De afhankelijkheid van het internet maakt ons kwetsbaar
Nederland is enorm gedigitaliseerd. We shoppen online, hebben steeds meer slimme apparaten en belangrijke voorzieningen, zoals ons drinkwater en onze dijken en sluizen, worden digitaal gecontroleerd. Dat heeft goede kanten. Zo konden we, doordat onze voorzieningen ervoor klaarlagen, tijdens corona razendsnel overschakelen op online werken. Maar die afhankelijkheid van het internet maakt ons ook kwetsbaar. Niet alleen voor criminelen, maar ook voor een onbedoelde, menselijke fout, of voor staten die er belang bij hebben onze basisvoorzieningen te saboteren. Want wat als de elektriciteit in heel Nederland uitvalt? Wat zijn de grootste bedreigingen? Hoe wapenen we ons daartegen? En wat moet er nog meer gebeuren?
Tekst: Marijke Verduijn
Beeld: Wiebe Kiestra (hoofdfoto), Phil Nijhuis (portretten)
"De uitdaging is dat cyberveiligheid een relatief jong beleidsgebied is, dat constant in ontwikkeling is"
“Cybercriminaliteit is buitengewoon lucratief en de pakkans is helaas vaak klein. Cybercriminelen worden steeds professioneler: ze werken samen, verkennen de markt heel grondig en kijken per bedrijf hoeveel ze kunnen vragen. Het uitvoeren van ransomware-aanvallen, waarbij criminelen je systemen digitaal gijzelen en daarna losgeld eisen, is een markt op zich geworden, waar enorm veel geld in omgaat. Daarnaast zijn er ook staten, die er een politiek of bedrijfseconomisch belang bij hebben om te spioneren of vitale systemen in andere landen te ontwrichten. Soms loopt dat ook door elkaar: wanneer een staat cybercriminelen gedoogt of stimuleert. En dan kunnen systemen ook nog onbedoeld worden lamgelegd door een menselijke fout. Het Cybersecuritybeeld Nederland, dat 4 juli uitkwam, staat bij deze dreigingen uitgebreid stil.
JenV is op verschillende manieren bij cyberveiligheid betrokken. Als de drinkwatervoorziening of een deel van de Rijksoverheid uitvallen, raakt dat de nationale veiligheid. Daarom is cyberveiligheid ondergebracht bij de NCTV. Daarnaast coördineert onze minister de cyberveiligheid van Nederland. En tenslotte helpen we met het Nationaal Cyber Security Centrum de Rijksoverheid en vitale diensten om hun cyberveiligheid op peil te houden.
Op dit moment werken we aan de Nederlandse Cybersecurity Strategie (NLCS). Daarbij zitten we met bijna alle departementen aan tafel en spreken we ook private partijen en wetenschappers. Wat zijn de dreigingen? Wat kunnen die betekenen voor de nationale veiligheid? Wat speelt er bij maatschappelijke organisaties en bedrijven? En waar gaan we de komende zes jaar dus op inzetten? Het vraagt steeds nieuwe inzet om de kloof tussen weerbaarheid en toenemende dreiging te verkleinen."
"Cyberveiligheid is natuurlijk bij uitstek ook een internationaal onderwerp. De EU heeft in 2016 in de Netwerk- en Informatiebeveiligingsrichtlijn (NIB) zo’n 350 essentiële diensten aangewezen die hun digitale veiligheid absoluut op orde moeten hebben. Zo moeten banken, de Rijksoverheid of clouddiensten hoge veiligheidsstandaarden garanderen, zich beschermen tegen uitval en melding doen van een incident. De nieuwe richtlijn NIB-2 gaat het aantal organisaties waarvoor die zorgplicht geldt, sterk uitbreiden: van 350 naar ongeveer 5.000. Dan moeten bijvoorbeeld ook de voedselindustrie, de chemische industrie en de post- en afvalverwerking hun cyberveiligheid kunnen garanderen. JenV moet hen daarbij van de juiste informatie voorzien, hen helpen naar dat hogere niveau te komen en dat ook toetsen. Niet alleen daarom is het heel belangrijk om voldoende gekwalificeerde mensen te krijgen en te houden.
De uitdaging is dat cyberveiligheid een relatief jong beleidsgebied is, dat constant in ontwikkeling is. Je doet mee aan een soort hardloopwedstrijd waarbij het parcours en de technieken regelmatig veranderen en waarbij ook altijd spanning is tussen privacy en veiligheid. Daarom zijn we blij dat organisaties als de Cybersecurity Raad en Cyberveilig Nederland, net als veel andere partijen zich dag in, dag uit inzetten om Nederland digitaal veiliger te maken en met ons meedenken. Dat houdt ons scherp.”
Daniel Palomo van Es, Afdelingshoofd Nederland Digitaal Veilig & Cybersecurity bij de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV)
"Als je expertise te veel versnippert, neemt je slagkracht af"
“Tien jaar geleden was cyberveiligheid nauwelijks onderwerp van gesprek. Nu hebben veel organisaties het op directieniveau wel in beeld, maar het is vaak lastig te begrijpen en weinig tastbaar.
Daarom adviseert en helpt het NCSC de Rijksoverheid en de vitale infrastructuur, dus alle bedrijven die belangrijk zijn voor de stabiliteit van Nederland, zoals de drinkwatervoorziening.
Daarnaast geven we op onze website ook algemene informatie en advies. Hoe kun je je kwetsbaarheid verminderen en wat kun je doen als je bent aangevallen? Zo bieden we een gloednieuw Draaiboek ransomware en basisinformatie over bijvoorbeeld wachtwoorden, toegang en versleuteling. Criminelen zijn opportunistisch. Als je voldoende basismaatregelen hebt getroffen, houd je er in ieder geval een paar buiten de deur. Daarom werken we ook nauw samen met organisaties die ons kunnen helpen om die basisinformatie te delen met alles in Nederland dat niet-vitaal is, maar wel belangrijk.
Wij bieden de Rijksoverheid en de vitale infrastructuur 24-uurshulp bij digitale ongelukken. Met hen mogen we ook al onze informatie delen. In de Ransomwarewerkgroep kijken we samen met Cyberveilig Nederland, de politie en het OM hoe we elkaar zo snel mogelijk kunnen informeren over een ophanden zijnde ransomware-aanval."
"Met organisaties buiten onze doelgroep mogen we maar beperkt informatie delen. Soms hebben we informatie over een mogelijk gehackt systeem in een organisatie en kunnen we daar niets mee. Zo troffen we een keer een lijst IP-adressen waar criminelen ransomware wilden uitrollen. Die partijen mochten we voor een deel waarschuwen, voor een deel ook niet.
Maar digitaal hangt alles met alles samen en eigenlijk zouden wij voor heel Nederland willen werken. Als wij daar ruimte voor zien, doen we dat wel. We hebben bijvoorbeeld weleens de voedselindustrie of het havenbedrijf gewaarschuwd op het moment dat dit heel belangrijk was.
In september behandelt de Tweede Kamer een aanpassing in de wet die het mogelijk maakt om onze informatie breder te delen. We hebben behoefte aan goede, duidelijke wetgeving en een helder mandaat.
We zouden ook graag breder kunnen samenwerken en meer gebruik maken van de expertise die nu vaak nogal versnipperd is. Zo hebben gemeentes of de gezondheidszorg cybersecurityteams voor hun eigen sector. Dat is heel fijn omdat die expertise echt van meerwaarde is, maar sommige kennis is heel schaars; die moet je ook constant bijhouden. Als je expertise te veel versnippert, neemt je slagkracht af. Op dit gebied moeten we dus meer samenwerken en kijken wat we centraal moeten en kunnen doen. Alleen zo zorgen we ervoor dat we de beste mensen voor de overheid behouden.”
Chris van Marle, coördinator incidentrespons en onderzoek bij het Nationaal Cyber Security Centrum (NCSC)
"Onze leden helpen organisaties bij vragen als: hoe voorkom je een aanval, hoe ontdek je hem en hoe reageer je erop?"
“Nederland is een polderland. Veel mensen in de sector kennen elkaar en werken met elkaar samen. We doen veel dingen goed, maar we zijn er nog niet. Onze achterban ziet ransomware-aanvallen nog steeds als grootste dreiging. Gemiddeld is een bedrijf daardoor een dag of 20-25 uit de running. Cyberveiligheid is een soort wapenwedloop. De aanvallers worden steeds professioneler, dus de verdediging moet ook steeds beter worden. Het is vooral een taak van de overheid om dreigingen op te sporen en te verminderen; maar daarbij werkt ze onder meer samen met ons, Cyberveilig Nederland. Onze leden helpen organisaties bij vragen als: hoe voorkom je een aanval, hoe ontdek je hem en hoe reageer je erop?
Om zich goed tegen cybercrime te kunnen verdedigen, zouden alle partijen heel snel zoveel mogelijk informatie moeten uitwisselen. Helaas verzwijgen bedrijven vaak dat ze slachtoffer zijn, uit angst voor reputatieschade. We moeten ernaartoe dat je goede naam er juist onder lijdt, als je een cyberincident verzwijgt. De overheid mag via ons informatie delen met de organisaties die bij ons zijn aangesloten. Dat gaat goed, maar kan nog intensiever."
"Daarnaast is het heel belangrijk dat toeleveranciersketens vanzelfsprekend veilig worden. Je kan je eigen weerbaarheid nog zo goed op orde hebben, als je toeleveranciers niet cyberveilig zijn, ben jij dat ook niet. Hoe maken we het hele systeem dus veilig? Bij individuele organisaties, maar ook landelijk? Dat heeft met techniek te maken, maar ook met wetgeving, bestuur en menselijk gedrag.
Ook pleiten wij voor een onafhankelijk Cyber Outbreak Management Team met cyberspecialisten, ethische hackers, privacy-deskundigen en gedragswetenschappers. Dat kan de overheid adviseren bij grote incidenten en maatschappelijke cybervraagstukken. Stel dat Microsoft het wereldwijd niet meer doet? Hoe groot moet de digitale lockdown zijn, vóórdat de overheid ingrijpt?
Jarenlang riepen virologen dat er een pandemie zou komen en toen lag opeens de maatschappij plat. Wij zijn een vergelijkbare ‘roepende in de woestijn’, als het gaat om cybersecurity. Dan horen we: ‘Jullie hebben een belang: jullie willen eraan verdienen.’ En dat is natuurlijk waar. Maar het gaat om enorme maatschappelijke vraagstukken die een brede aanpak nodig hebben. De overheid doet veel, maar er zijn nog te veel eilandjes en de regie kan beter. Daarom moet je tijdig en regelmatig om de tafel zitten.
De overheid heeft de voortrekkersrol, maar wij hebben ook veel kennis. En ondanks haar commerciële belangen is onze achterban zeer bereid haar kennis in te zetten voor het algemeen belang. Zo hebben we samen met een aantal andere brancheorganisaties de Digitale Binnenhof Academy opgericht. Daar krijgen politici ongekleurde en betrouwbare informatie over cyberveiligheid. Niet van lobbyisten, maar van experts en wetenschappers.”
Petra Oldengarm, directeur van Cyberveilig Nederland, branchevereniging voor cybersecuritydienstverleners