De Hollandse handelsgeest heeft een nieuwe groeimarkt ontdekt: cybersecurity. Nederlandse bedrijven profiteren volop.
Het wordt nogal eens vergeten of belachelijk gemaakt, maar Nederland loopt wereldwijd in de digitale voorhoede. Veel meer dan bijvoorbeeld de Verenigde Staten, zegt Ronald Prins, grondlegger van forensisch ict-specialist Fox-IT: 'Daar schrijven ze nog cheques uit', zegt hij, met enige hilariteit in zijn stem. Terwijl ons land allang een DigiD heeft, om maar iets te noemen.
Security Delta
Veel bedrijven in Nederland hebben door schade en schande in de praktijk geleerd om bezig te zijn met cybersecurity. Tot op heden is dat vooral ‘verdedigend’ geweest, om verliezen te voorkomen. Maar op de kennis die daarmee is opgedaan valt nu voort te bouwen, zo zien steeds meer organisaties. Mede aangemoedigd door initiatieven als The Hague Security Delta, wat met z’n 400 aangesloten securitybedrijven een Nederlandse ‘security Silicon Valley’ moet vormen. Het doel daarvan is samen sterk staan, en schaalgrootte hebben. Ook internationaal.
Wereldfaam
En dat kan ook, zegt Prins. Zijn Fox-IT verwierf wereldfaam met 'de zaak DigiNotar', de ‘digitale notaris’ die als Nederlands bedrijf impact had toen bleek dat het vergaand was gehackt. Het forensisch onderzoek dat Fox-IT daarop liet volgen, heeft misstanden aan het licht gebracht, die weer waardevolle lessen opleverden. De ellende rondom DigiNotar is al met al dan ook zeer waardevol geweest, aldus Prins. 'Nederland is al erg vroeg gedigitaliseerd', zegt hij. Dat is dus inclusief criminaliteit en daarmee dus ook weer de verdediging tegen cyberdreigingen. Nederland is daarmee volgens hem dan ook 'de ideale grond' voor bedrijven op het gebied van cybersecurity.
Inbraak bij Target
Dat besef begint langzaam door te dringen, zegt hij, terwijl hij verwijst naar de cyberinbraak die de Amerikaanse winkelketen Target in 2013 trof: 'Dát heeft flinke impact gehad'. Target leed door die inbraak niet alleen flinke schade, maar zag achtereenvolgens ook de cio en de ceo vertrekken. 'Nederlandse bedrijven zijn nu veel meer bezig met privacy, omdat dat ook vanuit de EU op ons afkomt.'
Duitsland
Volgens Prins ontbreekt het nog wel aan economische stimulans vanuit de overheid. Het domein ‘cyber’ ligt nu grotendeels bij het ministerie van Justitie en Veiligheid, waardoor het meer een verdedigingskwestie is dan een economische groeizaak. De Duitse overheid is daar anders mee bezig, vertelt de mede-oprichter van Fox-IT. Daar stimuleert – en verplicht – de regering veel meer het gebruik van eigen ICT, inclusief security. Dat zou Nederland ook moeten doen, bepleit hij.
‘Groeien als een malle’
Fox-IT is een van de bedrijven die inmiddels internationale beroemdheid heeft verworven. Maar er zijn er meer die het goed doen over de grens. Zoals SurfRight, een antimalwaremaker die 8 jaar geleden een gat in de markt zag en nu 'groeit als een malle', aldus oprichter Mark Loman. 'Er is geen IT-bedrijf dat per medewerker een grotere omzet heeft dan wij', zegt hij trots, waarbij hij een vergelijking trekt met grotere Amerikaanse leveranciers als FireEye.
Van onderaf
Waarom SurfRight het goed doet? Het bedrijf zoekt het in een heel andere, slimmere benadering van cybersecurity. Enerzijds ‘van onderaf’, dus door bewust niet grote, complexe en kostbare pakketten of systemen te verkopen, maar door het klein en behapbaar te houden. Daarmee is het grote MKB-landschap beter gediend. Veel andere, grotere leveranciers mikken op de bovenkant van de markt, en proberen dan hun zware oplossing geschikt te maken voor kleinere ondernemingen. Dat loopt zelden goed af.
Eigen technologie
Anderzijds kiest SurfRight voor eigen technologie, ontwikkeld in Nederland, om proactieve security te kunnen bieden. 'Wij waren dit jaar superhip op de RSA Conference met onze nieuwe technologie', aldus Loman. Proactieve beveiliging moet een voorsprong geven in de wapenwedloop met cybercriminelen. Loman spreekt van een verschuiving, waarbij ook grote beveiligers meer kijken naar detectie en remediation. 'Een aanvaller die al binnen is opmerken, zeg maar. Want ze komen toch wel binnen', zo schetst Loman het veranderde securitylandschap.
Veel besef
Nederland heeft inmiddels niet alleen veel kennis van cybersecurity, maar ook veel besef van het belang ervan, zegt Loman. 'In Nederland is veel awareness gecreëerd, heb ik het idee.' Hij wijst op de informerende spotjes waarmee de overheid op tv voor een algemene bewustwording van IT-beveiliging heeft gezorgd. Ook legt hij de link met het niet langer ondersteunde Windows XP. 'Als je kijkt naar de StatCounter van gebruikte operation systems, zie je dat Windows XP in Nederland vrijwel verdwenen is. Dat doet Nederland dus goed, vergeleken met andere grote IT-landen.'
Dank aan de bank
Ook het beveiligingswerk dat de Nederlandse banken en internetproviders verrichten, helpt de veiligheid en bewustwording te verhogen, zegt hij. 'In Nederland wordt veel gewerkt aan detectie, en wat te doen bij een incident.' Dat laatste betreft niet alleen cyberinbraak of malwarebesmetting, maar overheid en bedrijfsleven zijn hier ook bezig met preventie en daarbij hoort ook ontvankelijk zijn voor melding van gaten en kwetsbaarheden.
Internationaal leider
'Nederland wil internationaal leider worden in cybercrimebestrijding', zei minister Opstelten (foto via Flickr.com) vlak voor de zomer op de jaarlijkse internationale conferentie van NCSC (het Nationaal Cyber Security Centre) van het ministerie van Justitie en Veiligheid. 'Het gaat daarbij niet alleen om de overheid, om wetten, om politiek. Nee, het gaat juist ook om het bedrijfsleven, om zaken, om de economie'. Vooraf ingebouwde security en privacy, het zogeheten ‘by design’, moet leiden tot economische groei. Hierbij stuurt de overheid aan op verdergaande samenwerking met bedrijven. Security, privacy en economische groei staan namelijk niet los van elkaar.
‘Nederland staat er goed voor’
Directeur Hans de Zwart van digitale burgerrechtenbeweging Bits of Freedom (BOF) bespeurt al een toename in het aantal publiek-private partnerships. Bijvoorbeeld voor dingen die overheden niet – of niet helemaal – mogen doen, zo zei hij eerder dit jaar op de Techday van de Dutch Hosting Providers Association (dhpa). Ook Prins van Fox-IT ziet die trend. Randvoorwaarden voor Nederlands succes zijn volgens hem slimme mensen en een gunstig fiscaal klimaat. 'En dat hebben we. Nederland staat er goed voor.'
Patriot Act
Bovendien kent Nederland een veilige en rustige omgeving, ook op het internet en de regelgeving daaromtrent. Prins noemt de Amerikaanse Patriot Act bijvoorbeeld als een belemmering voor veel bedrijven om in de VS zaken te doen. Nederland is dan een veiliger haven en geschikter als doorgeefluik voor digitale handel, wat natuurlijk ook non-digitale goederen betreft.
Als strijd tegen de zee
De beroemde Hollandse handelsgeest (foto) speelt sowieso een rol in de groei van de markt van cbersecurity. Nederland is goed ingewijd in fysieke export en ‘gewone’ handel. Daar kan nu voordeel mee worden gedaan. Minister Opstelten vergelijkt de strijd tegen cybercrime en malware met de oer-Hollandse strijd tegen de zee: met terpen, dijken, Flevoland, sluizen, en meer. Het versterken en bewaken van de digitale equivalenten is volgens de bewindsman niet alleen een taak voor de overheid.
Versleuteld mailen
Onderzoeker Rejo Zenger (Bits of Freedom) stelt dat er nog genoeg te doen is voor en door bedrijven. Naast het up-to-date houden van antivirussystemen, noemt hij bijvoorbeeld het beter beveiligen van e-mailverkeer door versleuteling. Versleuteld mailen kan al jaren, alleen moet het nog altijd toegankelijker worden gemaakt, aldus Zenger. Een andere basisstap die Nederlandse bedrijven of overheidsorganisaties kunnen nemen, is in kaart brengen welke ICT-securitymiddelen cruciaal zijn, om daarin vervolgens te investeren.
Heartbleed
Zenger wijst op de wereldwijde schok die de zogeheten Heartbleed-bug deed ontstaan. Daardoor bleek beveiligde communicatie op internet helemaal niet zo veilig te zijn. De kwetsbare software (OpenSSL) die in het hart van Heartbleed zit, wordt gemaakt door een zeer klein team met bescheiden budget. Het is weliswaar open source en valt dus openlijk te controleren, maar dat is zeker 2 jaar lang niet grondig genoeg gedaan. Tenminste, niet door security-experts, die het gat vervolgens hebben gedicht om het beveiligde internetverkeer wereldwijd echt te beveiligen.
Spotgoedkoop
Overheden en bedrijven zouden zelf geld of moeite kunnen steken in ICT-beveiliging over de hele linie, aldus Zenger. Zijn overtuiging wordt gedeeld door cybersecurity-expert Axel Arnbak, volgens wie een beveiligingsaudit van de kritieke OpenSSL-software spotgoedkoop zou zijn geweest. Zeker in vergelijking met de kosten voor het dichten van het Heartbleed-gat en de nasleep ervan. Zo'n audit had bovendien Nederland meteen op de kaart gezet als internationaal leider op het gebied van veilige ict en veilig internet.
'Goed gelegen'
Arnbak (foto) is – net als de overheid, BOF en Fox-IT – van mening dat ons land ‘goed gelegen’ is wat digitale infrastructuur betreft. Tegelijkertijd stelt ook hij dat het nog ontbreekt aan basiselementen en kritieke randvoorwaarden. Daaronder valt volgens hem niet meer surveillance, zo heeft hij de Eerste Kamer al voorgehouden, maar juist 'een robuuste, veilige en vrije IT-infrastructuur voor Nederland en de rest van de wereld'. 'De wereld hunkert naar zo’n plek', zegt hij, na een jaar onderzoek te hebben gedaan aan twee Amerikaanse universiteiten.
Snowden
Die hunkering komt voort uit de onthullingen van klokkenluider Edward Snowden over wereldwijde ICT-onveiligheid door activiteiten van de Amerikaanse inlichtingendienst NSA (National Security Agency). 'Toch betekent dat dieptepunt een kans voor Nederland', zegt Arnbak, die erop wijst dat ons land al leiderschap op wereldniveau heeft met ict-kernzaken als netneutraliteit en responsible disclosure van security-incidenten.
Gouden Eeuw 2.0?
De randvoorwaarden zijn er dus nu. Net zoals eeuwen geleden, toen Nederland zich ontwikkelde als informatievrijhaven, kenniscentrum en handelsknooppunt van de wereld. Wetenschapper Arnbak durft het best aan die vergelijking te trekken. 'De Gouden Eeuw is immers ook ontstaan uit idealisme en vooral ook pragmatisme.'
Foto via Flickr.com
