Laten we stoppen om bekrompen te denken over de beveiliging van computernetwerken. Onze immer evoluerende digitale wereld kan op onvoorspelbare manieren worden verstoord – het fysieke aspect wordt bij het zoeken naar strategische cyberbeveiliging (en veerkracht) steeds belangrijker.
De roep om bredere veiligheidsmaatregelen klinkt door in zowel de digitale als in fysieke wereld. Admiraal Rob Bauer, voorzitter van het Militaire Comité van de NAVO, waarschuwde onlangs dat Nederland zich actiever op oorlog moet voorbereiden. Eerder dit jaar waarschuwde hij dat zowel de publieke als private sector hun mindset moeten veranderen van een tijdperk waarin alles planbaar, voorspelbaar en controleerbaar was naar een tijdperk waarin alles op elk moment kan gebeuren en veranderen, waarin we het onverwachte moeten verwachten én ons op effectiviteit moeten richten.
Perifere kwesties
De dreigingen, en daarmee de verdediging en beveiliging van de digitale wereld, zijn het afgelopen decennium drastisch veranderd. Daarvoor was cyberbeveiliging operationeel moeilijk, maar conceptueel heel eenvoudig. Er was één model van het internet, grotendeels gebouwd door de Amerikaanse privésector, en sommige mensen speelden vals – dat was het.
De wereld bevindt zich momenteel in een tijdperk waarin er meer op het spel staat, maar ook waarin randzaken een veel grotere rol spelen. Als we kijken naar geopolitieke kwesties, moeten we kijken naar dingen als de stroomvoorziening van onze datacenters, de locatie die datacenters en wie ze bewaken. Als je kijkt naar het nationale risiconiveau wil je weten waar de kabels liggen, wie de eigenaar is en wie ze controleert. Zijn we in staat om fysieke aanvallen af te slaan?
Afhankelijkheid
Bauer merkt deze ongemakkelijke waarheid ook op. Hij stelt dat voor veel organisaties klimaat en biodiversiteit prioriteit zijn, maar dat niemand het heeft over de onveiligheid in de wereld. Beveiliging, virtueel of fysiek, wordt veelal gezien als omslachtig en kostbaar. Bovendien heerst bij veel mensen de opvatting dat als landen zaken met elkaar doen, ze economisch van elkaar afhankelijk zijn en er dus nooit oorlog kan zijn. Die aanname wordt behoorlijk gelogenstraft, aldus Bauer.
De boodschap van de NAVO-chef is dat iedereen nodig is om een land te beveiligen, zowel digitaal als fysiek. De uitdaging zit hem in de kosten. “Lange tijd werd er alleen maar gedacht aan geld, geld, geld. De industrie moest zoveel mogelijk geld verdienen en de overheid moest zo min mogelijk uitgeven. Nu zijn we afhankelijk van China voor noodzakelijke grondstoffen, zoals we afhankelijk waren van Rusland voor energie. De industrie moet strategischer kijken naar haar toeleveringsketens. Van de meest geavanceerde computerchips worden voor 90% in Taiwan geproduceerd. Als daar een oorlog uitbreekt, wordt het Oekraïne-conflict economisch gezien kinderspel.”
Aanpasbare antwoorden
Het internet is gebaseerd op het zo goedkoop en snel mogelijk versturen van producten. Het idee is dat er een heel eenvoudig model van technologische connectiviteit is dat bestaat uit een virtuele snelweg en naadloos werkt omdat als er een stukje wordt verstoord, er snel een andere route wordt gevonden. Het is echter veel ingewikkelder geworden dan dat, en deze digitale snelweg kan op verschillende onvoorspelbare manieren worden verstoord.
Als je kijkt naar strategische beveiliging en veerkracht moet je ook nadenken over het fysieke aspect ervan. De energievoorziening, de datacenters, de kabels, de chips, et cetera. De technologiesector kan in dit opzicht leren van het leger, omdat zij erg sterk zijn in logistiek en logistieke ketens. Het leger begrijpt hoe dingen werken en ze begrijpen aanpasbare reacties, dus technologie zou daar echt van kunnen leren.
Massale verstoring
Vooral het leger en strategische nationale veiligheidsplanners kunnen nog wat leren van de cyberbeveiliging-sector. Iets wat de cyberindustrie lang geleden heeft geleerd, is dat cybercapaciteiten niet in staat zijn om te toveren. Tot nu toe is het een wapen van massale verstoring en ergernis, maar niet van vernietiging. Maar we moeten duidelijk maken dat cyber niet zozeer een spectaculair als wel een heel moeilijk, vaak vervelend, organisatorisch probleem is. Het is hard ploeteren. Het gaat om risicovermindering. We proberen al jaren van cyber een ander bedrijfsrisico te maken.
Aanvallen door staten zijn niet noodzakelijkerwijs een oorlogsdaad; zo werkt cyber gewoon niet. We moeten accepteren dat elke vorm van bedreiging deel uitmaakt van ons dagelijks leven, of het nu gaat om oorlog, hybride spanningen of vrede. Bedrijven leven in een staat van constante cyberdreiging, en ik denk dat naties hetzelfde moeten doen zonder al te veel geobsedeerd te zijn over de vraag of dat betekent dat je in oorlog bent of niet.
Ciaran Martin
Professor Ciaran Martin is sinds januari 2023 werkzaam als Director SANS CISO Network and Summits EMEA bij het SANS Institute. Hij is de oprichter en voormalig hoofd van het National Cyber Security Centre (NCSC) in het Verenigd Koninkrijk. Ciaran Martin is ziet de samenwerking tussen overheid en bedrijfsleven als belangrijk medium om cyberbeveiliging te verbeteren.