15-12-2024
Dave Maasland: “Niet dralen met cybersecurity”
DCybersecurity-expert over implementatie NIS2
Nederland is niet op tijd klaar met de implementatie van de Europese richtlijn NIS2 ter bestrijding van cybercriminaliteit. Toch doen bedrijven er goed aan om er al naar te handelen, is de waarschuwing van cybersecurity-expert Dave Maasland. Andere lidstaten zijn namelijk al wel zo ver, en bovendien worden de risico’s groter.
Cyberbeveiligingswet, zo heet de omzetting van de Europese richtlijn NIS2 in Nederlandse wetgeving. De richtlijn, en dus ook de Nederlandse wet, heeft tot doel vitale infrastructuur en bedrijfssectoren weerbaarder te maken tegen digitale dreigingen. De Nederlandse wet had eigenlijk op 17 oktober 2024 moeten ingaan, maar al begin dit jaar liet de minister van Justitie en Veiligheid weten die datum niet te halen. Een dag voor het beoogde moment van invoering schreef minister David van Weel dat de Cyberbeveiligingswet is uitgesteld tot het derde kwartaal van 2025. Het is een “omvangrijk en complex traject”, aldus de minister.
“Slecht nieuws”, noemt Dave Maasland de Nederlandse vertraging. Maasland is CEO en eigenaar van ESET in Nederland. Hij is een expert op het gebied van cybersecurity en sprak onlangs op een webinar voor leden van evofenedex. “Het is vooral slecht nieuws, omdat het gevaar bestaat dat mensen het verkeerd interpreteren. Als ze denken: deze wetgeving geldt nog niet, dus ik hoef me er nog niet aan te houden, dat is dus niet zo. Het is een Europese wet die gewoon op 17 oktober is ingegaan. En ja, Nederland handhaaft nog niet. Maar in België bijvoorbeeld is de nationale wet al wel ingegaan. Dus als je onderneemt buiten de landsgrenzen, heb je er gewoon al mee te maken.”
“Als je onderneemt buiten de landsgrenzen, heb je er gewoon al mee te maken”
CEO en eigenaar van ESET
Los van het feit dat de Nederlandse wet er uiteindelijk toch komt, is er nog een andere reden voor bedrijven om de voorbereiding op de wet niet uit te stellen, aldus Maasland. “Bedenk even waarom we dit doen. De dreigingen waar we ons tegen teweer moeten stellen, zijn er nu al. En zeker een internationale sector als de logistiek is kwetsbaar.”
Hybride oorlog
Die dreigingen worden alleen maar groter, is de overtuiging van Maasland. “De term hybride oorlog wordt tegenwoordig veel gebruikt: het inzetten van niet-militaire middelen om in andere landen toch chaos te creëren. Om landen te verzwakken zonder er raketten op af te schieten. Nederland is voor Europa een belangrijke doorvoerhaven met een grote logistieke sector. Als het je lukt om delen daarvan plat te leggen, schep je een hoop onrust. Dat soort sabotageacties zien we nu al gebeuren. Dus ja, de logistiek zit echt in het hart van deze problematiek.” Dat hangt samen met de aard van de logistiek. Het is bij uitstek de sector die bedrijven uit verschillende sectoren met elkaar verbindt. Maasland: “De logistieke sector is heel belangrijk om onze samenleving draaiende te houden.”
Dat is dan ook de reden dat veel logistieke bedrijven met de richtlijn NIS2 te maken krijgen, zelfs als ze niet voldoen aan de criteria die zijn gesteld: meer dan 50 personeelsleden en meer dan 10 miljoen euro omzet per jaar. Logistieke dienstverleners die ‘kleiner’ zijn, hebben immers vaak opdrachtgevers die wel een dergelijke omvang hebben. En die hebben alle reden om ook hun leveranciers onder de loep te nemen. Vervolgens weren ze zwakke schakels uit hun keten. “De wet is er ook voor bedoeld dat er veilige ketens ontstaan. Grote bedrijven krijgen een zorgplicht en zullen eisen gaan stellen aan hun toeleveranciers, binnenlandse of buitenlandse. Je kunt dit niet uit de weg gaan.”
Grote bedrijven gaan ook aan kleine toeleveranciers eisen stellen op het gebied van cyberbeveiliging.
Rijdende computers
Is de logistiek daarmee voldoende bekend? “Ondernemingen in de transport- en logistieke sector komen als geen ander in de problemen als ze geen beschikking hebben over veilige IT-systemen. Dus ik merk dat ze intrinsiek al heel veel doen ter bescherming van de organisatie, zodat de operaties niet stil komen te liggen. Wat ik niet goed kan overzien is of niet alleen de IT-specialisten, maar ook de mensen in de bestuurskamer zich genoeg bewust zijn van de gevaren, en vooral van hun verantwoordelijkheid daarbij. Over het algemeen is dat besef groeiende, al valt daar nog wel een grote stap in te zetten. Ik kan niet goed beoordelen of bestuurders in de logistiek daarin afwijken van andere sectoren.”
Wat de logistieke sector onderscheidt van andere sectoren, is ook het “decentrale model”, zegt Maasland. “Bij veel andere soorten bedrijven is de IT gecentraliseerd in een kantoor. Maar vrachtwagens zijn bij wijze van spreken rijdende computers. Ook heeft de logistiek vaak wat oudere apparatuur aan boord. Dus ik durf wel te zeggen dat de logistiek bepaalde unieke uitdagingen kent ten opzichte van andere sectoren. De conclusie mag zijn dat juist die logistieke sector niet moet dralen met het voldoen aan die nieuwe wetgeving.”
Te meer niet, omdat de risico’s toenemen. De huidige aanvallen die we kennen via e-mails en sociale media worden steeds geraffineerder, ziet Maasland. “Met de toepassing van kunstmatige intelligentie zullen die aanvallen superkrachten krijgen, zo noem ik dat letterlijk. Denk bijvoorbeeld aan phishingmails die geen spelfouten meer bevatten, maar gewoon perfect geschreven zijn. En die ook nog eens heel persoonlijk kunnen zijn, op basis van profielen op sociale media. Maar denk ook aan fraude door oplichters die zich voordoen als collega’s: met het klonen van stemmen en het maken van deepfakes is dat bijna niet van echt te onderscheiden. Vroeger moest je nog een beetje een techneut zijn, wilde je je in de digitale criminaliteit begeven. Nu zie je dat die middelen steeds meer beschikbaar worden voor veel meer mensen door AI. Dus er komen potentieel veel meer cybercriminelen bij. De andere kant van de medaille is dat AI ook kan helpen in de bestrijding van criminaliteit. Vreemde processen in het bedrijf zijn makkelijker op te sporen. Het is niet zo dat we ons niet kunnen verdedigen.”
“Met de toepassing van kunstmatige intelligentie zullen die aanvallen superkrachten krijgen”
Zorgplicht
Is de invoering van NIS2 een stap vooruit in die strijd tegen cybercrime? “Absoluut”, antwoordt Maasland. “Op meerdere fronten. Kijk alleen al naar het simpele feit dat we met elkaar hebben afgesproken wat voor ons als samenleving belangrijk is, wat hoe dan ook moet blijven doordraaien. Die keuze hebben we gemaakt. Tegelijkertijd komt er een zorgplicht voor die bedrijven. Dat betekent dat je moet laten zien dat je bepaalde risico’s herkent en daar maatregelen voor neemt. Het gaat erom dat je de fundamenten goed inbouwt. Het hoeft niet allemaal perfect te zijn, het mag ook best een keer misgaan. De geest van de wet is dat je er van tevoren over hebt nagedacht en ernaar hebt gehandeld. Ik sta achter wat wel wordt gezegd: de NIS2-wetgeving is een vloer, geen plafond. Het vraagt geen Champions League-niveau van je. Het vraagt om je risicomanagement op orde te hebben. En anno 2024, met alle technologie die we nu hebben, moet je als organisatie toch dit niveau van professionaliteit willen nastreven?”
Niet alleen als cyberexpert, ook “met de burgerpet op” vindt Maasland het cruciaal om vitale infrastructuur beter te beschermen. “Als ik het grote plaatje bekijk, zie ik oorlog op ons continent, geopolitieke spanningen in de wereld, onze enorme afhankelijkheid van digitalisering, de opkomst van nieuwe technologieën en de georganiseerde misdaad die cybercrime heeft ontdekt. Dat is de achtergrond waartegen dit zich afspeelt. Daar zit de urgentie waarom we dit als maatschappij doen.”
“En nee, dat hoeft niet ten koste te gaan van de business. Je kunt nog steeds zakendoen, als betrouwbare partner van relaties die dat ook zijn. “Uiteindelijk moeten we digitale veiligheid gaan zien als remmen in een auto. Die zijn er niet voor bedoeld om je langzamer te laten rijden, maar om je met vertrouwen hard te laten rijden.”
Meer informatie
Om bedrijven in de logistieke sector te helpen bij hun voorbereidingen op de Europese richtlijn NIS2 en de Nederlandse Cyberbeveiligingswet, organiseerden evofenedex, TLN, Logistiek Digitaal en Samen Digitaal Veilig onlangs een webinar. Kijk het webinair hier terug.
Frank de Kruijf
Getty Images | ESET