Cybersecurity, zeker in relatie tot the internet of things, wordt steeds belangrijker. Zoals Christian Prickaerts van Fox IT, één van de sprekers tijdens InnovatingNL 2017, echter waarschuwt, krijgt dit topic veel minder oprechte aandacht dan het verdient. Meestal krijgt cybersecurity namelijk pas de benodigde belangstelling wanneer zich een probleem heeft voorgedaan.
Omdat voorkomen beter is dan genezen, was één van de onderwerpen tijdens de sessies van InnovatingNL 2017 cybersecurity, oftewel de regulering en praktijk rondom de bestendigheid van elektronische apparaten tegen cyberaanvallen. Bij cyberaanvallen kan onder meer gedacht worden aan hacken, gegevensgijzeling en het verspreiden van software om internetbankieren te manipuleren. Het gebrek aan besef van deze gevaren is verrassend, aangezien, zoals Telecompaper recentelijk berichtte, momenteel bijna de helft van de Nederlandse huishoudens bijvoorbeeld in het bezit is van een smart tv. Diezelfde smart tv’s als waarmee volgens Wikileaks de Amerikaanse CIA individuen heeft bespioneerd.
Een snel groeiend aantal producten is en wordt tegenwoordig met het internet verbonden: van zelfrijdende auto’s tot koffiezetapparaten. Zoals onder de aandacht gebracht door Frank Simons in de eerste parallelsessie, maken ook zorgprofessionals bijvoorbeeld steeds vaker gebruik van een tablet in plaats van een papieren dossier aan het bed van de patiënt. Ook voor zogenoemde medical devices geldt dat zij ‘verbonden’ zijn en – met het oog op het welzijn van de betreffende patiënt – aandacht voor cybersecurity op zijn plaats is. Een voorbeeld is het risico dat een pacemaker wordt gehackt. Of, zoals tevens aan bod kwam: wat te doen als medische data worden gegijzeld totdat betaald wordt? Dit scenario is vorig jaar al werkelijkheid geworden in Kentucky in de Verenigde Staten.
Niet alleen in de zorg is het gebrek aan aandacht voor cybersecurity voelbaar: velen zullen zich bijvoorbeeld de DigiNotar-affaire herinneren Het inmiddels failliete Diginotar was een certificaatautoriteit die beveiligingscertificaten voor de Nederlandse overheid verzorgde, waaronder die van DigiD. In 2011 kwam echter aan het licht dat een hack uitgifte van valse certificaten mogelijk had gemaakt met het doel om informatie zoals Gmail-verkeer af te tappen. Overheidsdiensten als DigiD en de website van de Belastingdienst konden hierdoor een aantal dagen niet gebruikt worden.
De praktijk laat zien dat cybersecurity een hot topic is en ook vanuit reguleringsperspectief zijn er de nodige ontwikkelingen te verwachten. Zo heeft D66 een initiatiefvoorstel ingediend om strengere veiligheidseisen te stellen aan apparaten die verbonden zijn met het internet en om wellicht in Europees verband zelfs een register voor dergelijke apparaten in te stellen, zoals nu al bestaat in de Verenigde Staten.
Vooral op Europees niveau krijgt cybersecurity inmiddels een plek. Zo is cybersecurity één van de doelen van de EU om de Digital Single Market te voltooien. De Netwerk en InformatieBeveiliging-Richtlijn, kortweg de NIB Richtlijn, die in werking is getreden in augustus 2016 verplicht alle lidstaten tot het ontwikkelen van een nationale strategie voor de beveiliging van netwerk- en informatiesystemen, inclusief een meldplicht voor cyberincidenten. Momenteel is een Nederlands wetsvoorstel aanhangig (Wet gegevensverwerking en meldplicht cybersecurity) dat vooruitloopt op de implementatie van de NIB Richtlijn. Dit wetsvoorstel bevat onder andere een wettelijke meldplicht voor ernstige ICT-inbreuken.