Michel Verhagen, Digital Trust Center: ‘Weerbaarheid veel bedrijven nog ondermaats’

“Cybersecurity is niet alleen een vraagstuk voor IT’ers. Het gaat iedereen aan, of je nou zzp’er bent of CEO van een groot bedrijf. En het hoeft helemaal niet veel tijd en moeite te kosten om de basis hygiëne op orde te krijgen als het gaat om cyberweerbaarheid.”

Aan het woord is Michel Verhagen, manager Digital Trust Center (DTC). Onlangs kwam deze organisatie – onderdeel van het ministerie van Economische Zaken en Klimaat (EZK) – met een indringende waarschuwing: veel kleine bedrijven zijn nog onvoldoende cyberweerbaar. Waarschuwen, stelt Verhagen, is belangrijk. Maar de rol van het DTC gaat veel verder. Met praktische tips, ondersteuning en kennisdeling via onlinekanalen en een snel groeiende online cyber community, wil het DTC die cyberweerbaarheid op een hoger niveau krijgen.

Van motie naar concreet initiatief

Het DTC ontstond vijf jaar geleden mede op initiatief van de Tweede Kamer, die ook wilde dat het niet-vitale bedrijfsleven ondersteuning kreeg om de economie op kracht te houden. Het toenmalige kabinet stelde hiervoor geld beschikbaar. Verhagen werd samen met enkele andere kwartiermaker, om van motie tot concreet initiatief te komen: elke organisatie in Nederland cyberweerbaar maken. De twee hoofdtaken die hieronder vallen, zijn:

• Informatie en advies verstrekken (onder meer via tips en tools op de eigen website);

• Samenwerking zoeken met partijen die de ruim 2 miljoen bedrijven, van zzp tot grootbedrijf, kunnen ondersteunen in cyberweerbaar worden.

“Hoezeer we het ook willen, we kunnen niet alle bedrijven in Nederland ondersteunen”, stelt Verhagen. “Daarom hebben we een netwerk van samenwerkingsverbanden dat, verspreid over Nederland en alle sectoren, bedrijven helpt om hun cyberweerbaarheid te vergroten. Dat doen we op basis van vijf basisprincipes die we hebben ontwikkeld samen met het bedrijfsleven. Want het is belangrijk dat we de taal van de ondernemer spreken. Anders worden je adviezen, hoe mooi ook, niet opgevolgd – als ze al begrepen worden.

Advies geven betekent meer dan alleen zeggen wat een organisatie moet doen, benadrukt Verhagen. “Je moet handelingsperpectief bieden: niet alleen zeggen waarom tweefactorauthenticatie belangrijk is, maar ook duiden hoe en waar je dit toepast. En heb je onvoldoende kennis in huis? Stap dan naar een IT-dienstverlener die je op weg helpt.”

Concreet en algemeen advies

Advies van het DTC valt n twee delen uiteen: concreet advies zoals dreigingsinformatie en algemeen advies. “Bij dat laatste kun je denken aan advies over hoe je ransomware kunt herkennen en wat je moet doen als je er het slachtoffer van bent. Maar ook: moet ik alles uitzetten, moet ik aangifte doen, hoe maak je de afweging of je losgeld betaalt. En wat helpt om een besmetting met ransomware te voorkomen. En niet alleen of je een back-up hebt, maar ook of je die kunt terugzetten met de zekerheid dat niet ook die back-up besmet is?”

Hele simpele tips kunnen ook zijn: hang een lijst op met de belangrijkste contacten in het geval van een cyberincident; zorg ervoor dat je weet wie je moet bellen wanneer al je systemen offline zijn door een hack of ransomware-aanval. “Voor brandveiligheid heb je ook preventieve maatregelen. Voor digitale aanvallen is het ook logisch om die maatregelen te treffen.”

Olievlekwerking

Verhagen merkt een olievlekwerking van het DTC. Zo groeide het bereik van de website, van zo’n 80.000 bezoekers in totaal in de eerste twee jaar naar 260.000 in 2022. Dit jaar zoeken naar verwachting zo’n 300.000 bezoekers informatie en advies over cyberveiligheid bij het DTC.

Maar het DTC wacht niet af tot ondernemers de website vinden. Het richtte onder meer een cyberweerbaarheidsnetwerk op met inmiddels 56 samenwerkingsverbanden: brancheorganisaties, regionale ondernemersverbanden en weerbaarheidsorganisaties voor bijvoorbeeld bedrijven in havens, of op Schiphol. Die samenwerkingsverbanden besteden steeds meer aandacht aan cybersecurity en -weerbaarheid, zoals in hun nieuwsbrieven en trainingen. Soms pakken ze ook een adviesrol, of willen ze concrete tools aanbieden. Daarvoor leunen ze dan vaak op het DTC.

“Zo bieden wij simpele tools als de CyberVeilig Check voor zzp en mkb. Daarmee weet je in vijf minuten welke acties je kunt ondernemen om aan de slag te gaan met de cyberweerbaarheid van je bedrijf. Dit kan het cyberbewustzijn en cyberweerbaarheid enorm vergroten. De acties die zzp’ers en mkb’ers moeten nemen zijn haalbaar; de instructies concreet en begrijpelijk. Tweefactorauthenticatie bijvoorbeeld: niet alleen dát het belangrijk is, maar ook hoe dat te doen – of laten doen als je zelf de IT-kennis hiervoor niet in huis hebt.”

Bedrijven genotificeerd

In sneltreinvaart bouwde het DTC een waarschuwingsservice op. Sinds 2 jaar waarschuwt de DTC Notificatiedienst individuele bedrijven wanneer de overheid weet heeft van een kwetsbaarheid bij dit bedrijf. Verhagen: “We geven dan direct – per telefoon maar meestal per mail – aan dat er mogelijk een dreiging speelt en welke actie deze dreiging opheft. Inmiddels hebben we al ruim 24.000 waarschuwingen verzonden in 2 jaar tijd. Ondernemers waarderen dit zeer en het helpt om onze economie sterk te houden.”

Het DTC heeft ook een online community met onder meer ondernemers, IT-verantwoordelijken en cybersecurity professionals, met al ruim 1.900 leden. Verhagen hierover: “De honger naar informatie is groot in dit vak. Securityverantwoordelijken zoeken een plek waar actuele ervaringen gedeeld worden. Vragen over securitytooling of bijvoorbeeld welke maatregelen genomen moeten worden voor een bedrijfsbezoek aan China. In deze community wordt ook concrete dreigingsinformatie gedeeld over nieuw ontdekte kwetsbaarheden in veelgebruikte bedrijfssoftware. En dit is geen eenrichtingverkeer. We doen dankzij die community zelf ook weer veel informatie op die we kunnen gebruiken om onze adviezen en tools te verbeteren, verdiepen of verbreden.”

Hoewel het NCSC zich primair richt op de 300 vitale bedrijven, is er steeds meer samenwerking met het DTC. Concreet kwam dat tot uiting toen zij samen een webinar hielden om informatie te delen over de ernstige kwetsbaarheid in Apache Log4J, halverwege december 2021. “Wij hebben toen destijds honderden vragen tijdens de webinar zelf beantwoord, en daarna ook schriftelijk vele vragen. Alle kennis die er bij ons, maar ook bijvoorbeeld de Politie aanwezig was, kwam daar samen.”

'De honger naar informatie is groot in dit vak'

Verhagen toont zich ondanks de eigen waarschuwingen redelijk positief over de ontwikkeling van cyberweerbaarheid. “Uit de Cybersecurity Monitor van het CBS blijkt dat steeds meer organisaties van 2-10 werknemers vijf of meer maatregelen uit de top-10 van cyberweerbaarheidsmaatregelen nemen. Ging het in 2016 om 32 procent, in 2020 was dit al 42 procent. Je merkt dat het meer en meer gebruikelijk wordt om maatregelen te treffen.”

Nog altijd neemt 58 procent van alle organisaties van 2-10 werknemers dus minder dan vijf maatregelen, beseft Verhagen. “Daar moeten we hard aan blijven trekken. En niet elke organisatie hoeft elke maatregel te nemen. Moet je bijvoorbeeld encryptie gebruiken wanneer je niet over vertrouwelijke data beschikt, zoals bedrijfsgeheimen?”

Sommige basismaatregelen zijn echter een must. Tweefactorautenticatie – Verhagen blijft dit benadrukken - is er een. “Wachtwoorden alleen zijn gewoon niet meer genoeg. Te veel mensen hergebruiken wachtwoorden. Zo kan het gebeuren dat wanneer er wachtwoorden van een winkelwebsite gestolen worden, criminelen daar misschien ook toegang mee krijgen tot je bank. Met die extra handeling voor criminelen voorkom je dit voor een groot deel. Gelukkig zie je ook hier wel meer adoptie, maar het moet echt wel sneller.”

Samensmelting

Het NCSC, het DTC en het Cyber Security Incident Response Team voor digitale dienstverleners (CSIRT-DSP) gaan vanaf 2026 samen in één centraal expertisecentrum en informatieknooppunt. Het bundelen van kennis en informatie rondom cybersecurity, wettelijke taken en dienstverlening bij grote incidenten moet de digitale weerbaarheid van Nederland vergroten. De nieuwe instelling gaat alle organisaties in Nederland - groot of klein, publiek of privaat, vitaal en niet-vitaal - van passende informatie en kennis voorzien.

Verhagen verwacht dat de organisaties elkaar versterken. Zo heeft het NCSC veel technische kennis en een internationaal netwerk. Het DTC heeft als sterk punt de juiste manier van communiceren met organisaties, zowel groot als klein, met of zonder veel IT-kennis. Het CSIRT-DSP heeft dan weer kennis over haar doelgroep, clouddiensten en online marktplaatsen. “Ook is het voor een organisatie veel eenvoudiger om bij één loket aan te kloppen. Daarna kan vanzelf bepaald worden of je de ‘afslag’ mkb moet nemen, of dat je misschien zonder het te weten behoort tot een vitale infrastructuur en wellicht moet voldoen aan de NIS2-richtlijn.”

Genoeg voorhanden

Voorafgaand aan de fusie heeft het DTC nog genoeg voorhanden. Als straks de NIS2-richtlijn van kracht wordt, vallen er veel meer organisaties onder een ‘vitale infrastructuur’. Maar dan blijven er nog zeker 2 miljoen organisaties over, stelt Verhagen: “Wij willen dat ook deze organisaties hun basis op orde krijgen en houden. We blijven hiervoor tools ontwikkelen en aanbieden, zoals een Phishingquiz, of de eerdergenoemde CyberVeilig Check. Want het is niet meer van deze tijd om de basis niet op orde te hebben. En de bottom line is voor veel kleinere ondernemingen, dat de impact van een hack of gijzeling groot is. Als bedrijf kun je hier zelf iets aan doen door de basis op orde te brengen. Het DTC helpt daarbij.”