‘De digitale wereld moet in ons DNA terechtkomen’

LEESTIJD: 7,5 MIN

De een begeleidt wereldwijd cybercrises, de ander leidt de cybersecurityafdeling bij de NCTV. Zowel Lokke Moerel, Hoogleraar Global ICT Law Tilburg University, als Hester Somsen, plaatsvervangend NCTV en directeur Cybersecurity en Statelijke dreigingen weten waar ze het over hebben als het om digitale weerbaarheid gaat. IJle Stelstra gaat met ze in gesprek.

De stand van zaken


Somsen: ‘De dreiging van zowel criminelen als statelijke actoren neemt toe. Onderzoek laat zien dat de hoeveelheid geld die in cybercriminaliteit omgaat inmiddels groter is dan die in drugscriminaliteit. Terwijl het in 2015 nog om 2,7 biljoen dollar wereldwijd ging, gaat het nu richting 5,5 biljoen. Voor criminelen is het een steeds lucratiever businessmodel dat ook steeds verder geprofessionaliseerd wordt. De NCTV heeft onlangs in samenwerking met de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) het ‘Dreigingsbeeld statelijke actoren’ uitgebracht. Daaruit blijkt dat de risico’s steeds groter worden als het gaat om (economische) spionage, beïnvloeding van de eigen diaspora of sabotage. Het is belangrijk om een goed beeld te hebben van deze dreigingen, maar het maakt tegelijkertijd duidelijk dat de weerbaarheid omhoog moet.’

Moerel: ‘Eigenlijk staan we nog maar aan het allereerste begin. Kijk hoe een ransomware-aanval, zoals bij het Hof van Twente, effectief is, terwijl dit met een beetje voorbereiding voorkomen had kunnen worden. Of kijk naar een basale fout zoals het GGD-lek. De minister kan zeggen dat tegen criminaliteit geen kruid gewassen is, maar hier was sprake van een gebrek aan basishygiëne. Te vaak wordt er nog gezegd dat cybercriminaliteit een ICT-aangelegenheid is, maar dat is het al lang niet meer. En systemen zijn vaak wel extern beveiligd, maar ze vergeten de menselijke factor, de insider threat. Dat er niet méér misgaat is gewoon geluk.’

Stelstra: ‘Corona heeft de digitale ontwikkelingen versneld, de markt is steeds groter geworden. Tegelijkertijd staan we er op het gebied van crisisbeheersing nog niet goed voor. Het kan zomaar ineens echt mis gaan. We hadden ooit de Mexicaanse griep, SARS en Ebola, en ineens was daar COVID-19, the big one. Het is goed denkbaar dat dit ook zo met een cybercrisis gaat.’

Verbinding zoeken


Somsen: ‘Het Nationaal Crisisplan Digitaal dat vorig jaar is uitgegeven, bevat bouwstenen voor verschillende crisisscenario’s. Voor elk scenario wordt bijvoorbeeld duidelijk welke actoren nodig zijn of hoe de woordvoering moet verlopen. Als een crisis invloed heeft op de vitale processen, dan moet je weten wat daarvan de gevolgen zijn. En ervoor zorgen dat je als betrokken partij goed aangesloten bent op de andere partijen.’

Moerel: ‘De aanval op de haven in Rotterdam een paar jaar geleden liet zien dat de praktijk weerbarstiger is. De fysieke effecten waren groot: de beveiliging werkte niet meer, vrachtauto’s wisten niet meer waar ze naartoe moesten. We hebben Computer Emergency Response Teams (CERT’s) die in staat zijn snel in actie te komen bij beveiligingsincidenten in een specifieke sector, zoals de zorg of onderwijs- en onderzoeksinstellingen, maar zo’n haven heeft een eigen ecosysteem. Je krijgt dan te maken met de ene partij die vindt dat de ander niet in “zijn” ICT mag kijken. Dan sta je dus met lege handen.’

Stelstra: ‘Bij COVID-19 gebeurde eigenlijk hetzelfde. Ieder ziekenhuis regelde het voor zichzelf, ieder verpleeghuis idem. Na een jaar hebben we dan eindelijk landelijke coördinatie tussen Rijk en veiligheidsregio’s en regio’s onderling. Dit soort crises moet je bovenregionaal managen. We zijn nu volop bezig met de inrichting van een multidisciplinair knooppunt tussen Rijk, kolommen en regio’s. Dit moet de weerbaarheid aan de voorkant versterken. Niet alleen voor deze, maar ook voor toekomstige crises.’

Moerel: ‘We kunnen van deze fysieke COVID-crisis leren dat, om bovenregionaal te kunnen managen, je ook de ICT moet opschalen en proactief moet nadenken welke data je daarvoor uit elke regio nodig hebt. Onze digitale infrastructuur was tijdens COVID-19 nog niet op orde.’

Somsen: ‘Volgens mij is dat een te somber beeld. Ik denk dat de veiligheidsregio’s steeds meer doordrongen zijn van het feit dat dit soort digitale crises kunnen plaatsvinden, dat ze effecten hebben in de fysieke omgeving en waar je dan de verbinding moet vinden. Incidenten helpen daarbij.’

Stelstra: ‘We beginnen met elkaar steeds beter te zien wat er nodig is om de digitale veerkracht in Nederland te verhogen, maar we zijn er nog lang niet. Onze rol als IFV is het verkennen waar de versnellers en noodzakelijke verbindingen, zowel nationaal als internationaal, liggen.’

Twee mannen achter beeldscherm in cyberomgeving de een wijst iets aan aan de ander

Ministerie van digitale veiligheid


Stelstra: ‘We zitten in een digitale revolutie, maar we hebben nog geen ministerie en geen universiteit die zich hiermee bezighouden, zoals we bij landbouw bijvoorbeeld wel hebben. Ik vind dat opmerkelijk. We kunnen er volgens mij niet omheen dat we een digitale crisis centraal moeten coördineren en aanpakken.’

Somsen: ‘Ik denk niet dat centralisering de oplossing is. Er zijn heel veel partijen, ook privaat, die bedrijven of gemeenten kunnen bijstaan als er iets aan de hand is. Maar je moet als gemeente dan wel de link houden met de Informatiebeveiligingsdienst (IBD), waardoor áls het incident heel groot wordt, het Nationaal Crisis Centrum ondersteuning kan verlenen.’

Moerel: ‘Je kunt wel alles in één digitaal ministerie onderbrengen, maar dan lijkt het alsof anderen er niet meer over hoeven na te denken. Uiteindelijk moeten álle ministeries opschalen, ze moeten reskillen en upskillen en digital born-mensen aannemen. We moeten digitale veiligheid niet benoemen als iets specialistisch, iedereen moet er iets mee.’

Oefenen, oefenen, oefenen!


Moerel: ‘Voor een digitale crisis heb je andere en specifieke expertises nodig. Een CEO van een bedrijf is dan niet de geschikte persoon om een crisis te leiden. Een hybride crisis komt nu op het bordje van de burgemeester, maar van hoeveel markten kan een burgemeester thuis zijn? Fysieke beveiligingsexperts spreken ook een heel andere taal dan digitale beveiligingsexperts. Uit het bedrijfsleven heb ik geleerd dat er tijdens een digitale crisis vaak te veel koks in de keuken staan waardoor je stuurloos wordt. Om goed samen te werken en elkaars taal te begrijpen moet je vooral heel veel oefenen. Zo zie je direct wat wel en niet werkt. Alleen het ervaren, zorgt dat je ervan leert.’

Somsen: ‘Oefenen is zeker belangrijk. Op nationaal niveau is er binnenkort de ISIDOOR-oefening, een nationale oefening waarbij cyberincidenten worden gesimuleerd. De lessen die we daaruit leren, gaan we verwerken in het Nationaal Crisisplan Digitaal. Het is niet voor niets een levend document: we passen het steeds weer aan op basis van de nieuwste inzichten.’

Het nieuwe DNA


Stelstra: ‘In de crisisbeheersing en bij alle crisispartners moet de digitale wereld, onze nieuwe werkelijkheid, onderdeel worden van ons DNA. Het draait allang niet meer om de fysieke veiligheid van Nederlanders, maar juist ook om de digitale weerbaarheid en veiligheid van burgers. Daarom moeten we als kennisinstituut hierin meebewegen en erop anticiperen, om te beginnen met het woord “Fysieke” uit onze naam te halen.’

Moerel: ‘Je hebt geen keuze, je kunt niet naast het Instituut Fysieke Veiligheid ook nog een Instituut Digitale Veiligheid zetten.’

Somsen: ‘Er is inderdaad geen onderscheid meer tussen de digitale en de fysieke wereld. Ouders kunnen nu tijdens de coronacrisis roepen dat hun kinderen weer naar de fysieke school moeten, maar die fysieke school wordt gesteund door digitale middelen. Het een is niet meer los te zien van het ander.’

Over de grenzen heen


Moerel: ‘Om te leren van het buitenland kunnen we het best kijken naar landen die meer dreiging hebben, zoals Israël. Als het dreigingsgevoel hoger is, bereid je je beter voor en ben je scherper. Een land als Israël heeft daardoor al meer lessen geleerd.’’

Somsen: ‘Het is niet toevallig dat Estland binnen de EU een van de grote voorvechters is van alles wat met cybersecurity te maken heeft. Zij hebben het al aan den lijve ondervonden. Cybercriminaliteit zelf is steeds meer grensoverschrijdend, dus ook binnen de EU moeten de plaatselijke “NCTV’s”, ministers en NCSC’s (Nationaal Cyber Security Centrum) elkaar goed weten te vinden. Gelukkig werkt dat goed met de nationale CERT’s die informatie uitwisselen en elkaar bijstaan als er ergens iets gebeurt. De Europese Commissie is nu bezig om die samenwerking nog beter vorm te geven, ook in preventieve zin.’

Stelstra: ‘Juist omdat cybercriminaliteit grensoverschrijdend is, moeten we in gezamenlijke netwerken optrekken. Niet alleen op Europees, maar uiteindelijk ook op mondiaal niveau. Je bent namelijk zo sterk als de zwakste schakel. Op de International Cyber Security Ranking schommelt Nederland al jaren tussen de 13e en 15e plek. Maar ook in Europees verband hebben we koplopers en achterblijvers. Het leren van elkaar en op basis daarvan te versnellen is essentieel.’

Moerel: ‘Landen om ons heen zetten grote stappen. België investeert veel geld in cybersecurity, maar ze komen ook van heel ver. Als je ziet welke bedragen Duitsland investeert, is dat echt van een andere orde dan wat Nederland doet. Dat baart me zorgen. Als wij het minder doen dan de landen om ons heen, worden we het afvalputje en komt alle criminaliteit naar ons toe. Als Cyber Security Raad zijn we op verzoek van het kabinet aan het berekenen hoeveel er moet worden geïnvesteerd om Nederland cyberweerbaarder te maken. Zoals het er nu uitziet komen we op bijna een miljard. En dan heb ik het niet over een Ferrari, maar een leuke Opel zou al heel wat zijn.’

Somsen: ‘Het besef dat er meer geïnvesteerd moet worden, dat is er. Maar dat kan zo verdrongen worden door de negatieve economische gevolgen van de COVID-19 crisis. Het is zaak om de prioriteit hoog te houden.’

Digitale doorgangspoort


Moerel: ‘We hebben een goede digitale infrastructuur en dat wordt ook door criminelen gewaardeerd. We zijn een digitale doorgangspoort geworden, van waaruit criminelen andere landen aanvallen. Als we dat niet onder controle krijgen, staan we er internationaal niet best op. Als Nederland de digitale haven van Europa wil zijn, hoort daar ook een verantwoordelijkheid bij. Helaas kunnen we dat op dit moment niet waarmaken.’

Somsen: ‘Er moet zeker meer aandacht voor zijn, maar het is ook een lastig domein om criminaliteit te bestrijden. Je bent van zoveel factoren afhankelijk. Zo zou het bijvoorbeeld heel mooi zijn als de aangiftebereidheid omhoog gaat.’

De nieuwe generatie


Moerel: ‘Tien jaar geleden zei ik al dat basisschoolleerlingen naast het veilig verkeersdiploma een veilig internetdiploma nodig hebben. Helaas had toen nog niemand belangstelling voor het onderwerp. De generatie van nu, de mensen die nu op de cruciale posities zitten, zijn niet digital born. Bij de volgende generatie zal dat anders moeten zijn, al gaat het tergend langzaam.’

Stelstra: ‘Het IFV is nu bezig om samen met Hogeschool Saxion leerlijnen op te zetten rondom crisisbeheersing. Om digitale weerbaarheid in het DNA van de nieuwe generatie te krijgen, moeten we in het klaslokaal beginnen.’

Prof. mr. Lokke Moerel Hoogleraar Global ICT Law Tilburg University, lid Cyber Security Raad en de Ethische Commissie en advocaat bij Morrison & Foerster, waar ze multinationals bijstaat bij wereldwijde cyberincidenten

Drs. Hester Somsen plv. Nationaal Coördinator Terrorismebestrijding en Veiligheid en directeur Cybersecurity en Statelijke dreigingen

IJle Stelstra Algemeen directeur van het Instituut Fysieke Veiligheid (IFV)

OOK INTERESSANT VOOR U:

Button doorklik naar pagina 'Ik hack u op verzoek'

‘Ik hack op uw verzoek’

Button doorklik naar pagina 'Kennishoek'

Meer leren over digitale weerbaarheid?

Button doorklik naar pagina 'het is continu een race tegen de klok'

‘Het is continu een race tegen de klok’


deel deze pagina: