Cybersecurity centraal tijdens oratie Bibi van den Berg

/ Auteur: Masja de Ree
ICT ruimte
© Hollandse Hoogte / Caiaimage
De cyberrevolutie: pak me dan als je kan. Dat is de titel van de oratie die prof. Bibi van den Berg (Cybersecurity Governance, Universiteit Leiden) op 8 juni 2018 uitsprak. Naar cybersecurity is nog veel meer wetenschappelijk onderzoek nodig, legt ze uit. Ook voor het CBS is dat van groot belang. Niet voor niets maakt Van den Berg deel uit van de ICT-adviesraad van het CBS.

Cyberrevolutie

Cybersecurity wordt steeds veelomvattender, zegt prof. Bibi van den Berg. ‘Ooit ging het alleen om het beschermen van data. Nu betrekken we bijvoorbeeld ook de gevolgen van verstoringen en uitval van ICT-processen erbij en de structuren van organisaties en de processen die daar spelen.’ Binnen haar leerstoel Cybersecurity Governance doet Van den Berg onderzoek naar alle niet-technische maatregelen die genomen kunnen worden om de cybersecurity te verbeteren. Bijvoorbeeld door beleid, wet- en regelgeving, sociale normen en marktprikkels. ‘In de afgelopen tien jaar is er zoveel veranderd in de wereld - er heeft zich een cyberrevolutie voltrokken - dat we de gevolgen daarvan nog niet precies kunnen overzien.’

Bibi van den Berg
© Foto Hielco Kuipers

Wat vindt de burger?

Van den Berg heeft drie boodschappen. Ten eerste wijst ze op het belang van de inbreng van de sociale en geesteswetenschappen bij cybersecurity: ‘Het vakgebied is nog steeds heel technisch georiënteerd. Er wordt bijvoorbeeld nog steeds vaak risicomanagement ingezet om de cybersecurity bij bedrijven en de overheid in kaart te brengen. Deze methode is afkomstig uit de technische branche en erg gericht op cijfers. Ik vind dat je die cijfers niet kritiekloos moet toepassen maar bijvoorbeeld ook moet kijken naar risicoperceptie. Wat vinden burgers ervan? Hoe ervaren zij de risico’s? En wat is de rol van uitspraken van politici?’

Nepnieuws serieuze bedreiging

Ten tweede stelt Van den Berg dat het belangrijk is om het onderzoeksgebied te verbreden. ‘We kijken nu alleen naar bewuste aanvallen - zoals hacks - en nog te weinig naar de gevaren van menselijke fouten of bijvoorbeeld natuurrampen. Bovendien is cybersecurity nog voornamelijk gericht op het voorkomen van aanvallen op machines en datasystemen. Voor de gevaren van nepnieuws is geen beleid of methodologie ontwikkeld. Terwijl dit het democratisch proces ernstig in gevaar kan brengen. Een bericht dat zich via sociale media razendsnel verspreidt, is echt niet te vergelijken met de pamfletten die vroeger uit een vliegtuig gegooid werden.’

‘Het CBS heeft op dit moment te maken met een verschuiving: er wordt meer samengewerkt met andere onderzoeksinstellingen en het CBS vergroot de gebruikersmogelijkheden van zijn data’

Bedrijven in de problemen

Het gebrek aan theorie en definities is het laatste speerpunt van Van den Berg. ‘Er is nog weinig ‘basis’ op mijn vakgebied. Wat is cybersecurity precies? Wat is cyberterrorisme eigenlijk?’ Er is in de wereld nog nooit een desastreuze cyberaanval geweest, benadrukt Van den Berg. ‘Vorig jaar was de containerterminal in Rotterdam enige tijd verstoord door een aanval en de ransomware Wannacry bracht wereldwijd grote bedrijven in de problemen. Dat is ernstig, maar er waren geen mensenlevens in gevaar. Bij een aanval waarbij de elektriciteit voor langere tijd uitvalt of het waterbeheer wordt uitgeschakeld, is dat wel het geval. Hoe goed Nederland is voorbereid op dergelijke aanvallen, weten we eigenlijk niet. Er wordt veel in cybersecurity geïnvesteerd. Maar we zijn er nog niet.’

Privacy en veiligheid bij CBS

Het CBS verzamelt en beheert een gigantische hoeveelheid persoonlijke data van inwoners van Nederland en gegevens van bedrijven. De veiligheid van die gegevens en de privacy van de burgers is zeer belangrijk voor het CBS. Het is één van de redenen dat plaatsvervangend Directeur-Generaal Bert Kroese van het CBS bij de oratie van Bibi van den Berg aanwezig was. Van den Berg maakt ook deel uit van de ICT-adviesraad van het CBS. Daarbinnen richt zij zich met name op informatiebeveiliging en privacy. Van den Berg: ‘Het CBS is een vesting met verschillende slotgrachten die de data beveiligen. Bij elke slotgracht is ook een brug, die goed bewaakt moet worden. Het CBS heeft op dit moment te maken met een verschuiving: er wordt meer samengewerkt met andere onderzoeksinstellingen en het CBS vergroot de gebruikersmogelijkheden van zijn data. Dat past bij de maatschappelijke functie die het CBS heeft en bij de ontwikkelingen van deze tijd. Maar het is ook een beveiligingsrisico. Dit is ontwikkeling die - ook binnen de ICT-adviesraad - continu bewust aandacht krijgt.’