TNO speech dd 21 mei 2013 ter gelegenheid van de opening van TNO’s cyberlab. “ICT en cybersecurity als maatschappelijke basisvoorziening”

Speech TNO, 21 mei te gelegenheid van de opening van TNO’s cyberlab

“ICT en Cybersecurity als Maatschappelijke Basisvoorziening”

Op 21 mei 2013 heb ik als lector digital world de key note mogen bijdragen aan een bijeenkomst bij TNO bij gelegenheid van de opening van hun cyberlab. TNO’s cyberlab maakt het mogelijk cyberincidenten te simuleren en de beste opties voor incident management te analyseren.

Deze opening staat in het teken van de actieve opstelling van TNO waar het gaatom cybersecurity.

Hieronder mijn speakers notes.

Agenda

• Aanleiding, Context en assessment huidige situatie
• Analyse
• Visie
• Actie&vervolg
• Slotopmerkingen

CONTEXT, Assessment huidige situatie

• Aanleiding. Mijn speech bij fox it 3 jaar geleden. Wat is er sindsdien gebeurd?
  • Aantal DDOs aanvallen sinds 2012 700% gegroeid. Het is steeds meer maatschappelijke discussie, niet alleen Buz discussie.
    • Scope groeit
    • Complexiteit groeit
    • Europees ding (banken!)
    • Het gaat om een vitaal element van de stabiliteit van de Europese samenleving
• Volgens Engels onderzoek eind 2012, bron BBC, voelt 9 van de 10 bedrijven zich voldoende beschermd tegen cybercrime
• Uit onderzoek van de RSA, april 2013,  dat Nederland in 2012 wereldwijd een zevende plaats scoorde qua schadebedrag door online oplichting. Zie C’t 2013/5

• Competentie in opbouw:
  • het college Bescherming Persoonsgegevens, de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), het Nationaal Cyber Security Centrum (NCSC) en het European Network for Cyber Security (ENCS). NFI
  • NFI, Universiteit Nijmegen, TNO, Twente, Delft
  • Platform van Informatiebeveiliging), NOREA (de beroepsvereniging van IT auditors), NGI (beroepsvereniging van ICT professionals).
  • Samenwerkingen tussen staat en banken in de maak

Analyse

• Het bestuurlijk en wettelijk kader, maar ook het besef van de omvang van cybercrime, passen zich onvoldoende snel aan.

• De lessen worden onvoldoende getrokken
  • Maatschappelijk gezien beseffen we nog niet echt wat cybercrime kan aanrichten in een mensenleven en hoe afhankelijk we van internet we zijn.
  • Cybercrime komt zo snel op dat de oplossing er nog niet is. Dit resulteert op dit moment in incident gedreven probleemoplossingen die je nu bijvoorbeeld bij de overheid

• Waar gaat het om?
  • Veilige digitalisering van de samenleving
  • Verplicht afschermen van informatie vanuit privacy overwegingen
  • Bevorderen van efficiënte informatie uitwisseling tussen en binnen rijk, de business en het publiek

• Wat gaat er gebeuren als we via internet fysieke dingen, M2M, gaan besturen.
  • Wat kan er met auto’s met een IP-adres? Dan kan een hacker het verkeer stilzetten. Dat gebeurt sneller dan wij denken.
  • De eerste atoomcentrales zijn gehackt 
  • bruggen zijn zo maar opengezet.
  • Vliegtuigen gehackt.
  • Smartphones zijn gehackt met omgevingsgeluid, bijv winkel muziek (GPXS nodig).
  • In Duitsland bleken honderden Kraftwerk Anlagen totaal onveilig te zijn Bron: C’t 2013, heft 11
  • What about contactless payment?
  • What about smart grids

• Snappen we het probleem werkelijk?
  • Amber Alert snappen en voelen we. En dus acteren we.
  • Cybercrime is te abstract. “bij ons gebeurt het niet”.
  • Het is kennelijk geen probleem want een probleem los je op.

• Voorbeelden van andere markten mbt regelen security en compliance
  • FAA,  Boeings dreamliner.
  • Geen papieren controle twee keer per jaar maar permanent
  • Als het niet klopt blijft de vloot aan de grond

• Is er de laatste 3 jaar genoeg gebeurd?

• NCCS: 4-6 mio budget. Israel pakweg 100 voudige.
• Estland: jaarlijkse cybersecurity assessment op vitale infrastructuur

VISIE: Contouren van een oplossing

• Een keuze: ICT is maatschappelijke basisvoorziening en dient bestuurlijk ook zo aangelopen te worden

• Dit is de facto al zo. Duitse rechter, UWV case

• Dus Publieke verantwoordelijkheid. ICT en security als infrastructuren volkomen parallel zien aan water, dijken, andere grootschalige infrastructuren.
  • Ophangen bij Ministerie van Infrastructuur
  • ICT belasting. Van staatswege zorgen voor veilige cyberspace en alles nodig om je daar in te bewegen. Secure access, email, etc volledig equivalent aan real world. Staat betaalt toch ook camera’s ter bewaking publieke ruimte?
  • Waarom moet ik eerst die brug checken voordat ik er overheen rijd?
  • Ik moet er toch vanuit kunnen gaan dat mn belastingpapieren veilig naar Apeldoorn kan mailen?
  • Als ik houderschapsbelasting betaal voor mijn auto mag ik er toch vanuit gaan dat de overheid gezorgd heeft voor een veilige basisinfrastructuur. Waarom dan niet op de digitale snelweg?

• Digitale identiteit nodig
  • e-herkenning? Paspoort is publieke zaak
  • Digitaal adres
  • Authenticatie
    • alleen door de overheid controleerbare ge-authenticeerde personen en organisaties mogen deelnemen aan het Web?
• Private key in the cloud?
• En dan gaat het niet alleen over veilige access maar over alle basis elementen die je voor digitaal zakendoen en digitaal communiceren nodig hebt. E-Herkenning, de digitale handtekening, aangetekend mailen, misschien wel de digitale notaris
• Regelgeving nodig
• Toezicht nodig
• Van de politiek in haar rol van wetgever mag worden verwacht wetgeving (normenkader) rondom e-security en IT infrastructuur als basisbehoefte beschikbaar en beschermd is.

• De markt gaat dit niet oplossen.
  • Blijft reactief achter de zaken aanlopen. De markt kan nooit beschikbaarheid garanderen
  • Korte versus lange termijn
  • Thomas van Aquino: het grote gelijk verliest het altijd van het kleine gelijk. Korte termijn vs lange termijn

• De Staat ontloopt verantwoordelijkheid.
  • Vgl Estland: jaarlijks assessment op cybersecurity vitale infrastructuur

ACTIES&VERVOLG

• Wat zou practisch kunnen? Van reactief naar proactief!

• Bescherm bij de internationale exchanges (Amsterdam)
  • inclusief mobiel en satellieten.
  • Merendeel ddos komt uit buitenland.
  • Dat kan zo dat ook bits of freedom blij is, met respect voor privacy

• Anti virus van rijkswege? Vgl  UPC’s anti-spam box.
• Dozen in network? Als verkeer naar een bepaald  IP adres 600% stijgt dan….
• Terughacken? Neen!
  • Mag dat?
  • Hebben we de capaciteit?
  • Je weet niet waar het vandaan komt

• Vergroot capaciteit wasstraten. Confidential  
  • Huidige capaciteit blijft achter bij wat we vermoedelijk nodig gaan hebben.
  • Bijzondere positie buitenlandse spelers
  • Geen buz case maar maatschappelijke value case

• Bouw SOC’s.
  • Permanent toezicht nodig, bijv door TNO of
  • Zolang e-security nog marktgedreven is onder het lage btw tarief en buiten de wet mededingiging

• Reset knop. Rode knop om buitenlands verkeer stop te zetten. Dit vraagt wel inzicht in netwerk architectuur (ideal case..) en bestuurlijke setting

• Bescherm smart phones. Condoom nodig. Wilt u dat al uw email handelswaar van een ander wordt en verkocht aan de hoogst biedende? Dat gebeurt dus.

TOT SLOT

• Staat doet veel en veel te weinig

• Je kunt meer doen:

• Product aansprakelijkheid software
• Cybersecurity als onderdeel jaarrekening controle zoals nu bij banken

• Eigenlijk lange adem nodig. Maar die tijd hebben we niet

Dank u wel