Foto Hollandse Hoogte
Ciaran Martin was de algemeen directeur die het Britse National Cyber Security Centre (NCSC) heeft opgericht als onderdeel van de inlichtingendienst Government Communications Headquarters (GCHQ). Na een carrière van 23 jaar als ambtenaar werd hij hoogleraar op het gebied van management van overheidsorganisaties aan de Blavatnik School of Government en gasthoogleraar aan King’s College London.
Als algemeen directeur van het NCSC heeft Martin de Britse nationale strategie voor cyberbeveiliging 2016-2021 voltooid. [1] “De strategie was in één woord pro-actief te noemen”, aldus Martin. “We maakten een einde aan een bepaalde consensus over cyberbeveiliging bij de overheid die de afgelopen tien jaar onder leiding van het westen/de Verenigde Staten overheerste. Deze consensus was om zich te concentreren op het topje van het probleem en de rest aan de markt over te laten. Dit hield in dat mensen werden aangemoedigd informatie uit te wisselen en samen te werken met de overheid. Echte details over wat dat betekende, ontbraken. Het was erg passief en werkte niet echt.”
[1] De strategie moet worden herzien. Maar vanwege alle politieke moeilijkheden met de brexit en COVID-19 hebben alle overheidsstrategieën vertraging opgelopen. De nieuwe strategie moet binnenkort worden gepubliceerd.
Een meer pro-actieve aanpak
Een bekende uitkomst van de strategie voor 2015 en 2016 is de oprichting van het NCSC als de enige autoriteit voor cyberbeveiliging in het Verenigd Koninkrijk. “Dat was op zichzelf niet zo belangrijk, maar hiermee werd de strategie veranderd naar een meer pro-actieve aanpak.”
Deze aanpak kwam tot uiting in vier hoofdactiviteiten. De eerste was om echt grip te krijgen op bedreigingen en incidenten. “We zagen dit bij de TalkTalk-hack in 2015, toen een grote telefoonmaatschappij werd gehackt. Er waren geen regels voor de manier waarop de publieke gevolgen van het incident moesten worden beheerst. Al hadden we alle kennis van de wereld, dan zouden we niet nog in staat zijn geweest om die in praktijk te brengen, omdat we geen autoriteit hadden om het publiek of de getroffen bedrijven gerust te stellen en met hen te communiceren. Dit veranderde met de oprichting van het NCSC.”
Aan de tweede activiteit wordt volgens Martin nog gewerkt: de verbetering van de veerkracht in kritieke infrastructuur. “Op het gebied van traditionele infrastructuur zijn wezenlijke veranderingen vrijwel onmogelijk. Je bent dan alleen bezig met beperken. Maar nu nemen we bij het bouwen van nieuwe kritieke infrastructuur, zoals slimme transitsystemen, veerkrachtige beveiliging op in het ontwerp op basis van deskundig advies van het NCSC.”
Ingrijpen als de markt niet werkt
“De twee laatste activiteiten vormen de interessantste breuk met het verleden”, aldus Martin. “De derde is directe overheidsinmenging in delen van structurele onveiligheid op het internet waar de markt niet werkt. Een voorbeeld hiervan zijn onze maatregelen tegen spoofing van merken. Dit is een groot probleem op het gebied van cyberbeveiliging, maar niemand doet er iets aan. Wij kwamen erachter dat een van de redenen hiervoor is dat het niet loont om hier iets aan te doen. Spoofing lijkt de positie van het merk niet te schaden. Als je een nepmail van (zogenaamd) jouw supermarkt krijgt, ga je daar nog steeds je boodschappen doen omdat het niet hun fout was.”
“Daarom besloot het NCSC op te treden”, zegt Martin. “Wij hebben alle overheidsmerken verplicht het DMARC-protocol in te voeren, waardoor het veel moeilijker werd om e-mails te spoofen. We hebben ook een vrij beschikbare versie voor bedrijven gepromoot. Het protocol vertelt een e-mailclient hoe een officiële e-mail van een organisatie eruit moet zien. Als dit niet overeenkomt, is dat een signaal om de e-mail niet te versturen. In 2017 hebben we een proef gedaan met de belastingautoriteit. In één jaar hebben we de verzending van 500 miljoen valse pogingen verhinderd.”
De laatste activiteit is erop gericht om veilig internetten eenvoudiger te maken. “We hebben de discussie over het wachtwoordbeleid gewonnen. In het verleden had elk netwerk dat we gebruikten zijn eigen wachtwoordbeleid. Je werd gedwongen een lang, uniek wachtwoord te gebruiken en dat eens in de zoveel tijd te veranderen. Al snel had je een heleboel verschillende wachtwoorden. Dit maakte het voor gebruikers onmogelijk om veilig te internetten. Een hoogleraar gedragswetenschappen berekende dat dit hetzelfde was als aan mensen vragen om elke maand een nieuw nummer met 600 getallen te onthouden. We gebruiken niet langer de zin “mensen zijn de zwakste schakel op het gebied van cyberbeveiliging”, maar richten ons in plaats daarvan op een aantal hervormingen om te proberen veilig internetten eenvoudiger te maken. Hiervoor moet ook actief worden gecommuniceerd met het publiek.”
De obsessie met informatie-uitwisseling
Wat betreft informatie-uitwisseling is Martin kritisch over de aandacht die hiervoor in de cyberbeveiliging is. “We hebben van het concept informatie-uitwisseling als oplossing veel meer gevergd dan het aankon. Als onderdeel levert het een nuttige bijdrage. Een fantastische zin, die ik niet zelf heb bedacht, verwoordt het goed: “informatie-uitwisseling vormt de gedachten en gebeden van cyberbeveiliging”.
Een goede informatie-uitwisseling kan volgens Martin doeltreffend zijn, maar dit vraagt veel inspanning. “Kijk naar Wall Street, waar veel technische capaciteit en geld worden besteed aan de uitwisseling van wederzijds begrijpelijke gegevens. Dit is duur en vergt veel vaardigheden en inspanning. Het is minder nuttig om gewoonweg informatie op een hoop te gooien en te zeggen: “laten we dingen delen”. Als iemand over 50 jaar een proefschrift schrijft over cyberbeveiliging aan het begin van de 21e eeuw, denk ik dat een van de belangrijkste vragen is: waarom was iedereen zo geobsedeerd met informatie-uitwisseling, alsof alles daar om draaide?”
Martin stipt een aantal belemmeringen voor informatie-uitwisseling aan. “Organisaties zijn op hun hoede voor concurrentie en aansprakelijkheid. Bovendien zijn mensen vaak op zoek naar rendement voor hun activiteiten. Wat kan er worden gewonnen? Natuurlijk kan het echt helpen als de overheid bepaalde informatie deelt. Persoonlijk denk ik dat er meer informatie uitgewisseld zou worden als dit veel problemen zou oplossen. Het draagt dus bij tot een bredere cyberbeveiligingsstrategie, maar veel strategieën zijn net zo belangrijk of nog belangrijker.”
Volgens Martin kan het model voor samenwerkingsverbanden van het NCSC worden vergeleken met een ui. "Het is een landelijke aanpak, maar met verschillende lagen. De binnenste ring is directe ondersteuning aan en dienstverlening voor defensie en militaire middelen. Onderdelen van het NCSC maken producten voor het ministerie van Defensie. De volgende laag is de overheid, gevolgd door kritieke infrastructuur waar we middelen inzetten voor veerkracht en beperking en sectorale richtsnoeren bieden. Het Verenigd Koninkrijk heeft een zeer flexibele benadering van wat kritiek is en wat niet. Er kunnen organisaties zijn waar je nog nooit van gehoord hebt, maar het kan kritiek zijn als er iets met hen gebeurt. Denk bijvoorbeeld aan een domeinnaamregistrator of politieke instellingen die een aantal jaar geleden zijn toegevoegd aan de lijst.” Het NCSC heeft volgens Martin nooit echt een openbare lijst met kritieke infrastructuur opgesteld. “Wij zijn van mening dat we het gezien de aard van de bureaucratie altijd verkeerd zouden doen en dat de lijst, zelfs als we het wel goed zouden doen, direct verouderd zou zijn. De vierde laag bestaat uit alle andere mensen. In een land met 66 miljoen mensen kun je niet met iedereen praten. Maar we publiceren informatie, zoals richtsnoeren voor kleine ondernemingen, en helpen ze met de basisbescherming.”
Martin legt uit dat de Brexit minimale gevolgen heeft gehad voor de internationale samenwerking. “Mogelijk zijn de betrekkingen tussen staatshoofden verslechterd, maar de betrekkingen tussen cyberbeveiligingsagentschappen zijn juist verbeterd. Tijdens gesprekken over de Brexit is de operationele samenwerking aanzienlijk verbeterd. Als voorbeeld noemt Martin de samenwerking met Nederland na Operatie Den Haag, die Martin omschrijft als een uitstekend stukje werk van de Nederlandse collega’s. Misschien wordt cyberbeveiliging door de aard ervan minder getroffen door de Brexit. De operationele omgeving is zeer apolitiek. We werken nog steeds nauw samen en zullen dit in de toekomst blijven doen.”
De groeiende zorgen over gijzelsoftware
Voor Martin is gijzelsoftware op dit moment het meest urgente probleem op het gebied van cyberbeveiliging. “In de loop van 2020 en 2021 is de maatschappijontwrichtende impact ervan veel zichtbaarder geworden. Voorheen was het ook big business, maar werd het ingezet voor de stille afpersing van grote, rijke ondernemingen. Die betaalden gewoon om er vanaf te zijn. Het is niet verplicht om dit openbaar te maken, dus het bleef grotendeels onopgemerkt. Om de een of andere reden zijn ze zich gaan richten op zaken als nationale gezondheidszorgstelsels. Los van het absolute gebrek aan moraliteit en het gevaar dat dit met zich meebrengt, krijgen mensen nu steeds meer te maken met de gevolgen.”
Volgens Martin is het meest zorgwekkende dat is veroorzaakt door de explosie aan gijzelsoftware in 2020 en 2021, het feit dat ons vertrouwen in de veerkracht van organisaties en met name de diensten die zij verlenen is afgenomen. “Een van de belangrijkste regels op het gebied van cyberbeveiliging was altijd dat de operationele technologie nooit mocht worden beïnvloed door de technologie van ondernemingen. Dit houdt in dat het hacken van een e-mailsysteem er niet voor mag zorgen dat een pijpleiding of een ziekenhuis wordt stilgelegd. Maar dat is precies wat we de afgelopen twee jaar hebben zien gebeuren. Dat gat in onze veerkracht is zorgwekkend. Als dit met middelgrote capaciteit kan worden gedaan, denk je dan eens in wat er kan gebeuren als natiestaten met meer en geavanceerdere mogelijkheden aan de knoppen zitten.”
Martin noemt drie zaken die in het voordeel zijn van de criminelen die gijzelsoftware gebruiken. “Ten eerste is er in Rusland en een aantal andere landen een veilige haven waar ze ongestoord te werk kunnen gaan. Ten tweede is er de slechte veerkracht van organisaties, waardoor ze kwetsbaarder zijn. Organisaties moeten zich afvragen wat er gebeurt als ze hun systeem kwijtraken. Kunnen zij hun pijpleiding nog gebruiken of gezondheidszorg verlenen? Zo niet, bedenk dan hoe dit wel kan. Het derde voordeel is het bedrijfsmodel dat gunstig is voor de criminelen. Het is makkelijk om mensen af te persen en betalingen in cryptomunten zijn moeilijk te traceren. Hier is meer regelgeving voor nodig om de betalingen te beperken of verbieden en te eisen dat deze openbaar worden gemaakt. Na 11 september 2001 was het beperken van financiële stromen en het stoppen van de geldstroom een belangrijk onderdeel van de strijd tegen terrorisme. Hetzelfde moeten we in de strijd tegen criminelen die gijzelsoftware gebruiken doen met cryptomunten.”
Wees niet bang voor cyberbeveiliging
Martin geeft tenslotte wat advies aan leidinggevenden van organisaties: “Zet cyberbeveiliging niet weg als iets wat te technisch is, maar behandel het net als elk ander bedrijfsrisico. Richt je op de schade waarvan de kans het grootst is dat deze jouw organisatie treft en op welke maatregelen je redelijkerwijs kunt treffen. Schakel vervolgens iemand met technische vaardigheden in om je te helpen. Wees vooral niet bang voor cyberbeveiliging.” Hij heeft ook een advies voor beleidmakers: “We moeten meer voor onszelf opkomen. Het grootste strategische probleem is dat we – zonder dat dit iemands fout is – een technologisch systeem hebben omarmd waar we allemaal steeds meer afhankelijk van zijn, wat allerlei structurele onzekerheden met zich meebrengt. We moeten veiligere technologie eisen, net zoals we dit doen voor veiliger openbaar vervoer.”