedrijven – al helemaal niet zullen voldoen aan de vereisten om cybercriminelen buiten de deur te houden. Zij hebben daar simpelweg de middelen niet voor, en dat maakt dat hun achterstand in de digitale wedloop inmiddels zo groot is dat bedrijven zich alleen samen nog kunnen wapenen tegen cyberaanvallen.

Halve oplossing

Ambtenaren van het Digital Trust Center (DTC), onderdeel van het ministerie van Economische Zaken, mogen sinds kort ook niet-vitale bedrijven in ons land waarschuwen voor ernstige cyberdreigingen. Bijvoorbeeld als een organisatie op het darkweb wordt aangemerkt als doelwit. Een positieve ontwikkeling, zo draagt de overheid uit. Maar het delen van dreigingsinformatie met een grotere groep bedrijven is slechts een halve oplossing.

Want wat kunnen bedrijven met die informatie? Vaak vrij weinig. Het gaat om complexe informatie die bekeken moet worden door gespecialiseerde mensen om een inschatting te maken van de risico’s. De meeste bedrijven hebben die expertise niet in huis. Sterker nog: het beoordelen van dreigingsinformatie gaat een ingehuurde IT-partij mogelijk ook de pet te boven. Veel IT-clubs ondersteunen het mkb met het draaiende houden van technologie, niet zozeer met het beschermen van die technologie tegen Russische hackers. Daar komt nog bij dat de informatie van het DTC vrijwel altijd achterhaald is. Ook als het maar een uur duurt voordat de dreigingsinformatie een bedrijf bereikt, kunnen cybercriminelen onderhand al hebben toegeslagen.

Metrokaart van Londen

Het Digital Trust Center biedt organisaties momenteel dus weinig bruikbaars. In plaats van alleen informatie te verstrekken zou het proactief moeten handelen. Waarom geen gesubsidieerde veiligheidsdienst optuigen die mkb’ers te hulp schiet als ze getroffen zijn door gijzelsoftware? Zonder stevige samenwerking tussen het bedrijfsleven en de overheid is de BV Nederland kansloos tegen cybercriminelen.

Het probleem daarbij is dat samenwerkingen de kans op belangenverstrengeling vergroten tussen publieke en commerciële partijen. Een telecomprovider wil best getroffen bedrijven ondersteunen, maar is toch vooral uit op nieuwe klanten. Bovendien laat de aansturing van zulke publiek-private samenwerkingen vaak nogal te wensen over. De programmamakers van Zembla merkten op dat de schematische weergave van Nederlandse samenwerkingsverbanden rondom cybersecurity nog het meest leek op de metrokaart van Londen: een complex geheel met een hoop schakels.

Kijk naar de agrifood

Hoe dan verder? Mijn pleidooi is om zowel grote bedrijven als het mkb werkgroepen te laten vormen met soortgelijke bedrijven in dezelfde branche, om zo elkaar te helpen beschermen tegen cybercriminaliteit. Die werkgroepen bestaan hier en daar al en hebben de naam Isac: Information Sharing and Analysis Centre. Zo is er al een Isac voor de Nederlandse agrifoodsector. Het NCSC heeft een praktische handreiking ontwikkeld voor bedrijven die een Isac willen vormen.

Mits zo’n werkgroep goed gestructureerd is én er op de sector afgestemde vertrouwelijkheidsregels gelden, is een Isac een effectieve veiligheidsmaatregel voor bedrijven. Beter is het nog om werkgroepen te laten bijstaan door het DTC en externe deskundigen: zo kunnen betrokken bedrijven in ieder geval iets doén met dreigingsinformatie. Cybersecurity blijft uiteindelijk de verantwoordelijkheid van elke organisatie, maar zonder steun van buitenaf gaat de BV Nederland het niet redden.