Nederland loopt nog steeds grotere kans op ontwrichting door digitale sabotag
Ik maak me daar ook grote zorgen, NL is enorm gedigitaliseerd, meer dan de meeste andere landen. De reden lijkt vooral te zijn omdat het goedkoper is dan het alternatief. Op zich prima om zuinig te zijn, maar als je IT invoert als bezuiniging dan zal het al vaak een minimale implementatie zijn. Security is dan al snel het kind van de rekening want de klant vraagt er niet om en de leverancier wil de prijs laag houden.
De overheid lijkt zich er in ieder geval van bewust maar ik denk dat een hoop bedrijven eigenlijk geen idee hebben hoe slecht ze er voor staan. De overheid neemt wel stappen om security te verbeteren maar dat is nog vrij basaal en lang niet genoeg, als iedereen er al aan zou voldoen.
Ik maak me vooral zorgen over kleinschalige infrastructuur als zonnepanelen, oplaadpalen, auto's, thuisbatterijen, slimme meters, toegangspoortjes & slagbomen, camera's, deurbellen en andere IoT die op grote schaal aan internet worden gehangen met weinig toezicht op de digitale veiligheid.
Veel van dat spul is nu al onveilig en onbeheerbaar en het moet nog 20 jaar mee.
Het exacte risico verschilt nogal per situatie en veel van die apparaten zijn op zich redelijk onschuldig. Het wordt wat anders als ze als groep worden aangevallen. Alles tegelijk een keertje uit en aanzetten zou bv lastig kunnen zijn voor het stroomnet.
Het is opvallend dat de NCTV hiervoor waarschuwt, omdat uitgerekend nu de Rijksoverheid in toenemende mate richting Microsofts clouddiensten beweegt. Met het merendeel van de Nederlandse maildiensten is dat sinds eerder dit jaar al het geval.
De overheid zit in dezelfde tang als iedereen, namelijk dat met de cloudreuzen niet te concurreren valt. Een bedrijf als MS heeft het hele zakelijke leve bij de keel. Vrijwel niemand kan zonder MS en als je eenmaal een contract hebt wordt je met vendor lock-in en licentiebundeling verder naar binnen gezogen.
Probeer maar eens alléén MS Excel te kopen, dat gaat niet. Je moet "M365" kopen waar niet alleen ook Word in zit maar ook Outlook en bij Outlook "krijg" je ook Exchange en bij Exchange "krijg" je oo e-maildiensten en bij de bij de mail "krijg" je ook weer cloud storage, etc....
Als je al die diensten al gekocht hebt dan wordt het lastig om uit te leggen waarom je ook nog andere software koopt die hetzelfde doet, zelfs als die andere software eigenlijk beter bij je past.
Het meest recente voorbeeld is Copilot dat je opeens overal bij "krijgt". We weten allemaal hoe het verder gaat. Zolang er concurrentie is blijft Copilot een "gratis" extra bij ieder stuk software van MS. Zodra de concurrentie is uitgeschakeld wordt het een argument om de prijs verder te verhogen. Het doel is misschien niet eens om meer geld te verdienen maar vooral voorkomen dat nieuwe bedrijven een kans krijgen om een nieuwe markt te ontwikkelen (bv OpenAI).
Vanuit security perspectief lijkt het misschien gunstig om alles bij de grote bedrijven onder te brengen omdat de software beheerd wordt door de specialisten van de leverancier en je die dus zelf niet meer nodig hebt waardoor je goedkoper uit bent. Dat is echter maar de helft van het verhaal. Het klopt dat je veel waar je geld krijgt, maar is het ook wat je nodig hebt? En misschien nog wel belangrijker, kun je er mee om gaan?
Als je alleen Excel nodig hebt maar je krijgt er nog 20 andere applicaties en diensten bij, wat doe je dan? Je gebruikers zullen al die software gaan gebruiken als je dat niet op een of andere manier onmogelijk maakt. Als ze het gebruiken dan moet je er voor zorgen en vaak is daar specialistische kennis voor nodig. Voor je het weet zit je tot in je nek in de security meldingen van applicaties die eigenlijk niet kent.
Teams is ook zo'n voorbeeld, zowat iedere werknemer heeft dat tegenwoordig beschikbaar en dus wordt het gebruikt en dus zit er een hoop gevoelige data en en dus moet je het beheren, monitoren, ondersteunen etc..
Zelfs als je besluit om alles wat je niet echt nodig hebt uit te schakelen dan heb je nog steeds iemand nodig om dat te configureren.
Zo'n enorm totaalpakket kan heel gunstig zijn, zelfs als je niet alles gebruikt, maar niet als je hoopt te bezuinigen. Het is dan te verwachten dat de licenties wel worden aangeschaft maar configuratie, beheer, monitoring, security etc... niet of nauwelijks worden gedaan. Alles blijft op default staan en slechts bij uitzondering aangepast zonder dat er echt inzicht of overzicht is hoe alles samenwerkt.
Voor een organisatie zo groot als de overheid is dat niet echt een probleem, daar is het mogelijk om allerlei specialisten en vakidioten in dienst te hebben en de kosten te delen over talloze medewerkers. In kleine organisaties met een of twee IT'ers is het imho onmogelijk om alles te doen wat nodig is al je een pakket als M365 afneemt. Voor een eenmanszaak is het al helemaal niet te doen.
De conclusie is dat we een enorm aanvalsoppervlak hebben van matig beheerde software. De onderliggende infrastructuur wordt misschien heel goed beheerd maar we hebben er aan de bovenkant veel oppervlak bij gekregen dat ook bewaakt moet worden.
Onze overheid bestaat uit een hoop kleine onderdelen die vaak redelijk onafhankelijk handelen. Die maken allemaal hun eigen keuzes en zijn daarin niet anders dan het bedrijfsleven. Als we het anders willen zal het vanuit Den Haag moeten worden opgelegd. We zouden het kunnen verplichten dat alle software in NL (of de EU) wordt gehost of zelfs geschreven. Dat gaat wel een smak geld en tijd kosten want we lopen tientallen jaren en
tientallenhonderden miljarden achter op de Amerikaanse IT-reuzen.
Op termijn zou het economisch gunstig zijn om dat geld niet naar de VS te sturen maar in de lokale IT-economie te investeren. Helaas is het lastig om de politiek investeringen te laten doen die zich pas na de volgende verkiezingscyclus uitbetalen.
Al met al doet het me aan de klimaatsituatie denken. We weten dat we de verkeerde kant op gaan maar niemand lukt het om echt een andere koers in te slaan. Iedereen wacht, wijst naar elkaar en gaat toch weer met het vliegtuig op vakantie omdat het sneller dan de trein is en goedkoper... als je de milieukosten afschuift op toekomstige generaties.
We kunnen hopen dat toekomstige innovaties de problemen zullen oplossen maar dat gaat niet vanzelf. Innovatie vereist grote investeringen maar misschien verdien je die terug met je nieuwe kennis. Als je niet investeert komt die innovatie er niet en als iemand anders het doet dan plukt die de vruchten (zie bv hoe China de markt voor zonnenpanelen heeft gekocht).
Lang verhaal kort: De overheid moet fors investeren in IT zodat we niet alleen eigen infrastructuur hebben maar ook de kennis om er mee om te gaan, inclusief security. Alles buiten de deur zetten lijkt op korte termijn financieel gunstig, maar afhankelijk zijn van een leverancier is op termijn nooit gunstig.
Dat moet van bovenaf worden opgelegd want voor de individuele onderdelen van de overheid is het altijd gunstiger om mee te bewegen met de markt.