Mondiaal initiatief wil kwetsbare NGO’s meer cyberweerbaar maken

Daan Rijnders (l.) - gemeente Den Haag - en Adrien Ogée - Cyberpeace Institute.

Wereldwijd leveren ruim 10 miljoen non-profitorganisaties (NGO’s) essentiële diensten aan meer dan één miljard mensen. Hun groeiende digitale voetafdruk vergroot ook hun cyberkwetsbaarheid. Non-profitorganisaties zijn vaak het doelwit van cyberaanvallen en desinformatie, maar hebben slechts beperkt toegang tot de talenten, technologieën en financiële middelen om zichzelf te verdedigen.

125 jaar na de Eerste Haagse Vredesconferentie is het nog steeds nodig om vrede na te streven, iets waar NGO’s zich direct of indirect mee bezig houden. Het is ook dringend noodzakelijk om hun digitale weerbaarheid te versterken, kwetsbare gebruikers te ondersteunen en het bredere digitale ecosysteem en de internetinfrastructuur te beveiligen, zo menen het CyberPeace Institute, de Global Cyber Alliance (zie kader onderaan) en de gemeente Den Haag. BEYOND125 moet hierbij helpen.

Tegelijk met de lancering van het initiatief (september 2024) riep het Common Good Cyber-initiatief het wereldwijde ecosysteem van op cyberbeveiliging gerichte non-profitorganisaties bijeen om duurzame financieringsmodellen te zoeken en te implementeren voor hen die betrokken zijn bij cruciale cyberbeveiligingsfuncties voor de bredere internetgemeenschap: zowel kerninternetfuncties als degenen die kwetsbare gemeenschappen ondersteunen.

Langer bestaande samenwerking

Het BEYOND125-initiatief heeft zijn wortels in een al bestaande samenwerking tussen de gemeente Den Haag en het CyberPeace Institute (Geneve), vertelt Daan Rijnders, verantwoordelijk voor het gemeentelijke cybersecurity-programma Digitaal Veilig Den Haag. Dat programma richt zich op de digitale weerbaarheid van de lokaal vitale infrastructuur en processen in de stad Den Haag en het unieke risicoprofiel van Den Haag als stad van recht en vrede (met instituten zoals het Internationaal Strafhof en een groot aantal NGO’s).

De afgelopen jaren initieerde Digitaal Veilig Den Haag onder meer activiteiten die zich richten op de cyberveiligheid van organisaties in Den Haag met een hoog risicoprofiel, waaronder internationale organisaties en NGO’s. In dat kader kwam Rijnders in contact met Adrien Ogée, Chief Operating Officer van het Cyberpeace Institute (Geneve). Het CyberPeace Institute probeert de meest kwetsbare organisaties – vaak NGO’s – te helpen met cyberveiligheid: onder meer door te streven naar beter beleid en betere regulering. Sinds kort heeft het instituut ook een kantoor in Den Haag.

Helpen met cyberveiligheid

“In 2021, ongeveer gelijktijdig met Den Haag, lanceerden we een programma om alles van lokale gemeenschapsorganisaties tot internationale NGO’s te helpen met hun cyberveiligheid”, herinnert Ogée zich. “NGO’s vallen vaak tussen wal en schip als het gaat om bescherming, bijvoorbeeld omdat landelijke overheden dit niet als hun taak zien, of deze NGO’s zelfs actief tegenwerken.”

Er zijn wereldwijd zo’n 10 miljoen NGO’s, schetst Ogée. Samen beschikken zij over een enorme hoeveelheid data met betrekking tot mensen die zij helpen, evenals over grote bedragen aan donorgeld, circa 1 biljoen dollar op jaarbasis.

Zowel data als geld is veel in beweging: genoeg mogelijkheden tot diefstal voor cybercriminelen. Statelijke actoren die informatie willen over waar niet bevriende overheden mee bezig zijn, kunnen vaak vrij eenvoudig de netwerken van NGO’s hacken, omdat deze organisaties veelal de capaciteit en de mensen niet hebben om hun cybersecurity op een afdoende niveau te brengen – en omdat zij ondanks wat ze doen, niet als kritieke sectoren worden gezien die bescherming behoeven.

Andere aanpak

Ogée: “We willen in deze periode - vaak de vierde industriële revolutie genoemd - de zaken anders aanpakken dan tijdens de tweede industriële revolutie. Destijds werd nieuwe technologie - zoals treinen, de telegraaf - niet alleen ingezet om mensen meer te verbinden, maar ook om beter oorlog te voeren, landen en culturen te vernietigen. 125 jaar geleden werd de eerste Haagse vredesconferentie gehouden om oorlog en vernietiging te voorkomen. De vraag die we ons voor BEYOND125 stelden: wat is er extra nodig om te zorgen voor vrede in het digitale tijdperk? Daarom richt dit initiatief zich op NGO’s.”

Den Haag heeft volgens Rijnders zowel een formele verantwoordelijkheid (voor de eigen organisatie en de openbare orde & veiligheid) als een informele, aanjagende rol bij cybersecurity van organisaties in de stad. “Het is vanuit die tweede rol dat wij in 2021 besloten de NGO’s met een kantoor in onze stad te helpen. Eerst informeel, vooral door NGO’s bij elkaar te brengen voor kennisuitwisseling en om in contact te komen met nonprofits die hen kunnen helpen om hun cyberweerbaarheid te verbeteren. Daardoor ontstonden, mede dankzij een Digital Trust Centre subsidie, mooie nieuwe samenwerkingen tussen het CyberPeace Institute, The Hague Humanity Hub, het Dutch Institute for Vulnerability Disclosure (DIVD), CSIRT.global, connect2trust en Shadowserver. Deze nonprofits zetten zich nu samen in om NGO’s in Den Haag en Nederland (kosteloos) te helpen.”

Zo wordt echter slechts een klein deel van de 10 miljoen NGO’s wereldwijd bereikt, vervolgt Rijnders. “Wij richten ons natuurlijk in de eerste plaats op NGO’s in Den Haag, maar het past ook bij onze positie als internationale Stad van Vrede en Recht om bij te dragen aan een internationale coalitie met een soortgelijke missie. “

Den Haag is op dit gebied twee tot drie stappen verder dan vrijwel elke andere stad die Ogée kent, al ziet hij ook elders vorderingen. “We zien in de samenwerking met de gemeente Den Haag de meeste mogelijkheden. Zo kunnen zij ook leunen op een zeer sterke cyber security community - The Hague Security Delta. Deze gemeenschap van bedrijven omvat veel lokaal talent die NGO’s kunnen helpen.”

Gebrek aan talent grootste knelpunt

Dit gebrek aan talent vormt voor de meeste NGO’s het grootste probleem en is dan ook een focuspunt is voor BEYOND125. Security-talent wordt geclaimd door het bedrijfsleven en in mindere mate de publieke sector, met salarissen die non-profit organisaties niet kunnen betalen. Donors zien daarnaast graag dat NGO’s geld dat ze krijgen, besteden aan de doelen waarvoor zij zich inzetten.

Ogée: “Het is belangrijk om overheden, organisaties zoals de VN en de vele grotere donoren ervan te overtuigen dat cybersecurity missiekritiek is. Als data gestolen worden, levert dat misschien extra gevaar op voor de mensen die een NGO juist wil helpen. Of ze kunnen hun werk niet doen omdat ze het slachtoffer zijn van een ransomware- of DDOS-aanval. Hoe kunnen NGO’s verantwoordelijk gesteld worden voor goede cybersecurity als ze hiervoor de hulpbronnen niet hebben?”

Er zijn volgens Ogée meer dan genoeg toepassingen en programma’s die grotendeels of geheel gratis zijn en een goede basis hygiëne bieden. Ook zijn er genoeg richtlijnen voorhanden die hulp bieden bij het inrichten van een organisatie als het gaat om voldoen aan wetten en regels zoals NIS2. Het grote probleem is dus dat NGO’s de mensen niet hebben om die richtlijnen in de praktijk te brengen of om tools toe te passen.

Talent vinden

“Ons doel en dat van onze samenwerking met onder meer Den Haag is om dat talent te vinden. Vooral bij bedrijven, maar ook bij publieke organisaties. We vragen hen op vrijwillige basis uren in te zetten om NGO’s te helpen. Soms elke week, soms elke maand, of een aantal uren per jaar. Bedrijven worden soms beschuldigd van ‘greenwashing’. Maar als zij werknemers de kans geven om zich met hun vaardigheden en kennis vrijwillig in te zetten is dat een andere zaak. Zo kunnen de talenten van hun werknemers ingezet worden waar dat echt een verschil maakt.”

Een groeiend aantal bedrijven steunt dit programma financieel, stelt Ogée. Enkele voorbeelden zijn: Microsoft, Mastercard, Logitech, Adobe, CapGemini, Inditex, Hewlett Packard Enterprise, Okta, Marsh, Splunk. Voor deze organisaties gaat de ondersteuning verder dan de digitale verantwoordelijkheid: het verbetert de werknemerservaring. “Op vaardigheden gebaseerde vrijwilligersprogramma's zoals deze spelen een cruciale rol bij het werven en behouden van talent, en pakken de aanzienlijke wervingsuitdagingen aan waarmee de cybersecurity-industrie te maken heeft. Het is een win-win situatie.”

Onderdeel van het ‘makelaarsplatform’ dat BEYOND125 mede moet zijn, is een check van het volwassenheidsniveau van elke NGO die wil deelnemen, via een simpele vragenlijst. Ogée: “Vanaf die nulmeting willen we faciliteren dat vrijwilligers een NGO naar een afdoende volwassenheidsniveau brengen.”

Hij weet hoe ambitieus BEYOND125 klinkt. “Maar we willen ambitieus zijn. We verwachten dat we tegen 2035 in staat zullen zijn om als een soort makelaar in totaal 1 miljoen NGO’s wereldwijd te helpen met het vinden van security-specialisten. Natuurlijk moeten we kleiner beginnen. Begin oktober 2024 hebben we ons plan gepresenteerd waarin we streven naar het helpen van 10.000 NGO’s in de komende 125 weken, ofwel 2,5 jaar, waarvan 1.000 in het eerste jaar.”

Op eigen benen staan

Voor de duidelijkheid, benadrukt Ogée: het is niet een einddoel om over 10-20 jaar miljoenen vrijwilligers te hebben die de hele week NGO’s helpen beschermen. “Zij moeten deze last niet alleen dragen. Dit programma is een tijdelijke oplossing. NGO’s zullen zelf IT’ers moeten inzetten om het werk van deze vrijwilligers te coördineren, security in het DNA van de organisatie door te laten dringen, zodat men zoveel mogelijk zelf kan. Men moet uiteindelijk grotendeels op eigen benen kunnen staan.”

Natuurlijk blijft voorop staan dat elke organisatie, ook een NGO, verantwoordelijk is voor de eigen cybersecurity, vult Rijnders aan. Maar los van wettelijke verplichtingen ziet hij ook een morele plicht om organisaties te helpen die de steeds snellere veranderingen op security-gebied niet kunnen bijhouden. Omdat ze de capaciteit of het geld niet hebben bijvoorbeeld.

“Dat is waar dit programma in een gat springt. Maar op zichzelf is wat we nu doen niet genoeg. Deze coalitie moet groeien: donors moeten overtuigd worden van het belang van betere cyberbescherming voor NGO’s. Daarom moeten we de komende tijd ook zoveel mogelijk onze scope verbreden en meer stakeholders achter onze ambities krijgen. Alleen zo kunnen we – samen – het echte verschil maken, om te beginnen in de komende 125 weken.”

Over het CyberPeace Institute

Het CyberPeace Institute is een internationale non-profitorganisatie die de meest kwetsbaren in cyberspace wil beschermen. Het biedt cyberbeveiligingshulp om digitale veerkracht op te bouwen, onderzoekt de schade die wordt veroorzaakt door cyberaanvallen en desinformatie en bevordert internationale wetten en normen in cyberspace. Het is lid van het Common Good Cyber-secretariaat.

Over de Global Cyber Alliance

De Global Cyber Alliance (GCA) is een internationale non-profitorganisatie die zich toelegt op het opbouwen van gemeenschappen om tools, services en programma's te implementeren die cyberbeveiliging op wereldwijde schaal bieden. Dit wordt op drie manieren bereikt: door samen te werken met gemeenschappen; door infrastructuureigenaren en -exploitanten te betrekken; en door de betrokkenheid van het ecosysteem te stimuleren voor collectieve actie op het gebied van cyberbeveiliging. GCA coördineert het secretariaat van het Common Good Cyber-initiatief.