Petra Oldengarm: “Stop met het opvoeden van MKB’ers in security”
"We zijn alleen maar bezig met de volgende MKB'er proberen naar een hoger plan te tillen. Wat als we al die energie eens steken in de toeleveranciers van al deze MKB'ers?" Aan het woord is Petra Oldengarm, directeur van Cyberveilig Nederland, de brancheorganisatie voor cybersecuritybedrijven in Nederland. We spraken met haar over innovatie in cybersecurity en hoe de sector fundamenteel anders moet gaan denken over digitale veiligheid.
Hoewel ze de huidige aanpak op gebied van cybersecurity goed begrijpt, pleit ze voor een fundamenteel andere kijk op digitale veiligheid, waarbij niet de eindgebruiker maar het hele ecosysteem verantwoordelijk is voor veiligheid.
Onder haar leiding groeide Cyberveilig Nederland in zes jaar tijd van acht naar honderd leden, en zet ze zich in voor een systeemverandering in de Nederlandse cybersecuritysector.
Van eindgebruiker naar ecosysteem
De huidige aanpak van cybersecurity legt volgens Petra te veel verantwoordelijkheid bij de eindgebruiker. "We zien een cyberweerbaarheidskloof tussen grote en kleine organisaties, en wat doen we? We proberen één voor één die MKB'ers naar een hoger niveau te tillen. Maar wat als we al die energie nou eens steken in de toeleveranciers van het MKB en de kloof dus vanaf de andere kant proberen te dichten?"
Ze trekt de vergelijking met de auto-industrie, waar veiligheid is ingebed in het hele systeem. "Je hebt verplichte controles, garages die reparaties kunnen uitvoeren, instanties die toezicht houden, en een overheid die het wegennet aanlegt en verkeersregels opstelt. Die systeem-aanpak moeten we vertalen naar het cybersecuritydomein."
Belangrijk is dat grotere organisaties ervoor zorgen dat zij veiligheid inbouwen in producten en diensten op zo'n manier dat het voor de eindgebruiker vanzelfsprekend veilig wordt en dat wat de eindgebruiker zelf moet doen te overzien is. Dat vraagt meer van toeleveranciers, maar ook van de overheid die dit moet reguleren.
Nederland als kenniseconomie voor veilige producten
Nederland kan zelfs zijn voordeel halen uit de nieuwe systeem-aanpak die ze voorstelt. "De race om sociale media en tech is al gelopen, maar Nederland is wél een kenniseconomie. We kunnen eraan werken dat alles wat uit Nederland komt vanzelfsprekend veilig is. Net zoals Apple privacy als unique selling point gebruikt, kunnen Nederlandse producten en diensten zich onderscheiden door ingebouwde veiligheid."
Deze omslag vraagt wel om een andere mindset bij leveranciers. "Het argument dat klanten er niet om vragen of er niet voor willen betalen, legt de verantwoordelijkheid weer bij de eindgebruiker. Leveranciers moeten innoveren met schaalbare, betaalbare oplossingen waarbij security standaard aan staat."
Transparantie over incidenten
Een groot obstakel voor innovatie is het gebrek aan data over cybersecurity-incidenten. "We hebben nog steeds veel te weinig data over daadwerkelijke schade. De Autoriteit Persoonsgegevens zit op een schat aan informatie over datalekken, maar deelt deze niet met de markt om onder andere privacyredenen. Deze data is juist van belang om te begrijpen waar het mis gaat, hoe investeringen in security opwegen tegen opbrengsten en hoe we komen tot betere oplossingen. Daarom is transparantie over incidenten belangrijk: we moeten niet kijken naar wat er niet kan, maar naar wat er wel kan met geanonimiseerde, geabstraheerde data."
Ook de media speelt hierbij een rol. "Zolang de media kopt met 'wachtwoord 123 was het beheerderswachtwoord' worden slachtoffers als daders neergezet en doen we aan victim-blaming. Dit helpt niet echt om slachtoffers van incidenten te stimuleren informatie erover te delen. We moeten toe naar een situatie waarin je reputatieschade lijdt als je níet transparant bent over incidenten," zegt Petra.
Advies aan CISO's en leveranciers
Voor CISO's heeft Petra een duidelijke boodschap over innovatie: "Vooral overheids-CISO's moeten het goede voorbeeld geven en vaker innovaties uitproberen. Vorm allianties om samen te innoveren. Aan de aanvalskant werken criminelen fantastisch samen, aan de verdedigende kant zitten we nog te vaak alleen te werken."
Leveranciers roept ze op hun rol te pakken in deze transformatie: "Security by default moet de norm worden. Een paar jaar geleden had je standaard een onversleutelde harde schijf, nu is encryptie de standaard. Die omkering moeten we op meer gebieden zien."
"Nederland kan vooroplopen in deze ontwikkeling," besluit Petra. "Door innovatie te omarmen en security standaard in te bouwen in onze producten en diensten, kunnen we ons internationaal onderscheiden. Die kans moeten we grijpen."