Data hebben een mooie, maar ook een duistere kant

‘Als je niet nadenkt over de veiligheid van digitale gegevens, stel je jezelf aan allerlei risico’s bloot’. Prof. Jos van Hillegersberg windt er geen doekjes om. In de Master Course Cybercrime, Cybersecurity & Riskmanagement benaderen hij en zijn collega’s vanuit een breed perspectief verschillende cybervraagstukken. ‘Cybersecurity gaat niet louter om techniek, maar is vooral ook mensenwerk.’

Vaak worden cyberkwesties vanuit technisch perspectief bekeken. Het is vooral ook mensenwerk.

Onze samenleving is steeds meer afhankelijk van digitale gegevens. Burgers loggen in bij digitale loketten, de slimme meter stuurt ons energieverbruik rechtstreeks naar de energieleverancier en we maken accounts aan bij webshops en digitale boekingsites. Bij bedrijven en overheden is het niet anders, stelt Jos van Hillegersberg, als hoogleraar verbonden aan de Master Course Cybercrime, Cybersecurity & Riskmanagement. ‘Steeds vaker nemen overheden en bedrijven beslissingen op basis van digitale informatie, die volop beschikbaar is. Daar hebben ze baat bij, want je kunt werk sneller en beter doen. Maar als je ziet wat er allemaal aan digitale informatie voorbijkomt, moet je soms wel even achter je oren krabben: persoonsgebonden informatie, procesinformatie, informatie over locaties, beeldinformatie, verkeer, verplaatsingen van bezoekers in gebouwen, et cetera, et cetera.’

Zwakke schakel

Het is mooi dat we dankzij die data steeds meer weten, maar waar we minder bij stil staan, is dat data-uitwisseling een keten van informatie teweegbrengt. ‘Als je niet nadenkt over de veiligheid van digitale gegevens, stel je jezelf aan allerlei risico’s bloot’, vertelt Van Hillegersberg.

Data-uitwisseling brengt een keten van informatie teweegt.

‘Bij een zwakke schakel in de informatieketen kunnen er data gaan lekken of – misschien erger nog – niet meer beschikbaar zijn’, aldus Van Hillegersberg. Overheden lopen hierbij net zo veel risico als het bedrijfsleven, hoewel grote bedrijven vaak verder zijn in hun security dan de overheid. ‘Dat neemt niet weg dat overheden onder een vergrootglas liggen; ze hebben een voorbeeldfunctie. Burgers verwachten dat gegevens bij de overheid in extra goede handen zijn. Voor overheden is cybersecurity en riskmanagement dus extra urgent.’

Smart cities

Mooi cybervraagstuk is wat Van Hillegersberg betreft de trend smart cities. ‘Gemeenten gebruiken daarbij allerlei gegevens om de dienstverlening beter te laten aansluiten op de behoeften van de burgers en om leefbaarheid- en duurzaamheidsdoelen na te streven. Met wifitracking kan bijvoorbeeld precies worden nagegaan waar mensen zich in de stad bevinden, hoe lang ze daar blijven, op welke manier ze zich door de stad bewegen, et cetera.

Voor overheden is cybersecurity en riskmanagement dus extra urgent

Waardevolle data, maar ook erg privacygevoelig. Des te belangrijker is het dat de gemeente van tevoren nadenkt over de manier waarop ze de data opslaat en hoe lang, hoe ze ervoor zorgt dat de data niet meer te herleiden zijn naar een persoon en hoe ze een goede analyse op de data kan uitvoeren. Alle data hebben een mooie, maar ook een duistere kant. Als ze in verkeerde handen komen, is dat een groot probleem.’

Internet of Things

Andere interessante kwestie is volgens Van Hillegersberg the Internet of Things. ‘We leven steeds meer in een samenleving waarin alles met elkaar is verbonden. Miljoenen devices staan dankzij camera’s en sensoren voortdurend in contact met elkaar. Dit gebeurt in een rap tempo. Maar wie beheert al deze devices? Camera’s en sensoren in apparaten zijn vaak anoniem. Maar er is wel degelijk risico op het kraken van een camera of sensor. Ik voorzie op dit gebied de komende jaren veel problemen. The Internet of Things is een prachtige innovatie, maar een verantwoorde toepassing en een goed beheer zijn wel noodzakelijke randvoorwaarden.’

Mensenwerk

In de Master Course Cybercrime, Cybersecurity & Risk Management is er in de volle breedte aandacht voor vraagstukken zoals Van Hillegersberg die schetst.

We kijken bijvoorbeeld naar de psychologische kant: wat drijft iemand tot cybercrime?

‘Vaak worden cyberkwesties vanuit technisch perspectief, zoals lekken in software, bekeken. En zeker, dit komt ook aan de orde, maar cybersecurity gaat niet louter om techniek, het is vooral ook mensenwerk. We kijken bijvoorbeeld naar de psychologische kant: wat drijft iemand tot cybercrime? En we gaan aan de slag met crimescripting: leren nadenken als een crimineel om de zwakheden in je eigen organisatie bloot te leggen. Maar we kijken ook naar de organisatorische kant. Je kunt het technisch nog zo voor elkaar hebben, als niet iedereen in de organisatie zich bewust is van de risico’s van digitale gegevens, heb je een organisatorisch probleem.’

Prioriteren

Belangrijkste don’t bij het aan de slag gaan met cybersecurity is volgens van Hillegersberg te starten vanuit de informatie-architectuur. ‘Begin met het in kaart brengen van alle digitale gegevens die je als organisatie hebt en prioriteer deze op waarde, privacygevoeligheid en risico. Kijk daarna pas naar de beveiliging. Hetzelfde geldt voor applicaties die medewerkers in gebruik hebben. Dat is vaak een hele zwik aan nuttige en minder nuttige applicaties en apps. Inventariseer wat er allemaal op de verschillende devices is geïnstalleerd en ga na of deze applicaties op een veilige manier met data omgaan. Je hoeft deze zogenaamde “shadow IT” die medewerkers vaak zelf hebben geïnstalleerd, niet uit te bannen. Maar het is goed te weten wat je in huis hebt en wat de risico’s daarvan zijn.’