Beveiligingsexperts maken zich zorgen over de investeringen van het demissionaire kabinet in cybersecurity en informatiebeveiliging. De regering schrijft in de Miljoenennota dat ze zich zorgen maakt over de maatschappelijke impact van cyberaanvallen, maar noemenswaardige investeringen blijven uit. De budgetten staan in schril contrast tot de kosten die een digitale aanval met zich meebrengt. Dat vertellen meerdere cybersecurityexperts tegenover RTL Nieuws.
Afgelopen dinsdag was de derde dinsdag van september. Op Prinsjesdag gaat het nieuwe parlementaire jaar van start en presenteert het kabinet de begroting voor het komend jaar. De Miljoenennota beschrijft welke bedragen de regering wil uitgeven aan uiteenlopende onderwerpen, van huisvesting tot zorg, van milieu en klimaat tot dierenwelzijn en het Nederlandse wegennet.
Ook cybersecurity is een thema waar het demissionaire kabinet geld voor wil uittrekken. Kijken we echter naar de cijfers, dan zien we dat deze investeringen bescheiden zijn. Uit de overzichten blijkt dat de Algemene en Militaire Inlichtingen- en Veiligheidsdienst (AIVD en MIVD) van 2022 tot en met 2026 er jaarlijks 15 miljoen euro bij krijgen. Dit geld is bestemd voor “een gecombineerde aanpak van detectie van digitale aanvallen en advies om overheden en vitale bedrijven te ondersteunen bij het vergroten van hun weerbaarheid op dit terrein”. De politie kan komend jaar rekenen op 14 miljoen euro om “datagedreven werken en digitalisering van Intake & Service (I&S)” te realiseren.
Het Nationaal Cyber Security Centrum (NCSC), de instantie die door velen als de spil in de bestrijding van cybercrime wordt beschouwd, krijgt er slechts 700.000 euro bij. Het NCSC verstrekt actuele dreigingsinformatie aan bedrijven en organisaties die werkzaam zijn in de vitale sector (financiële instellingen, providers, bedrijven die zich met nutsvoorzieningen bezighouden). De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) Pieter-Jaap Aalbersberg zei bij de presentatie van het rapport Cybersecuritybeeld Nederland 2021 nog dat ransomware en andere soorten cyberaanvallen een risico vormen voor onze nationale veiligheid.
De Autoriteit Persoonsgegevens (AP) komt er het slechtst van af. De privacywaakhond kreeg deze week te horen dat haar budget het komend jaar wordt bevroren. Dat betekent dat de toezichthouder genoegen het moet zien te redden met een budget van 25 miljoen euro. De Tweede Kamer heeft dit jaar meerdere moties aangenomen waarin ze demissionair minister voor Rechtsbescherming Sander Dekker heeft gevraagd om het budget van de AP te verhogen. Minister Dekker wil dat een volgend kabinet hierover een besluit neemt. AP-bestuursvoorzitter Aleid Wolfsen zegt het bevriezen van het budget ‘zeer zorgelijk’ te vinden. “Wij kunnen al jaren ons werk niet goed genoeg doen, simpelweg omdat we te weinig mensen hebben. Maar in plaats van een verhoging, wordt ons budget bevroren.”
Beveiligingsexperts zijn eveneens bezorgd dat forse investeringen in cybersecurity en informatiebeveiliging uitblijven. “Het staat niet in verhouding tot de urgentie die uit de Miljoenennota en de troonrede naar voren komen”, zo vertelt Dave Maasland van cybersecuritybedrijf ESET Nederland tegenover RTL Nieuws.
Liesbeth Holterman van brancheorganisatie Cyberveilig Nederland zegt dat de budgetten van individuele organisaties ‘in schril contrast’ staan als je nagaat hoeveel geld er nodig is om een doorstart van een bedrijf dat getroffen is door een cyberaanval. Ze zegt dat een investering van 7 ton gelijk staat aan 3,5 fte. “Een gemiddelde multinational heeft meer specialisten aan het werk dan de overheid, als je kijkt naar de begroting van het DTC [Digital Trust Center, red.] en het NCSC.”
Maasland is kritisch over de investeringen van het demissionaire kabinet. “Een investering in de AIVD is geen investering in het NCSC”, zo benadrukt hij. Dat de politie er miljoenen bij krijgt is een goede zaak, maar ook dat verhoogt volgens hem de cyberweerbaarheid niet. Het draait in zijn ogen om preventie, en dat zie je niet terug bij de investeringen in de politie.
Holterman erkent dit. Volgens haar is het belangrijk om op jonge leeftijd al aandacht te besteden aan digitale weerbaarheid. “Het volwassenheidsniveau moet over de volle breedte. Ja het moet naar het NCSC en de veiligheidsdiensten. Maar je moet ook meer doen aan kennisontwikkeling. Want leerlingen krijgen niets rondom digitale weerbaarheid op school.”
In april publiceerde de Cyber Security Raad (CSR) het rapport ‘Integrale aanpak cyberweerbaarheid’. Daarin benadrukte het adviesorgaan dat ransomware-aanvallen en andere cyberdreigingen een permanent karakter hebben. Het feit dat er in ons land steeds vaker cyberaanvallen worden uitgevoerd, komt volgens de instantie doordat de digitalisering in een stroomversnelling is geraakt door de coronapandemie. Investeringen in cybersecurity en informatiebeveiliging bleven echter achter.
De CSR vreest dat Nederland achterop dreigt te raken als ze niet gauw fors investeert in digitale weerbaarheid. Daarom moet het kabinet tussen nu en 2024 minimaal 833 miljoen euro investeren. Dat bedrag moet boven op de huidige investeringen komen. De Nationale Politie schaarde zich achter het advies van de raad. “Nederland is een van de meest gedigitaliseerde economieën ter wereld, maar de stappen die zijn gezet wat betreft cyberweerbaarheid zijn nog niet overal toereikend. En dat maakt ons land kwetsbaar”, aldus Theo van der Plas, programmadirecteur digitalisering en cybercrime.
Dat geld moet volgens de CSR worden geïnvesteerd in vijf kerncomponenten. De CSR pleit ervoor dat de overheid de regie op zich neemt als het gaat om cyberweerbaarheid. Ook moet de overheid fors investeren in kennis, onderzoek en ontwikkeling op het gebied van cybersecurity. Verder moet de regering zich inzetten voor veiligere producten en diensten voor burgers, het bedrijfsleven en overheidsorganen. Tot slot moet er meer geld gaan naar het beveiligen van vitale processen en geïnvesteerd worden in toezicht, handhaving en bescherming.
