Cyber Security Labsessie #1: "op naar een zorgplicht standaard voor cybersecurity"

Directeur Cyberveilig Nederland, Petra Oldengarm, is betrokken bij het Cyber Security Lab. Dit Lab brengt wetenschappers en het bedrijfsleven bij elkaar. Tijdens deze Lab-sessies worden wetenschappelijke inzichten verwerkt met best practices vanuit de praktijk. De eerste labsessie ging over zorgplichten voor cybersecurity.

Cyberincidenten, zoals datalekken en ransomware-aanvallen, zijn ook in het derde decennium van deze eeuw dagelijks in het nieuws. Het komt nog te vaak voor dat organisaties hun cybersecurity niet op orde hebben, eencyberincident te laat ontdekken en daar slecht op reageren. In de media krijgen getroffen organisaties, zoals recent de GGD1, vaak de zwarte piet toebedeeld.

Het is echter niet terecht dat alleen de afnemer van software of hardware, zoals bijvoorbeeld de GGD, de wind van voren krijgt bij een cyberincident. In de media en in beleidsdiscussies is onderbelicht dat een cyberincident vaak deels ook de ‘schuld’ is van de leverancier.

Neem het voorbeeld van het datalek bij de GGD. De software (en daarmee ook de cybersecurity) van de GGD wordt niet door medewerkers van de GGD zelf ontwikkeld. Die zijn geschoold om vaccins toe te dienen en testen af te nemen. Voor wat betreft de gebruikte software zit hier vaak een softwareleverancier achter. Dat gegeven blijft buiten beeld als alleen de GGD negatief in de media uitgelicht wordt.

Cybersecurity is een verantwoordelijkheid van zowel afnemer als leverancier. Idealiter komen beide partijen vooraf tot goede afspraken over cyberrisico’s, diensten en prijzen. En geeft de leverancier informatie en doet de afnemer zelf ook onderzoek. In het geval van de GGD bijvoorbeeld is het aannemelijk om te veronderstellen dat de softwareleverancier de potentie voor datalekken eerder kan voorzien en de GGD dus kan waarschuwen. Die gedeelde verantwoordelijkheid is er in de praktijk vaak niet.

Het Lab constateert onder andere:

• Marktwerking in het voordeel van de grote softwareleveranciers werkt. Er zijn geen grote Nederlandse softwareleveranciers waardoor de politiek en/of wetgeving hierop weinig invloed op kan uitoefenen.
• Machtsongelijkheid in de markt zal blijvend geduw om aansprakelijkheid bij de minst machtige partij te krijgen (dit is vaak de afnemer). De softwareleverancier sluit verantwoordelijkheid/aansprakelijkheid vaak uit in de leveringsvoorwaarden.

Het Lab observeert dat idealiter:

• Beide partijen vooraf tot goede afspraken komen over cyberrisico’s, diensten en prijzen. De leverancier geeft informatie en de afnemer doet zelf ook onderzoek.
• Er (model)voorwaarden van cyberverzekeringen zijn die betere beveiliging stimuleren, eventueel aan de hand van standaard risicoclassificatie.
• Er objectieve criteria in de literatuur bekend zijn om risico’s vast te stellen.

Er is dus een probleem dat dieper ligt dan alleen negatief uitlichten van organisaties die te maken hebben gehad met cyberincidenten en dan te verwachten dat zij het in de toekomst automatisch
beter gaan doen. Namelijk een correcte verdeling van verantwoordelijkheid die zorgt dat er een
optimaal samenspel komt tussen leverancier en afnemer. Een samenspel dat zorgt dat beide
partijen optimale preventie, detectie en respons krijgen, gebruik makend van de kennis die bij beide
partijen aanwezig is.

Het hele position paper lees je hier.