Noodklok: Security mist de aansluiting op technologie trends!

Continu digitale innovaties

Met veel interesse struin ik dagelijks social media af, lees ik een ‘ouderwets’ krantenartikel of een ‘hip’ blendle artikel over een nieuwe innovatie. Het is onmogelijk om alles bij te houden, er wordt continu gewerkt aan nieuwe producten, processen en diensten én dit gebeurt dwars door sectoren heen. Ook op onze eigen vestigingen ben ik al lang niet meer verbaasd wanneer een collega enthousiast vertelt over een klant die een efficiëntere manier voor het opwekken van zonne-energie heeft uitgevonden, een ander die een coating heeft ontwikkeld om de opname van implantaten te vereenvoudigen of ‘simpelweg’ een klant die een nieuwe dienst aanbiedt om waarde toe te voegen aan het kernproduct.

Wanneer ik het nieuws volg en onze klantenportefeuille van technologiebedrijven analyseer, valt op dat in vrijwel elke innovatie ICT een belangrijke rol speelt. Voorbeelden zijn neurale netwerken, machine vision en (big) data problematiek. Misschien niet zo vreemd als je kijkt naar de top 10 technologie-trends van onderzoeksbureau Gartner, waar bijvoorbeeld kunstmatige technologie en blockchain worden genoemd als belangrijke strategische trends. Misschien een nog wel veel belangrijkere constatering is, dat diezelfde bedrijven worstelen met het thema cyber security. Dit constateer ik ook uit recente krantenartikelen zoals in het FD (“goede cyberbeveiliging te duur voor MKB’er”), het AD (“jaarlijks 10 miljard schade door cybercrime”) of in een magazine zoals Elsevier Juist (“blockchain duikt steeds vaker op als hét tovermiddel om onze maatschappij te wapenen tegen hackers”). Een aantal vragen resteert: Gaat het ons de komende jaren wel lukken om (persoonlijke) gegevens te beveiligen? Worden productieprocessen steeds vaker verstoord en is hiermee de continuïteit van dienstverlening geborgd? Blijven onze vitale infrastructuren functioneren? Misschien zijn dit wel retorische vragen.

In dit opiniestuk vertel ik vanuit mijn rol als Senior Consultant en lid van het ICT Sectorteam bij Leap. The Innovation Agency over mijn eigen ervaringen met betrekking tot cyber security én geef ik mijn mening over het creëren van awareness en het daadwerkelijk proactief anticiperen op verschijnselen.

Continu (cyber) security issues

Dagelijks zijn er storingen, de hoeveelheid  te verwerken data neemt alleen maar toe. Nu zijn er reeds 8,4 biljoen ‘verbonden apparaten’ en volgens Gartner zullen dat er in 2020 meer dan 20 biljoen zijn. Maar ook steeds vaker zijn er ‘lekken’ waardoor data verdwijnt en zie je cyber aanvallen steeds vaker terugkomen in het nieuws. Wie herinnert zich nog de aanvallen op de energiecentrales in Oekraïne, of het nieuws dat cybercriminelen de gegevens van een miljard Yahoo-gebruikers voor grof geld verhandelen? Vorig jaar liet een uitzending van Zembla nog zien hoe makkelijk het is om bij bedrijven werknemers en klanten te bespioneren via beveiligingscamera’s. Ook kwam ransomware vaak in het nieuws, van Britse ziekenhuizen tot het Spaanse Telefónica en een Zweedse gemeente: allemaal zijn ze slachtoffer geweest.

Of het nu gaat om bewakingscamera’s of klimaatsystemen; meestal zijn ze niet ontworpen met ‘security in mind’. Voor hackers is het eenvoudig om de controle over deze apparaten over te nemen en ze bijvoorbeeld in te zetten voor onwenselijke doeleinden. Ook verhoogt de verbondenheid tussen operationele technologie (internet of things) de kans op ransomware. En we maken onszelf steeds afhankelijker van apparaten. Neem de nieuwe iPhone X. Wat veel mensen niet weten, is dat hier niet alleen unieke Face ID technologie in zit, ook bevat het een bionic chip waarin een neurale engine data gaat verzamelen om slim in te zetten. In Jip-en-Janneke-taal: de toegang tot je nieuwe iPhone gaat straks middels gezichtsherkenning én zelflerende algoritmes al jouw data gebruiken om je het leven makkelijker te maken. Nu weet je iPhone al dat je s’ochtends om 8.00 vertrekt naar je werk in plaats ‘X’ en wanneer je s’avonds terugkomt. Op basis van een algoritme in Apple maps wordt dit bepaald. Dit is nog maar het begin. Je doet tegenwoordig alles op je iPhone: je surft, mailt privé/zakelijk, slaat muziek en foto’s op, appt, bankiert en betaalt wireless, netflixt, je houdt (onbewust) je activiteiten bij, volgt en participeert in social media, neemt je boodschappen er in op etc. Zeker voor de generatie Z (geboren na 1995), is het vanzelfsprekend alles digitaal op te slaan. Kortom, deze onuitputtelijke bron aan data zorgt voor een efficiënter leven maar kan ook worden ingezet om jouw leven op de kop te zetten. Wat als deze vergaarbak op straat komt te liggen door een hack of simpelweg onzorgvuldigheid van jezelf. Of erger nog, wat als wet- en regelgeving ervoor zorgt dat jouw data inzichtelijk wordt. Bedenk hoe je werkgever, verzekeraar of andere partijen met deze informatie om zullen gaan. Gelukkig treedt op 25 mei 2018 de General Data Protection Regulation (GDPR), de nieuwe Europese wet voor databescherming van persoonlijke gegevens, in werking. En deze gaat veel verder dan de huidige in Nederland gehanteerde Wet Bescherming Persoonsgegevens, maar de vraag is of deze voor alle bedrijven en personen uitvoerbaar is. Er hangen grove boetes voor overschrijding (tot € 20 miljoen of vier procent van de wereldwijde omzet) aan, maar ook hier geldt dat handhaving complex zal zijn.

Ook in het bedrijfsleven zien we in toenemende mate dat toeleveranciers in een productieketen volledig online met elkaar verbonden zijn. We moeten steeds slimmer, flexibeler, sneller en efficiënter produceren als Nederlandse maakindustrie. ICT is daarbij cruciaal. Machines en productielijnen wisselen onderling informatie met elkaar uit om kwalitatief beter te produceren. Ook moet dit (extern) inzichtelijk zijn én steeds vaker van afstand te besturen zijn. Het delen van informatie op deze schaal brengt vele nieuwe uitdagingen op het gebied van beheer en (cyber)security. Het is niet voor niets dat minister Henk Kamp van Economische Zaken, tijdens Prinsjesdag 2017, bekend maakte dat het kabinet vanaf 2018 structureel 26 miljoen euro beschikbaar stelt voor cybersecurity. Ook in het manifest voor de digitale economie 2017 – 2020, vraagt Nederland ICT aan het kabinet om privacy- en security-by-design als voorwaarde op te nemen in haar aanbestedingen. En in subsidieland werd hier specifiek aandacht aan besteed, bijvoorbeeld met de SBIR openstelling Cyber Security. Of recenter, in september jongstleden nog met de Horizon 2020 prijsvraag ‘Online Security – Seamless personal authentication’ waar € 4 miljoen aan verbonden is.

ICT innovaties in een notendop

Het is interessant om nog even stil te staan bij ICT innovaties die Gartner (zie figuur 1) als strategisch trends heeft gedetecteerd en die wij als organisatie dan ook veel terugzien bij onze klanten. In Nederland zijn we ICT-minded en hebben we een hoogwaardige kennisinfrastructuur. Volgens Nederland ICT werkt reeds 20% van al het R&D personeel in het Nederlandse bedrijfsleven voor een ICT-bedrijf. Echter, ieder beroep vereist straks begrip van ICT. Denk aan een advocaat, oncoloog of een wegenwacht met hoogwaardige ICT-kennis. De economie en maatschappij worden, mede door de snelle groei van het internet of things, steeds meer data-gedreven. Dat levert tal van kansen op, maar ook nieuwe vragen rond het verzamelen en gebruik van data. Er ontstaan slimme toepassingen door alle sectoren heen (zorg, energie, mobiliteit, industrie, etc.).

Figuur 1. Top 10 Strategic Technology Trends for 2017

Top 10 Strategic Technology Trends for 2017
Source: Gartner (February 2017)

Wat opvalt in bovenstaande technologische trends is dat ze in staat worden om ‘zelf dingen te leren’ en dit ook daadwerkelijk toe te passen. Een andere belangrijke trend is dat alles met elkaar wordt verbonden. Tenslotte zie je dat er een digitale representatie van jezelf ontstaat. Doordat alles in groot tempo geavanceerder wordt, lijkt het alsof binnen afzienbare tijd de rol van de mens significant kleiner gaat worden. Robots, drones en zelfrijdende auto’s lijken slechts het begin.

Alle voorgenoemde trends en onderlinge connectiviteit zorgen voor een compleet nieuwe wereld aan uitdagingen voor digitale beveiliging. Wat mij zorgen baart is dat de snelheid van innoveren zodanig is, dat veel bedrijven toch maar overgaan tot marktintroductie zonder dat het beveiligingssysteem volledig is ontwikkeld en getest. Op dit moment zijn er dus grote potentiële kwetsbaarheden in de software van (IoT)apparaten. En de realiteit leert dat wanneer kwaadwillende software eenmaal door de beveiligingsbarrière is, het volledige toegang heeft tot het betreffende systeem.

Awareness én actie binnen security

Nederland heeft de kans om de beste digitale economie van Europa én de wereld te worden. Om dit proces vloeiend te houden, is het echter wel van belang dat de evolutie van de intelligente digitale netwerk- en digitale technologieplatforms en applicatie-architecturen gepaard gaat met een vloeibare en adaptieve beveiliging. Dit is bijzonder uitdagend in de IoT-omgeving. De realiteit is dat veel organisaties al gaten laten vallen bij de organisatie van een hoogwaardige (externe) back up, fysieke beveiliging, het creëren van sterke wachtwoorden of het bijhouden van updates. Laat staan dat bij de innovaties rekening wordt gehouden met het simultaan ontwikkelen van een hoogwaardige identity management- en autorisatie oplossing. Sterker nog, in mijn optiek moeten teams samenwerken met applicatie-, oplossings- en ondernemingsarchitecten om de veiligheid vroeg in het ontwerp van applicaties of IOT-oplossingen te overwegen. Hierbij moet voor de ‘productie’ van kennis in mijn optiek de zogenaamde triple helix (samenwerking overheid, onderwijs en ondernemers) niet worden onderschat. Hierin staat stakeholders value centraal in plaats van shareholders value. Men is dus gericht op de lange termijn. Een mooi voorbeeld op het gebied van security vind ik hierin ‘Fieldlab The Garden’ die onlangs is geopend in Hengelo. Dit is een zogenaamde proeftuin waarin wordt gewerkt aan innovaties voor security in Smart Industry door vijftien samenwerkende partijen. Het veilig kunnen delen van data is een randvoorwaarde voor Smart Industry. The Garden is gevestigd op het High Tech Systems Park in Hengelo en wordt mede mogelijk gemaakt door subsidie uit het EFRO-programma Oost Nederland. Wanneer op dit niveau aan cyber security oplossingen wordt gewerkt, dan ontstaat er ook ineens een veel breder pakket aan innovatiefinanciering die aangevraagd kan worden. Een ander voorbeeld is het nieuwe Fieldlab Blockchain in Rotterdam, waar ook security hoog op de agenda zal staan. Om daadwerkelijk met zijn allen ook in de toekomst nuttig en veilig gebruik te kunnen maken van alle digitale innovaties, is het noodzakelijk om nieuwe adaptieve security architecturen te ontwikkelen om automatisch kwaadwillende indringers te identificeren op basis van gebruikersgedrag en analyses om vervolgens passende maatregelen te nemen tegen potentiele bedreigingen. Wie neemt het voortouw in deze ratrace? Wij staan met ons team in ieder geval klaar om (financiële) ondersteuning te bieden!

Heeft u vragen?

Heeft dit artikel u aan het denken gezet? Wilt u eens sparren met één van de leden van ons ICT Sectorteam? Of heeft u een vraag over het financieren van uw ICT-project in 2018? Neem dan vrijblijvend contact op met Thomas Boerrigter of één van de andere leden van ons ICT Sectorteam.

Meer weten?