12 november 2024

Cyberveiliger door praktijkgericht onderzoek

Cybercriminelen zitten niet stil. De dreiging van cybercrime neemt constant toe onder invloed van nieuwe technische ontwikkelingen zoals generatieve AI. De druk om te innoveren bij bedrijven ligt dan ook hoog. Innoveren is een noodzakelijke keus en de enige manier om ook in de toekomst cyberveilig te zijn, schrijft dr. Rick van der Kleij in deze blogbijdrage.

Cyberveiliger door praktijkgericht onderzoek image

Tegelijkertijd zien we dat bedrijven de basisbeveiliging al vaak niet op orde hebben. Ondernemers missen kennis over de risico’s van hun bedrijf. Maar nog vaker missen ze kennis over maatregelen om die risico’s te verlagen. De ervaring leert dat zij klakkeloos cybersecuritymaatregelen overnemen van andere bedrijven. Dit zou best eens schadelijk kunnen zijn voor de cybersecurity. Want wat als die maatregelen incompatibel zijn met de eigen bedrijfssystemen? Een meer onderzoekende houding door ondernemers is hier gewenst.

Publiek-private samenwerkingen

De leeropdracht waar ik invulling aan mag geven met mijn lectoraat bij Avans is gericht op het digitaal weerbaarder maken van Nederland tegen een alsmaar toenemende cyberdreiging. Dit wordt in mijn ogen bereikt door in publiek-private samenwerkingen, met bedrijven dus, praktijkgericht onderzoek te doen naar direct bruikbare manieren om de maatschappelijke cyberweerbaarheid te vergroten.

Door te investeren in praktijkgericht onderzoek kunnen bedrijven hun cybersecurity optimaliseren. Maar juist bedrijven die kennis zo hard nodig hebben, trekken niet zo makkelijk de beurs. Ik betoog in deze bijdrage dat ondernemers praktijkgericht onderzoek meer serieus moeten nemen als een investering in cybersecurity.

Praktijkgericht onderzoek richt zich op het ontwikkelen in nauwe samenwerking met de praktijk van praktische, haalbare oplossingen voor actuele problemen. Zo is aangetoond dat complexe wachtwoordvereisten vaak contraproductief zijn, omdat deze vereisten gebruikers aanzetten tot onveilige praktijken zoals het hergebruiken van wachtwoorden of het opschrijven ervan. Op basis van deze bevindingen zijn in nauwe samenwerking met het werkveld alternatieven ontwikkeld, zoals wachtwoordmanagers. Dit zijn haalbare, direct implementeerbare oplossingen die de veiligheid verhogen met inachtneming van de gebruikerservaring.

Voldoende informatie

Praktijkgericht onderzoek is doorlopend nodig om een markt te creëren waar alle partijen voldoende geïnformeerd zijn om de juiste besluiten te nemen over integratie van bevindingen en innovaties in hun beveiligingspraktijken.

Een markt waar alle partijen voldoende geïnformeerd zijn om de juiste besluiten te nemen staat in schril contrast met markten waar informatie asymmetrisch is verdeeld, zoals zogenaamde markten voor citroenen of limoenen. Een markt voor citroenen is een markt waar de verkoper significant meer kennis heeft dan de koper. Denk aan de markt voor gebruikte auto’s. Een markt voor limoenen kenmerkt zich dan juist weer door een situatie waar de koper significant meer kennis heeft dan de verkoper. Denk hierbij aan de markt voor verzekeringen.

Markt voor zilveren kogels?

De veiligheidsmarkt kan worden gezien als een markt waar zowel de verkoper als de koper onvoldoende kennis hebben om rationele besluiten te nemen over de goederen die worden verhandeld. Dit wordt ook wel een markt voor zilveren kogels genoemd. Een ‘zilveren kogel’ is een vakterm voor een product of proces dat wordt gepresenteerd als effectief, zonder dat er enige rationele onderbouwing voor die claim bestaat.

Een goed voorbeeld hiervan is de markt voor cybersecurity-oplossingen, zoals firewalls. Een bedrijf dat een firewall aanschaft, heeft vaak beperkte kennis van hoe effectief de software daadwerkelijk is in het beschermen tegen actuele cyberdreigingen. De koper vertrouwt vaak op marketingclaims of een gevoel van urgentie in plaats van gedetailleerde technische kennis of een grondige beoordeling van de werkelijke risico's en prestaties van het product.

Tegelijkertijd hebben de cybersecuritybedrijven ook niet altijd volledige kennis van de specifieke beveiligingsbehoeften van de koper, vooral omdat deze afhankelijk zijn van de unieke bedrijfsomgeving van het bedrijf. Het cybersecuritybedrijf heeft vaak onvoldoende inzicht in de specifieke risico's van het bedrijf dat hun product koopt, en verkoopt vaak een ‘standaard’ oplossing zonder op maat gemaakte aanpassingen of adviezen. De klant heeft niet de technische expertise om volledig rationele keuzes te maken, terwijl de dienstverlener vaak standaardoplossingen biedt zonder voldoende inzicht in de specifieke behoeften van de klant. Dit leidt tot inefficiënties en suboptimale beveiligingsoplossingen. Praktijkgericht onderzoek kan verandering brengen in dit disfunctioneren van de markt voor cybersecurity-oplossingen.

Creatie evenwichtige markt

Het resultaat van praktijkgericht onderzoek en de markt die dit creëert is essentieel voor het vergroten van de cyberweerbaarheid om verschillende redenen. Cyberdreigingen zijn dynamisch en veranderen voortdurend. De snelheid waarmee nieuwe technologieën worden ontwikkeld kan ervoor zorgen dat bestaande beveiligingsmodellen snel verouderen.

Er is een constante behoefte aan onderzoek naar nieuwe bedreigingen die voortkomen uit deze ontwikkelingen. Dit maakt het mogelijk om beveiligingsmaatregelen te blijven verbeteren en aan te passen aan de nieuwste risico’s. Zonder voldoende aandacht voor praktijkgericht onderzoek kunnen bedrijven niet goed inspelen op nieuwe dreigingen en blijven ze kwetsbaar voor aanvallen die kunnen worden voorkomen met de juiste kennis en technologie.

Onderzoekers kunnen nieuwe technieken ontwikkelen om systemen veiliger te maken, zoals innovatieve versleutelingstechnieken, geavanceerde firewalls of detectie-algoritmes voor ongebruikelijke activiteiten. Dit zorgt ervoor dat bedrijven beter voorbereid zijn tegen nieuwe aanvalsmethoden. Praktijkgericht onderzoek kan tevens leiden tot de ontwikkeling van gebruiksvriendelijke hulpmiddelen en richtlijnen die bedrijven in staat stellen om hun cyberbeveiliging snel te verbeteren zonder dat ze diepgaande technische kennis hoeven te hebben. Uiteindelijk draagt praktijkgericht onderzoek dus bij aan een weerbaardere samenleving, waarin bedrijven beter in staat zijn om cyberincidenten te voorkomen, te detecteren en ervan te herstellen.

Weinig aandacht voor onderzoek

Waarom krijgt praktijkgericht onderzoek, ondanks het belang, dan vaak zo weinig aandacht? Veel bedrijven onderschatten de dreigingen die van cyberaanvallen uitgaan. Cyberweerbaarheid wordt vaak pas een prioriteit na een incident. Dit reactieve gedrag voorkomt dat bedrijven proactief investeren in onderzoek naar preventie en verbetering van hun cyberweerbaarheid. Cyberweerbaarheid wordt daarnaast vaak gezien als een kostenpost in plaats van een noodzakelijke investering. Er is daarnaast weinig ruimte in het budget voor security, laat staan voor research en development (R&D), vooral bij kleinere bedrijven die geen eigen IT-afdelingen hebben. Ze geven de voorkeur aan direct meetbare winst en stellen investeringen in onderzoek en technologie uit, met het risico dat ze kwetsbaar blijven voor toekomstige aanvallen.

Hoe kunnen we zorgen dat bedrijven praktijkgericht onderzoek serieus nemen? Een belangrijke taak lijkt weggelegd voor het beroepsonderwijs. De toekomstige ondernemers die het beroepsonderwijs opleidt, hoeven niet altijd zelf onderzoek te kunnen doen, maar ze moeten wel onderzoek kunnen lezen en begrijpen waar het over hun werk gaat. En ze moeten het kritisch kunnen beschouwen en uiteindelijk ook kunnen gebruiken in hun eigen werk. Het praktijkgerichte onderzoek van het hbo in de vorm van lectoraten draagt hieraan bij. Het onderzoek dat hierbinnen plaatsvindt, is gericht op het verhogen van de kwaliteit van studenten, het aansluiten van het onderwijs op actuele ontwikkelingen in de praktijk en het invoeren van innovatie in de (beroeps)praktijk. Ook mbo-instellingen hebben hun eigen soort lectoraten: het praktoraat.

Maatschappelijke uitdaging

De maatschappelijke uitdaging op het gebied van cyberweerbaarheid vraagt bovendien om stabiele en structurele aandacht en financiering voor onderzoek en innovatie. Het vakblad voor informatieprofessionals kopte echter onlangs ‘Kabinet heeft nauwelijks aandacht voor digitale veiligheid in Miljoenennota’. Ondanks dat de maatschappelijke uitdaging op het gebied van cyberweerbaarheid om overheidsfinanciering vraagt, lijkt cybersecurity geen financiële prioriteit te hebben voor de nieuwe regering.

Gelukkig hebben beleidsmakers meer instrumenten tot hun beschikking om bedrijven te stimuleren te investeren in onderzoek. De overheid kan bijvoorbeeld richtlijnen of wetgeving implementeren. Denk hierbij aan richtlijnen zoals de NIS2-richtlijn, die bedrijven verplicht om meer proactief bezig te zijn op het gebied van cybersecurity. Tegelijkertijd kan de overheid belastingvoordelen bieden aan bedrijven die investeren en deelnemen in praktijkgericht onderzoek. Dit verlaagt de drempel voor bedrijven om cyberweerbaarheid als een langetermijninvestering te zien. Dit draagt niet alleen bij aan de veiligheid van bedrijven, maar ook aan een weerbaar en schokbestendig Koninkrijk der Nederlanden. En daar zijn we allemaal dan weer bij gebaat.

Dr. Rick van der Kleij is lector Cyberweerbare Organisaties bij Avans en sr. cybersecurity onderzoeker bij TNO.

Outpost24 17/12/2024 t/m 31/12/2024 BN + BW