‘Voor cybersecurity hoef je niet bang te zijn’

Amerikaanse expert Christopher Painter over samenwerking bij het tegengaan van bedreigingen

President Obama vroeg hem aan de slag te gaan als eerste cyberdiplomaat ter wereld. Voor de Amerikaan Christopher Painter was die functie de bekroning van zijn 27-jarige loopbaan in overheidsdienst. Het tegengaan van cyberbedreigingen vraagt om samenwerking tussen landen onderling en met bedrijven, stelt Painter. Hij vertelt over het bewustzijn bij bedrijven van digitale gevaren. Welke vragen moeten CEO’s zichzelf stellen?

Amerikaanse expert Christopher Painter

Chris Painter verblijft zeven weken in Den Haag als principle visiting fellow bij The Hague Centre for Strategic Studies en was onlangs ook te gast bij PwC. De gerenommeerde expert op het gebied van cybersecurity en cyberbeleid werkte als openbaar aanklager en daarna op het Amerikaanse ministerie van Justitie aan de eerste cyberzaken in hun soort. Hij vervolgde in de jaren negentig oer-hacker Kevin Mitnick en behandelde de eerste beursmanipulatiezaken in het internettijdperk. Hij werkte voor de FBI, ‘waar digitale gevaren al decennia lang in de top drie van aandachtspunten staan’, en daarna in het Witte Huis voor Obama. ‘Ik nam in twee jaar tijd twee dagen vrij, zo geweldig was het en zo geweldig veel werk was er.’

Op verzoek van Obama initieerde Painter het Office of the Coordinator for Cyber Issues op het Amerikaanse ministerie van Buitenlandse Zaken. ‘Obama’s presidentscampagne in 2008 was gehackt, dus hij nam de gevaren van cyber heel serieus.’ Vanuit dat office diende Painter de belangen van de Verenigde Staten (VS) als eerste cyberdiplomaat ter wereld. ‘Inmiddels zijn er zo’n dertig cyberdiplomaten; Nederland heeft er ook een.’ Na een halfjaar gediend te hebben onder president Trump, nam Painter ontslag. Niet lang erna werd zijn voormalige functie als Coordinator for Cyber Issues gedemoveerd.

- In de recente Amerikaanse congresverkiezingen wonnen de Democraten het Huis van Afgevaardigden. Zal die uitslag van invloed zijn op het cyberbeleid van de VS?

‘Ik verwacht niet dat de Democraten met hun meerderheid in het Huis goede wetgeving op dit gebied zullen blokkeren. In mijn ervaring is cybersecurity altijd een onderwerp geweest waarop de Republikeinen en de Democraten samenwerken. De belangrijkste uitzondering hierop is de Russische inmenging in de verkiezingen van 2016. Dat is gepolitiseerd door de uitspraken van de president hierover. Het is interessant dat Trump veel ideeën van de Obama-regering rondom cybersecurity voortzet. Zo presenteerde de regering onlangs de National Strategy for Cyber Space, die grotendeels gelijk is aan die van Obama. Dat laat continuïteit zien. Overigens – heel opvallend – beschrijft dat document dat we, op het gebied van afschrikking, sterker zijn in samenwerking met andere landen dan alleen. Dat lijkt toch niet erg op America First.’

Voor cybersecurity hoef je niet bang te zijn

- Welke zaken in het overheidsbeleid op cybersecurity kunnen wat u betreft beter?

‘De strategie is goed, maar uiteindelijk zijn het maar woorden op papier als op cyberaanvallen van landen geen acties volgen. Sterker nog, niet in actie komen impliceert dat het toelaatbaar is. De Russische inmenging in onze verkiezingen, de aanval met NotPetya-malware die van de Russen kwam en de Wannacry-aanval door Noord-Korea hadden gigantische effecten op overheden en op de private sector in de westerse wereld. We moeten veel beter worden in het afschrikken van dit soort gedrag. Daarvoor hebben we diplomatieke opties. Die werken bij landen zoals China, waarvan het leiderschap gevoelig is voor hoe het land in de wereld bekendstaat. Maar voor Rusland en Noord-Korea geldt dat niet. Doelgerichte economische sancties kunnen dan helpen om gedrag te veranderen. Lukraak bedrijven sanctioneren in Moskou werkt niet, maar achter Poetins persoonlijke financiën aangaan waarschijnlijk wel.
Het grootste probleem met de huidige regering is dat zij niet consequent is op dit onderwerp. Trump werkt eigenhandig internationale cyberstabiliteit tegen door hardop in twijfel te trekken of de Russen zich wel met onze verkiezingen hebben bemoeid. Je kunt allerlei mooie strategieën bedenken, maar met zulke uitspraken ondermijn je elke poging tot rechtvaardigheid en afrekening. Je hebt consistente boodschappen vanuit de top nodig. Dat geldt voor presidenten, maar net zo goed voor bestuursleden in het bedrijfsleven. Als zij gemengde signalen over het strategische belang van digitale beveiliging naar de eigen medewerkers en de buitenwereld sturen, ondermijnt dat elk beleid.’

- Als eerste cyberdiplomaat werkte u vanaf 2011 aan internationale samenwerking. Welke rol kunnen bedrijven spelen in die samenwerking?

‘Het delen van informatie tussen bedrijven en de overheid over aanvallen is belangrijk, maar lastig. Bedrijven zijn er terughoudend mee omdat ze zich zorgen maken over hun aansprakelijkheid en het vertrouwen van hun klanten. In de Verenigde Staten proberen we die zorgen een voor een aan te pakken met wetgeving. Verder gaan bedrijven makkelijker informatie delen als ze daarvoor een bedrijfseconomische reden hebben. Dus we proberen die redenen te versterken, door bijvoorbeeld in ruil waardevolle informatie terug te geven. Tegen bedrijven zeg ik dan ook dat zij contact moeten leggen met hun overheid om te ontdekken hoe zij elkaar hierin van dienst kunnen zijn.’

- Hoe staat het met de bewustwording van cyberrisico’s bij bedrijven?

‘Die is sterk toegenomen door allerlei grote incidenten die het nieuws haalden. De verstoring van de Amerikaanse verkiezingen bijvoorbeeld, hoewel niet op bedrijven gericht, maakte veel indruk. Ransomware haalt de voorpagina’s. Of neem de NotPetya-aanval, dat het Deense logistiekbedrijf Maersk een week lang platlegde: schade tussen de 200 en 300 miljoen dollar. Een ander schrikbarend voorbeeld is oliebedrijf Saudi Aramco, waar tienduizenden computers door malware van alle data werden ontdaan. Van de risico’s op diefstal zijn bestuurders zich vaak minder bewust. Dat komt denk ik omdat het bedrijf in zo’n geval vaak nog over de data beschikt. Je ziet niet dat iemand de deur uitloopt ermee. Maar het kunnen wel bedrijfsgeheimen zijn en waardevolle commerciële informatie die, in verkeerde handen, de toekomst van de onderneming bedreigen.’

- Welke kansen ziet u voor cybersecurity?

‘Naar gelang onze wereld verder afhankelijk raakt van digitale systemen, producten en diensten, zullen de kansen toenemen. Denk aan de mogelijkheden van het Internet of Things. Tot nu toe zijn klanten nog weinig bereid om een hogere prijs te betalen voor producten met connectiviteit die goed beveiligd zijn, maar dat zie ik wel veranderen. Beveiliging zal een concurrentievoordeel bieden. Belangrijk is dat bedrijven cybersecurity niet meer als doel op zich zien, maar als basis. Hoe kan beveiliging ons helpen bij de innovatie van producten en diensten? Zo wordt cybersecurity een aanjager van innovatie in plaats van een kostenpost.’

- Heeft men in de bestuurskamer voldoende begrip van het onderwerp?

‘Veel bestuurders weten nu dat cybersecurity belangrijk is, maar vaak nog niet waarom en ook niet wat ze ertegen moeten doen. Cybersecurity is geen beveiligingsonderwerp, maar moet als risicobeheersing worden behandeld. Als ik het terugbreng tot vier kernvragen die elke bestuurder zich zou moeten stellen, luiden die als volgt: Wat zijn de belangrijkste activa van ons bedrijf: klantdata, intellectueel eigendom, communicatieplatformen, of iets anders? Begrijp ik de belangrijkste cyberrisico’s die we met die activa lopen? Hebben we de procedures om die risico’s af te wenden? En hebben we een incident response plan voor als het misgaat? Dat laatste is extra belangrijk omdat het niet mogelijk is om cyberactiviteiten honderd procent veilig te maken. Chief information security officers (CISO’s) klagen terecht dat ze vaak binair beoordeeld worden: het gaat voor hen prima zolang er geen problemen zijn, maar als er een incident is, worden ze ontslagen. Dat je een CISO hebt, betekent niet dat er zich nooit iets voordoet. Belangrijk is dat die CISO in direct contact met het bestuur de risico’s en kansen onderzoekt. Hij of zij zorgt voor dat incident response plan, de beveiligingsprocedures en de basishygiëne – dat softwarepatches altijd zijn bijgewerkt bijvoorbeeld, en dat medewerkers goed worden getraind en het melden als ze iets stoms hebben gedaan zoals op een phishing-e-mail klikken.’

- Ziet u verschillen tussen sectoren in hoe cybersecurity wordt opgepakt?

‘De technologiesector presteert het beste omdat het onderwerp zo dicht bij hun kerncompetenties ligt. De communicatiesector doet het goed en de financiële sector heeft de zaak inmiddels redelijk op orde omdat ze zo vaak doelwit is. Andere sectoren, zoals de maakindustrie, blijven achter omdat ze denken dat ze weinig met de bedreigingen te maken hebben. Dat is onverstandig. Ik heb in mijn jaren bij de FBI genoeg voorbeelden gezien van bedrijven die ongemerkt slachtoffer waren en dat van ons moesten horen. Maar laat ik vooral positief eindigen. Het doel van cybersecurity is niet om bedrijven bang te maken voor het internet. Het is net als met het ontwerpen van een honderd procent veilige auto: die auto kan niet rijden. Ga dus bewust om met de risico’s en maak vervolgens gebruik van de geweldige mogelijkheden van het internet.’

Contact

Eric de Bie

Eric de Bie

Hoofdredactie Inzake, PwC Netherlands

Tel: +31 (0)64 613 60 38

Volg ons