Cyberweerbaarheid

Digitale veiligheid kun je niet aan of uitzetten

Petra Nijenhuis is als Chief Information Security Officer (CISO) degene die de digitale veiligheid binnen IenW versterkt. Petra: “Digitalisering en veiligheid zijn belangrijke onderwerpen. Deze thema’s zijn steeds meer met elkaar verbonden. Veiligheid is – helaas - belangrijker dan ooit. Onze digitale veiligheid is geen vanzelfsprekendheid. We leven, zoals de MIVD het noemt, in het grijze gebied tussen vrede en oorlog. Het is voor het eerst in de geschiedenis van de NAVO niet onwaarschijnlijk dat we binnen een paar jaar te maken krijgen met een situatie waarin artikel 5 wordt ingeroepen: dat bij een aanval op een NAVO-lid de andere leden te hulp moeten schieten. De oorlog in Oekraïne laat zien dat digitale aanvallen aan de orde van de dag zijn en grote schade kunnen veroorzaken. Je kunt digitale veiligheid niet aan of uit zetten, je moet erin blijven investeren.”

In dat grijze gebied tussen vrede en oorlog wordt Nederland steeds vaker geconfronteerd met hybride aanvallen die onze samenleving proberen te ontwrichten en verzwakken. In zijn jaarverslag schrijft de MIVD dat de Russische brutaliteit om de samenleving te ontwrichten toeneemt. Petra: “Daar zie je met de jaren een ontwikkeling in. Was er eerst vooral sprake van digitale spionage en desinformatie, nu is er sprake van pogingen tot digitale sabotage.”

Daarbij proberen aanvallers vitale systemen en processen met digitale middelen te beschadigen, verstoren of vernietigen. Zo voerde een Russische hackersgroep in 2024 een cybersabotage-aanval uit tegen het digitale besturingssysteem van een publieksvoorziening in Nederland (de MIVD zegt niet welke). Daarnaast nam de MIVD een Russische cyberoperatie waar tegen Nederlandse vitale infrastructuur, mogelijk als voorbereiding voor sabotage.

Petra: “Binnen de vitale infrastructuur ligt een specifieke uitdaging voor IenW: de Operationele Techniek (OT) systemen. Dat zijn de systemen waarmee we bijvoorbeeld bruggen en viaducten bedienen, treinen laten rijden, of waarmee drinkwater wordt geproduceerd en getransporteerd. Die OT-systemen zijn van cruciaal belang voor de continuïteit van ons dagelijkse leven. Ze verdienen daarom minstens zoveel aandacht als IT als het gaat om cybersecurity. Het uitbuiten van kwetsbaarheden in OT kan immers tot grote economische schade leiden en zelfs tot maatschappelijke ontwrichting.”

Vrijblijvendheid voorbij

Bescherming van de vitale infrastructuur heeft vanuit de EU hoge prioriteit. De zogeheten richtlijn Netwerk- en Informatiebeveiliging 2 verplicht lidstaten om hun cybersecurity op orde te brengen. Petra: “De richtlijn wordt nu omgezet in nationale wetgeving, de Cyberbeveiligingswet. Op basis van die wet is IenW (kerndepartement en uitvoeringsorganisaties zoals Rijkswaterstaat) en de sectoren waarvoor IenW een systeemverantwoordelijkheid heeft, verplicht om digitale veiligheid op orde te hebben. Als je digitale weerbaarheid wilt verhogen, moet dat geloofwaardig zijn en moet de vrijblijvendheid voorbij zijn. Want het gaat om sectoren die van groot belang zijn in ons dagelijkse leven, zoals drinkwater, keren en beheren, luchtvaart, maritiem, chemie, nucleair, afvalstoffenbeheer, plaats- en tijdbepaling met behulp van satellieten en weg- en spoorvervoer.”

Gezien het grijze gebied waarin we nu leven, is versnellen van cruciaal belang. “Hierbij gaat het in bijzonder over versnellen van monitoring en detectie. Denk aan het analyseren van netwerkverkeer en gegevens om verdachte patronen snel te kunnen identificeren, waardoor de digitale weerbaarheid kan worden verhoogd. En als het een keer mis gaat, is het noodzakelijk om snel te kunnen herstellen van cyberincidenten.”

De hybride dreiging wordt nog eens versterkt door technologische ontwikkelingen, ziet Petra. “Nieuwe quantumcomputers worden zó krachtig dat ze de huidige beveiliging van onze systemen kunnen kraken. Hier anticipeert IenW nu al op. In China gaat de technologische ontwikkeling op dit vlak inmiddels zó extreem snel dat we niet alleen moeten kijken naar de ontwikkelingen van vandaag en morgen, maar ook van overmorgen. Tenslotte is het belangrijk om digitaal onafhankelijker te worden. We zijn nu grotendeels afhankelijk van grote Amerikaanse tech-bedrijven. Dat brengt serieuze risico’s met zich mee.”

Bouw bruggen en werk samen

De keten is zo sterk als de zwakste schakel, weet ook Petra. Het is dus essentieel dat niet alleen IenW maar ook alle partners werk maken van cyberveiligheid. “Daarbij is het van belang om bruggen te bouwen en samen te werken. We zetten dan ook in op het verhogen van de cyberweerbaarheid voor de hele keten. Met het programma Versterken Cyberweerbaarheid ondersteunt IenW sectoren om digitale weerbaarheid te verhogen. Ook organiseert IenW jaarlijks de Cyberweerbaarheidsconferentie. Tijdens deze conferentie worden nieuwe ontwikkelingen en best practices gedeeld. En -heel belangrijk- wordt een netwerk opgebouwd, zodat organisaties elkaar makkelijk vinden.”

Wat als de dreiging afneemt en Rusland inbindt, hebben we dan voor niets de digitale weerbaarheid verhoogd? Petra resoluut: “Nee zeker niet. Ook als er geen situatie komt waarin de NAVO-artikel 5 inroept, zal de dreiging vanuit Rusland aanhouden, is de verwachting. Ook hebben we te maken met andere dreigingen. Denk aan China dat Nederland als interessant spionagedoelwit ziet. Of aan cybercriminelen die op grote schaal aanvallen uitvoeren. Ook technologische ontwikkelingen, zoals op dit moment AI, versterken de dreiging. We zitten middenin de digitale transitie. Alleen op een veilige manier kunnen we de kansen van digitalisering pakken."

"Tot slot goed om te benadrukken dat ik vind dat we ambitieus moeten zijn in wat we willen, maar bescheiden in wat we kunnen voorzien. Een oorlog in Europa hadden we niet voorzien. Het is van belang dat we voorbereid zijn op nieuwe ontwikkelingen, maar ook koesteren wat we hebben, namelijk trots op wat we doen in het belang van onze kritieke infrastructuur en onze digitale veiligheid. Ik vind het erg inspirerend om daar een bijdrage aan te kunnen leveren.”