Tijdens het 10-jarig bestaan van het Europees Agentschap voor Netwerk- en Informatiebeveiliging (ENISA) sprak scheidend Eurocommissaris Neelie Kroes over het proactief aanpakken van cybercrime. Online security zou volgens Kroes veel ambitieuzer door Europa moeten worden opgepakt. ISP Today sprak met onze platformauteur Jurgen van der Vlugt over de toespraak van Kroes.

Van der Vlugt is het met Kroes eens dat Europa veel ambitieuzer moet zijn, maar twijfelt aan de snelheid waarmee dit zal worden opgepakt. “’Europa’ zal niet snel de vooraanstaande grootmacht van de wereld zijn waar de dynamiek van afspat, qua technologische en economische ontwikkelingen, innovatie en dergelijke. We zijn in ‘oude’ industrieën wel goed in de inceptie, maar het hoppatee introduceren en zoals Google, Apple, AirBnB en Uber binnen een paar jaar de wereldmarkt domineren dat doen we niet zo goed. Hierdoor ligt er een heel belangrijke rol in het afwegen en meenemen van onze hele geschiedenis aan maatschappij-ethiek en -filosofie in die nieuwe ontwikkelingen, nu we de singulariteit beginnen te bereiken.

Kroes wil dat online security de nieuwe norm wordt. “Mits onder dat ‘security’ wel wordt verstaan dat er flexibiliteit mogelijk moet zijn,” geeft Van der Vlugt aan. “Als de gedachte is dat we moeten blijven streven naar 100% veiligheid, dan is dat futiel en bovendien killing voor innovatie. Innovatie komt áltijd uit het net niet volgens de pietluttige regeltjes werken.” En bij beveiligingsmaximalisatie draait het volgens Van der Vlugt snel uit op pietluttige regeldrift. “Zie de bewering van Kroes dat we al goeie dingen hebben voor e-identificatie. Nou, volgens mij hebben we een paar puzzelstukjes, maar een compleet geheel hebben we nog verre van. Zoals commissaris Kroes zelf al aangeeft: het vertrouwen moeten we nog (her)vinden…”

In de drie C’s – Capabilities, Culture en Cooperation – die Kroes benoemt, kan Van der Vlugt zich van harte vinden. “Die zijn overigens helemaal niet zo ambitieus. Maar we moeten ons afvragen waarom het ons in de afgelopen decennia – terwijl we van de ene dreigingscategorie in de andere terecht kwamen – nog steeds niet is gelukt om al te komen waar Kroes en wij allemaal allang hadden moeten zijn.”

“Een sterke sector om oplossingen te fabriceren? Ja. Eens. Maar waarom moeten ‘wij’ als Europa dat doen? Oh ja, omdat we niet kunnen vertrouwen op wat van elders komt, backdoor-technisch. Gaat een Europese cyberindustrie helpen en gaat de Europese ‘burger’ die vertrouwen? Terwijl ‘Europa’ zich toch steeds weer toont als nogal totalitaire bureaucratie, dus met wat haast zo min mogelijk oog lijkt te hebben voor die burger? Natuurlijk kan de juiste oplossing best in Europa worden gefabriceerd, maar zorg dan dat er juist geen sprake is van een centrale stimulans, aansturing of coördinatie.”

Daarom ook betoogt Van der Vlugt dat de rol van ENISA juist beperkt zal moeten blijven. “Omdat Europa-breed gebruik vanbest practices – en dan bedoel ik niet de middelmatigheid of erger van standaarden uit commissievergaderwerk – wordt gehinderd als er steeds eerst een one-size-fits-all slag overheen moet, waarbij ook de achterblijvers – en dat kunnen ook de landen zijn die op andere punten dan weer vooroplopen – direct iets aan kunnen hebben. Dan krijg je geen kleinste gemene veelvoud, maar een grootste gemene deler – die wiskundig steeds kleiner wordt als er meer elementen (landen) aan (het vergadercircuit) worden toegevoegd.”

Hoe is de cyberdreiging te concretiseren? “’Hannibal komt de Alpen over!’, ‘Die Hunnen zijn veel te georganiseerd!”, enzovoort; de geschiedenis is bezaaid met voorbeelden van operationele, tactische en strategische innovaties waar het vaste patroon van ontkenning-paniek-veelheid aan tegenpogingen-selectie van de meest succesvolle op volgt. Tot de volgende ronde. Ongeacht wie ons Europa nu weer aanvalt, ongeacht waar en hoe en waarom. Cyberdreiging… oude wijn in nieuwe zakken. Het maakt een en ander wel weer interessant!”

Volgens Van der Vlugt weten de echte security-experts in Nederland zich over het algemeen wel raad met de cyberdreiging. “De goeden gaan er goed mee om, spelen geen paniekvoetbal en doen het nodige en optimale. De anderen… roepen hoe erg het allemaal is. Dat heeft niet zoveel zin. Laten we wel wezen, security is maar een onderdeel van organisatiebesturing en –management, dus laten we niet blijven jengelen tot we ‘belangrijk’ zijn en in de boardroom mogen meepraten.”

“We kunnen dus beter nu eens goed gaan doen wat we altijd al hadden moeten doen. Afdwingen dat waar het nodig is, conform procedures wordt gewerkt. Geen prachtig nieuw APT-sandbox-firewallkastje, als IAM nog zo flut is geïmplementeerd en gebruikers maar wat aanklungelen. En vrijheid geven, faciliteren waar het kan. Het zelf actief najagen van innovaties, erbij zijn, meedoen met het nieuwste van het nieuwste. Aandragen van effectiviteits- en efficiency-maximerende oplossingen die – oh hoe toevallig – ook nog eens security-wise de beste balans bieden.”

Tot slot wil Van der Vlugt aan professionals binnen de securitysector kwijt: “Act normal: be a hero. Wees een klassieke held die goed doet, omdat hij voelt dat dat het goede is. Dus geen paniekvoetbal, geen ge-cyber-dit of cyber-dat – wie dat te veel in de mond neemt, maakt zichzelf een karikatuur in plaats van in rust/stilte een oplossing te hebben geïmplementeerd.”

Dit artikel is speciaal ontwikkeld en eerder gepubliceerd door ISPToday, met medewerking van het Cqure kennisplatform.