Dit is de vrouw die waakt over onze digitale veiligheid

Als er iemand in Nederland is die over de nationale digitale veiligheid waakt, is het Patricia Zorko, directeur Cybersecurity. Er is werk aan de winkel: de Nederlandse overheid zit vol met goede bedoelingen, maar geeft domweg veel te weinig geld uit aan cyberveiligheid.

Beeld Rene Verleg/NCTV

In Nederland zijn er plannen genoeg om de digitale veiligheid te vergroten, maar het ontbreekt aan middelen. Dit blijkt uit een nieuw rapport dat in opdracht van de Nationaal Coördinator Terrorismebestrijding en Veiligheid is geschreven. Het rapport komt op een pikant moment: vlak na de grootschalige uitbraak van WannaCry.

Wie wil weten wie er in Nederland precies over de digitale veiligheid gaat, komt terecht in een wirwar van afkortingen. Patricia Zorko is plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en directeur Cyberveiligheid van het Nationaal Cyber Security Centrum (NCSC), de club die tot doel heeft 'de weerbaarheid van de Nederlandse samenleving in het digitale domein te vergroten'. Voorbeeld: het NCSC waarschuwde vorige maand al voor de hackersgroep die informatie over het Windowslek publiceerde dat als basis diende voor de ransomware-uitbraak van afgelopen weekend.

Maar wie denkt dat Nederland zijn zaakjes hiermee voldoende op orde heeft, komt bedrogen uit. Het rapport, dat dinsdag aan Zorko wordt aangeboden, schetst een kritisch beeld.

Wie is Patricia Zorko?

Patricia Zorko (52) heeft een lange carrière bij de politie achter de rug, van zeventienjarige op de politieacademie, via districtschef in Utrecht tot politiechef van de Landelijke Eenheid en directeur Recherche. In 2014 is ze het gezicht van het meest complexe politieonderzoek ooit in Nederland: de jacht op de daders van de aanslag op vlucht MH17. In 2015 vertrekt zij na 34 jaar bij de politie om plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid en directeur Cyber Security te worden.

Is de ransomwareuitbraak WannaCry een wakeup-call?

Jazeker. Niet zozeer voor mij en mijn organisatie hoor, maar voor anderen wel. Als je als bedrijf je software nog niet had geüpdate, dan heb je dat nu wel gedaan.

Is het toeval dat Nederland de dans redelijk wist te ontspringen?

We weten niet waarom de schade in Nederland tot nu toe beperkt is gebleven. Wel hebben we in maart en april al een waarschuwing gegeven voor een ransomware-aanval als deze. Het kan zijn dat dat geholpen heeft.

Het rapport schetst tussen de regels door een redelijk ontluisterend beeld. De Nederlandse overheid zit vol met goede bedoelingen, maar geeft erg weinig geld uit aan cybersecurity. Bent u het daarmee eens?

Nee, ik vind juist dat we in Nederland een stevige prestatie neerzetten door met bescheiden middelen de digitale veiligheid op orde te houden. Ook hebben we het afgelopen jaar al extra in cybersecurity geïnvesteerd. Maar het incident laat inderdaad zien dat investeringen nodig blijven. En het gaat niet alleen om geld, blijkt dit weekend weer eens. Het updaten van software en het maken van backups zijn net zo belangrijk.

Nederland geeft nu 0,01 procent van het bruto nationaal product uit aan cybersecurity, fors minder dan landen als de VS, Groot-Brittannië, Australië, Duitsland en Frankrijk. Hoeveel geld moet erbij?

Dat is echt lastig in cijfers uit te drukken. Het afgelopen jaar heeft het ministerie van Veiligheid en Justitie al 5 miljoen euro extra beschikbaar gesteld voor 2017 voor cybersecurity en de aanpak van cybercriminaliteit. Dat is een begin.

En waar moet de grootste slag worden gemaakt? Overheid, bedrijfsleven of particulier?

Bij alle drie. Je bent nooit helemaal klaar met het digitaal veilig houden. Ons advies: besteed 10 procent van je eigen ICT-budget aan beveiliging, ook als consument.

Het rapport maakt melding van gebrek aan centrale sturing. Te veel instanties houden zich met cybersecurity bezig. Onderschrijft u deze analyse?

Nee, wij zien juist dat het goed werkt, ook de afgelopen dagen weer. Het is de kracht van ons typisch Nederlandse poldermodel in plaats van centrale regie. Dat is ook in de digitale wereld de meest effectieve manier van samenwerking tussen overheden en bedrijfsleven.

De drie belangrijkste conclusies uit het rapport 'The Netherlands Cyber Readiness at a Glance'

Te weinig geld
De Nederlandse overheid heeft weliswaar een heldere visie en de juiste strategieën, maar dit gaat niet gepaard met genoeg investeringen. En dat terwijl de gevaren groot zijn.

Gebrek aan centrale sturing
Aan goede bedoelingen en ambitieuze digitale deltaplannen geen gebrek. Maar wel aan centrale sturing. Volgens het rapport houden zeker twintig instanties zich bezig met cyberveiligheid, maar heeft niemand heeft de leiding.

Gebrek aan veiligheidsspecialisten
Er is een 'significant tekort aan cybersecurityprofessionals' die ervoor moeten zorgen dat de vitale infrastructuur en digitale zaken worden beschermd. Bestaande opleidingen sluiten te weinig aan op de praktijk. Vaak zijn ze te eenzijdig gericht op technologie en komen juridische, ethische of politieke aspecten te weinig aan bod.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden