Complexe cybersecurity-uitdagingen vragen om beleidssturing van de overheid

Digitale vooruitgang Nederland

Op het vlak van digitalisering is Nederland in Europa toch wel een van de voorlopers. Neem de digitale basisvaardigheden van de bevolking: daarvoor hebben we de doelstelling van de EU voor 2030 (minimaal 80 procent van de 16- tot en met 74-jarigen) al bereikt. Ook zijn er in ons land relatief veel ICT’ers werkzaam: 7,2 procent van de beroepsbevolking, wat beduidend meer is dan de 4,6 procent dat het gemiddelde is in de EU.

Sterke behoefte aan een totaaloverzicht

Bij een sterk gedigitaliseerde samenleving hoort ook een robuust cybersecuritybeleid. En al helemaal nu AI-technologie zich razendsnel ontwikkelt en ook de geopolitieke situatie in de wereld een grote invloed heeft op het digitale domein.

De Nederlandse overheid is zich maar al te bewust van die grote uitdagingen. Daarbij leefde er al een tijd de wens om beter zicht te krijgen op wat er binnen de cybersecuritybranche op het vlak van R&D en innovatie gebeurt, en vooral wat er nog nodig is om de cybersecurity-oplossingen ook in de toekomst op het benodigde niveau te houden.

Dat alles vanuit een beleidsperspectief. En concreet, zodat er een duidelijk totaaloverzicht ontstaat, waarbij het voor de overheid makkelijker wordt om te bepalen wat een volgende logische stap is.

Het is geen pak suiker

Toen TNO Vector het verzoek kreeg om een breed opgezet onderzoek uit te voeren naar wat er in de cybersecuritywereld gebeurt en waar nog grote behoefte aan is, werd al snel duidelijk dat er nog maar weinig aanknopingspunten waren.

“We moesten echt from scratch beginnen”, benadrukt Marcel de Heide, die als econoom bij TNO Vector onderzoek doet naar innovatiebeleid. “Bij cybersecurity gaat het om heel specifieke oplossingen, waarbij veel verschillende technologieën samenkomen. En naast de technische en economische aspecten, hebben cybersecurity-oplossingen ook maatschappelijke effecten. Dat betekent dat er ook altijd goed over de sociale en juridische kanten moet worden nagedacht. Wat ik maar wil zeggen: het is niet een pak suiker dat je verkoopt.”

"Cybersecurity is meer dan economische kansen creëren; het draait ook om het beperken van maatschappelijke risico's en het waarborgen van nationale veiligheid." - Gabriela Bodea, onderzoekswetenschapper TNO Vector

Nationale-veiligheidskwestie

“Je kunt inderdaad op verschillende manieren naar cybersecurity kijken”, beaamt Gabriela Bodea, die bij TNO Vector onderzoek doet naar de maatschappelijke impact van ICT-ontwikkelingen.

“Het gaat dus niet alleen om het creëren van economische kansen, maar tegelijkertijd om het zoveel mogelijk beperken van economische en maatschappelijke risico’s. En de manier waarop cybersecurity wordt ingezet, heeft ook gevolgen voor onze nationale veiligheid.

Het gaat dus over meerdere zaken tegelijkertijd, waarbij zowel de kansen als risico’s goed tegen elkaar afgewogen moeten worden. De overheid speelt daarbij een belangrijke rol. Om tot goede beleidsoplossingen te komen, moet er dus allereerst duidelijkheid komen over de manier waarop de overheid naar cybersecurity kijkt. Dient het vooral een economisch belang? Of is cybersecurity zo belangrijk voor de nationale veiligheid dat het een publiek goed moet worden?”

Meer dan objectieve feiten

De dringende oproep aan de overheid om tot duidelijke keuzes te komen, staat ook heel prominent in het rapport naar de impact van R&D&I in het cybersecurity domein dat TNO Vector recent heeft gepubliceerd.

Daarbij is het goed om te weten dat er bij het onderzoek dat daaraan voorafging niet alleen data zijn verzameld en geanalyseerd, maar dat er ook interviews zijn afgenomen met verschillende ervaringsdeskundigen die wat langer actief zijn in het cybersecuritydomein.

Mede dankzij hun inbreng is het niet louter een weergave van objectieve feiten geworden, maar een wat uitgebreider rapport waarin duidelijk de zorgen uit het veld naar voren komen en waarbij er ook kritische vragen worden gesteld.

Nieuwe eisen vereist

Tijdens het onderzoek en het schrijven van het rapport was het een grote uitdaging om niet door de realiteit te worden ingehaald. We leven immers in een tijd waarin geopolitieke verhoudingen onder spanning staan en waarin generatieve AI-toepassingen ervoor zorgen dat de toch al snelle digitalisering van de samenleving in een flinke stroomversnelling is terechtgekomen.

Dat alles heeft ook invloed op de eisen die er aan cybersecurity-oplossingen worden gesteld. Of beter gezegd: aan de eisen die er aan die oplossingen zouden moeten worden gesteld. Want dat gebeurt momenteel nog niet voldoende.

"Gebruikers voelen de verantwoordelijkheid niet of onvoldoende voor hun cyberveiligheid. Dit gebrek ontmoedigt ontwikkelaars voor investeringen in R&D en innovatie voor cybersecurity-oplossingen." Marcel de Heide,  econoom bij TNO Vector

Een duidelijke rol voor de overheid

“Er ontstaat een steeds complexer speelveld, waarbij we in een situatie zitten waarin de gebruikers van cybersecurity-oplossingen lang niet altijd weten wat ze precies nodig hebben”, schetst De Heide de huidige situatie.

“De markt voor cybersecurityoplossingen is heel complex. Gebruikers zijn verantwoordelijk voor hun eigen cyberveiligheid, maar ze voelen die verantwoordelijk niet of onvoldoende. Hierdoor blijft de vraag achter, en zullen ontwikkelaars van cybersecurity-oplossingen niet zo snel bereid zijn om veel geld te investeren in R&D en innovatie.

Dat heeft alles te maken met de angst voor de mogelijkheid dat ze die investering niet snel genoeg terug zullen verdienen. En daar ligt dan ook een duidelijke rol voor de overheid, om te kijken wat er beleidsmatig mogelijk is om de vraag naar cybersecurity-oplossingen duidelijker te specificeren en om ervoor te zorgen dat het aanbod daar ook goed bij aansluit.”

Het besef is er inmiddels al wel

“Daarbij is het belangrijk om te benadrukken dat de overheid niet zelf cybersecurity-oplossingen moet gaan ontwikkelen en aan consumenten moet aanbieden”, vult Bodea nog aan. “Maar de overheid kan wel voorwaarden stellen en kaders schetsen waar marktpartijen aan moeten voldoen, en tegelijkertijd cybersecurityonderzoek en -innovatie aanjagen.

En ja, als maatschappij hadden we dit natuurlijk al veel eerder moeten adresseren. Dat dit niet is gebeurd, komt omdat we allemaal zo gecharmeerd waren van nieuwe digitale technologieën en die wat al te snel hebben omarmd, zonder daarbij na te denken over mogelijke nadelen. Maar inmiddels is dat besef er wel, wat een goede uitgangspositie is om cybersecurity de aandacht te geven die het verdient en die ook echt acuut nodig is.”

Een nieuwe manier van dataonderzoek

Bij aanvang van het onderzoek naar het cybersecuritydomein was al duidelijk dat het vinden van relevante data een grote uitdaging zou worden. Een verkennende analyse had namelijk de conclusie opgeleverd dat er niet alleen een gebrek was aan relevante statistieken, maar dat er evenmin een methodologisch kader voorhanden was om de impact van R&D en innovatie binnen het cybersecuritydomein te specificeren.

Een mooie uitdaging voor Anastasia Yagafarova. Zij is economisch consultant bij TNO en samen met collega’s De Heide en Bodea heeft zij meerdere databases doorgespit om toch de gewenste informatie over het cybersecuritydomein naar boven te krijgen. Zo ontstond er stap voor stap een aantal statistieken, die voortdurend met nieuw verkregen informatie werden verrijkt.

Wat begon als een experiment, leidde langzaam maar zeker tot een betrouwbaar en goed onderbouwd statistisch kader. Een succesvolle aanpak dus, die zich ook heel goed leent voor andere onderzoeksgebieden waarbij de informatie uit meerdere databases moet worden ‘gedestilleerd’. Zo is Yagafarova momenteel ook betrokken bij een onderzoek naar artificiële intelligentie.