Niet beveiligd tegen cyberinbraken? Dan riskeer je een megaboete!
Het is minder zichtbaar, maar we hebben naast de coronapandemie ook te maken met een ransomware-pandemie. Europa moet de komende maanden een flink inhaalslag maken met zijn beveiliging tegen cybercriminaliteit. Banken, ziekenhuizen, nutsbedrijven en ook 'gewone' bedrijven van een bepaalde omvang moeten zich straks in heel Europa verplicht beveiligen tegen cyberinbraken. Zo niet, dan riskeer je een boete van 2% van je jaaromzet. In Nederland is de cybercriminaliteit in 2019 verdubbeld, het gebruik van gijzelsoftware is vorig jaar wereldwijd verdrievoudigd en voor dit jaar is een nieuwe piek in de maak.


Francis
van der Hoeven
Brussel hoopt op die manier de toenemende cybercriminaliteit de pas af te snijden. En dat is hoog nodig, zegt VVD-Europarlementariër en cyberspecialist Bart Groothuis, want het loopt politie en veiligheidsdiensten compleet over de schoenen.
Hackers draaien overuren om te speuren naar digitaal openstaande kelderraampjes, IT-systemen over te nemen en een flink bedrag aan losgeld te vragen om hun geknoei weer ongedaan te maken. Het jongste slachtoffer: MediaMarkt, dat vlak voor de Sinterklaas- en Kerstdagen de keus moet maken tussen een gebrekkige dienstverlening of een vermeend losgeld van 43 miljoen.
Europese wetgeving moet daartegen nu een dam opwerpen. Vitale bedrijven en instellingen zoals banken, ziekenhuizen, zorginstellingen, nutsbedrijven maar ook alle andere bedrijven met een jaaromzet van 10 miljoen en 50 werknemers zijn straks verplicht om hun IT-systemen na te lopen op kwetsbaarheden, risicoanalyses uit te voeren, hun beveiliging te verbeteren en liefst dagelijks back-ups te maken. Ook worden ze verplicht incidenten te melden. Groothuis: ,,Het gaat er niet langer om of een bedrijf vitaal is voor de samenleving, maar of het vitaal is voor het businessmodel van de bendes die ransomware (gijzelsoftware) installeren. Als je weet dat hun gemiddelde opbrengst €140.000 is, dan mag de grens voor verplichte beveiliging niet te hoog liggen.”
Verplichte cyberbeveiliging
VVD-Europarlementariër Bart Groothuis kreeg vandaag ongewoon snel een mandaat om namens het parlement te onderhandelen met de 27 EU-lidstaten over verplichte cyberbeveiliging voor naar schatting 160.000 Europese bedrijven en instellingen (zoals zorg- en ziekenhuizen). In Europa spendeert een bedrijf gemiddeld nu al 41% minder aan cyberbeveiliging dan in Amerika, en daar komt de Amerikaanse spoedwetgeving nog overheen. De helft van de ondernemers zal door de nieuwe Europese regels meer dan €46.000 kwijt zijn aan cybersecurity, de andere helft is minder kwijt. Maar die kosten zijn tegen die achtergrond verwaarloosbaar. ,,Het gaat ook minder om de kosten dan om de mindset”, zegt Groothuis. ,,Met een paar simpele ingrepen kun je jezelf al stukken beter beveiligen dan nu vaak het geval is. Je moet het hackers zo moeilijk mogelijk maken.”
En zeker mag Europa de achterstand op Amerika niet verder laten oplopen. ,,Je zit niet op een eiland”, zegt Groothuis. Nederland noteerde al eerder dat cyberboeven hun werkterrein razendsnel verleggen als het hen in een bepaalde regio te heet onder de voeten wordt. Toen Nederlandse banken jaren geleden in één klap collectief hun beveiliging fors opvoerden, betaalden Duitse en Belgische banken het gelag: zij kregen de extra inbraken die Nederland uitspaarde.
De Europese anti-inbraakwetgeving is niet helemaal nieuw. Al sinds 2016 ligt er een richtlijn, de Network and Information Security Directive of NIS, die zegt wat bedrijven en instellingen zouden moeten doen om inbrekers buiten de deur te houden. Maar die richtlijn kende geen enkele verplichting. Het gevolg was dat bedrijven in het beste geval wel iemand of een afdeling aanwezen voor beveiliging, maar het in de hogere bedrijfsechelons te weinig aandacht kreeg. Onder de nieuwe richtlijn, NIS2, wordt het Chefsache, zegt Groothuis. ,,De verantwoordelijkheid voor de digitale veiligheid van een bedrijf komt nu bij de baas zelf te liggen, en dat betekent ook dat er makkelijker in cyberveiligheid wordt geïnvesteerd.” De ‘mindset’ dus.
Een artikel in de nieuwe conceptwet dat op dit vlak miskleunende managers zelfs van hun taak wilde ontheffen, is geschrapt. Groothuis: ,,Dat ging mij te ver. Een manager die nalatig is en daardoor zijn bedrijf een boete bezorgt, zal vanzelf al minder goed in de markt liggen.” De taak om bedrijven te controleren op hun veiligheidsinzet, gaat naar bestaande toezichthouders. Zij stellen vast of een bedrijf of instelling aantoonbaar nalatig is, een inbraak niet meldt of eenvoudige voorzorgen niet neemt.
Lamgelegd
Maar de wet wordt er niet één van alleen maar straffen, zegt Groothuis. Omgekeerd zullen nationale opsporingsdiensten de extra informatie die ze hopen te krijgen snel met elkaar delen, zodat bendes sneller kunnen worden ingerekend. Ze adviseren en assisteren gehackte bedrijven en verlenen hun technische bijstand om lamgelegde it-systemen weer aan de praat te krijgen. ,,Wat Nederland op dat vlak in huis heeft is absolute wereldtop”, jureert Groothuis, in een eerder leven zelf cyberbeveiliger bij Defensie in Den Haag. ,,Af en toe wordt er een bende opgerold die in haar eentje miljoenen slachtoffers heeft gemaakt.”
9 van de 10 keer is dat trouwens een Russische bende, weet hij, en president Poetin moedigt dat eerder aan dan dat hij ertegen optreedt. ,,Een van de doelen is de westerse economische structuren te verzwakken. Het is geen toeval dat Joe Biden bij zijn eerste bezoek als president aan Moskou niet over kernwapens sprak, maar over cybercrime. Europa mag daar een voorbeeld aan nemen.”
Tempo
Het Europese Parlement is vastbesloten tempo te maken. Anderhalve week geleden zette de industriecommissie het licht op groen, vandaag – zonder plenaire stemming – wees het Groothuis aan als onderhandelaar. De lidstaten hopen volgende maand op één lijn te komen, waarna Groothuis de boel met de Fransen – na de jaarwisseling Europees voorzitter – de boel mag aftikken. Normaal staan er daarna nog 1,5 tot 2 jaar voor de richtlijn in nationale wetgeving is omgezet, maar Groothuis gaat ervan uit dat iedereen zo snel wil gaan dat die tijd kan worden bespaard. ,,Het is minder zichtbaar, maar we hebben naast de coronapandemie een ransomware-pandemie. En het is voor het goed functioneren van onze samenleving van groot belang dat we ons daar net zo goed tegen beschermen als tegen corona.” Eigenlijk had NIS2 er dan ook allang moeten zijn, vindt hij. ,,Om een Chinese uitdrukking te gebruiken: de beste dag om een boom te planten was 30 jaar geleden. Maar de op één na beste dag is vandaag.”
Slotvraag, juist ook gezien het gegeven dat cybercrime als een Deltavariant om zich heen grijpt: moet er niet gewoon een wettelijk verbod komen op losgeldbetaling, zodat die hele misdaadtak in één dag wordt drooggelegd? Want nu legt elke betaling de basis voor een nieuwe inbraak. Groothuis: ,,Het uitdrukkelijke advies is om niet te betalen, en zeker in de nieuwe situatie mag een gehackt bedrijf rekenen op alle steun om zijn systemen zo snel mogelijk weer werkbaar te krijgen. Maar iemand die zijn hele ziel en zaligheid in een bedrijf heeft gelegd en onder grote druk staat om te betalen, betaling verbieden? Of een ziekenhuis dat weet dat het dan coronapatiënten het leven gaat kosten? Er is over gesproken, maar dat gaat mij te ver.”
Bron: AD.nl