Nieuwe kwetsbaarheden

LEESTIJD: 3,5 MIN

Het is niet zo vreemd dat allerlei vormen van ICT-gerelateerde criminaliteit en onveiligheid (cybersecurity en cybersafety) tot de meest kansrijke en tegelijkertijd meest bedreigende vormen van potentiële crises worden gezien. Toen Perrow begin jaren tachtig zijn klassiek geworden studie Normal Accidents schreef, dacht hij nog aan kerncentrales. Inmiddels geven ontwikkelingen op het gebied van de ICT waarschijnlijk veel meer aanleiding om naar de door Perrow benoemde rampgevoelige combinatie van strakke koppeling en interactieve complexiteit te kijken.

Je hoeft geen groot ziener te zijn om te voorspellen dat de komende jaren dit fenomeen alleen maar sterk zal toenemen. Juist vanwege het steeds massaler gebruik van onze digitale infrastructuur liggen verstoringen en vast ook wel eens een grotere crisis op de loer. Vanuit het lectoraat Crisisbeheersing hebben wij recent een vijftal cybercasus (Maersk, universiteit Maastricht, Lochem, Citrix en de KPN-storing met de uival,112 als gevolg) op een rijtje gezet. Juist omdat wij vaak beter leren van casuïstiek dan van meer theoretische verhandelingen.

Portret Menno van Duin

Menno van Duin, lector Crisisbeheersing Instituut Fysieke Veiligheid

Het zal niet toevallig zijn dat de twee laatste voorzitters van veiligheidsregio’s die ik recentelijk sprak 'Van Veldhuizen en Heerts' beiden uitgebreid ingingen op de nieuwe kansen maar zeker ook bedreigingen op het gebied van informatietechnologie. Die bedreigingen dragen verder dan alleen cybercriminaliteit; het gaat evengoed om ethische vraagstukken (welke informatie is openbaar, wat kan gekoppeld worden, wat is de betekenis van uitkomsten van big data-analyses?). Ook Arjen Lubach ging in zijn wekelijkse programma in op dit thema en de noodzaak dat de deskundigheid in het parlement op dit onderwerp scherp omhooggaat. Sprekende voorbeelden lieten de onwetendheid aldaar treffend zien.

Het is niet toevallig dat begin februari 25 GGD’en in een gevecht waren om zonder al te grote kleerscheuren verder te kunnen met hun ICT-systemen die het vaccineren en bron- en contactonderzoek ondersteunen. In november vorig jaar was er al kritiek op een computerprogramma dat regelmatig uitviel en recentelijk hebben enkele (tijdelijke) medewerkers data (persoonsgegevens) verkocht aan derden. Met stoom en kokend water zijn daar zo’n half jaar geleden allerlei softwareprogramma’s ontwikkeld en in gebruik genomen die kennelijk fraudegevoelig zijn. Niet goed te praten, maar waarschijnlijk wel erg goed te verklaren: haast was immers geboden.

Het kan ons allemaal gemakkelijk overkomen hetgeen ons maar ook de banken en andere instellingen echt moet aanzetten om nog meer barrières in te bouwen


Het is waarschijnlijk ook niet toevallig dat mij gevraagd werd een column te schrijven over het onderwerp cyberveiligheid op het moment dat ik van behoorlijk dichtbij (als secretaris van een sportvereniging) geconfronteerd ben met een stevig voorbeeld cybercriminaliteit. Criminelen is het gelukt (hoe is nog onduidelijk, maar wij waren hier niet bij betrokken) een bankpas van onze vereniging te verkrijgen. Vervolgens hebben ze na een slimme phishing-actie in een mum van tijd forse sommen geld kunnen overmaken naar een acht rekeningen die (uiteraard niet door ons) op naam van onze vereniging waren geopend bij een andere bank. In twee dagen tijd hengelden ze forse bedragen geld naar binnen en omzeilden ze controles door tientallen kleine betalingen te doen naar klanten van de vereniging en tussendoor flinke bedragen (nooit 5.000 euro maar 3.773,31) over te maken naar die op naam van onze vereniging geopende rekeningen bij een andere bank. Waar vroeger nog met knullige mailtjes werd gewerkt die vol zaten met fouten, wordt inmiddels zo doortrapt gewerkt dat één kleine onoplettendheid al noodlottig kan zijn. Dit is echt een voorbeeld van criminaliteit van een hogere orde.

Voor mij was dat laatste voorbeeld vooral een lesje in bescheidenheid. Het kan ons allemaal gemakkelijk overkomen hetgeen ons maar ook de banken en andere instellingen echt moet aanzetten om nog meer barrières in te bouwen. Een paar filmpjes, waarschuwingen en voorlichting is bij lange na niet genoeg. Het roept zeker ook de vraag op welke rol de overheid hier nu moet gaan spelen. In een recent rapport van de WRR werd aangegeven dat de overheid een soort van ‘cyber-brandweer’ nodig heeft. Met name de Delftse hoogleraar professor Van Eeten (‘governance of cybersecurity’) vindt dat onzin. In een helder betoog zet hij grote vraagtekens bij de uitgangspunten van dit WRR-rapport. Juist instellingen en bedrijven hebben hier de nodige deskundigheid of dienen deze op te bouwen. Als er een keer nood aan de man is, kan altijd nog een beroep worden gedaan op slimme bedrijven als Fox-IT.

In principe zat en zit ik meer op de lijn van Van Eeten, maar vind wel dat de discussie moet worden opgestart in hoeverre de overheid hier niet zelf meer regie op zou moeten hebben. Ten slotte is het denkbaar dat een bedrijf als Fox-IT (dat thans nog bij bijna alle grotere casus - Maersk, Universiteit Maastricht, VNOG is ingehuurd) in Chinese of Russische handen komt. Er is ook binnen de overheid waarschijnlijk meer capaciteit en deskundigheid wenselijk om enige tegendruk te bieden tegen deze steeds hoogwaardiger (cyber)criminaliteit. We zullen met elkaar de discussie moeten aangaan wat wij nu bij private partijen laten en waar de overheid zelf deze deskundigheid in huis zou moeten hebben.

Menno van Duin Lector Crisisbeheersing Instituut Fysieke Veiligheid

Van Duin is sinds 2010 lector bij het lectoraat Crisisbeheersing van het IFV waar men kennis en kunde ontwikkelt gericht op de verdere professionalisering van bestuurders, beleidsmakers en hulpverleners in de veiligheidsregio’s en de vitale sectoren. In samenwerking met andere partijen draagt Van Duin bij aan de verbetering van de kwaliteit van de crisisbeheersing. Hij is al 35 jaar actief in crisisbeheersing.

deel deze pagina: