Nederlandse burgers voelen zich online onveiliger dan op straat. Begrijpelijk, stellen Hans de Vries, directeur van het Nationaal Cyber Security Centrum (NCSC) en Anouk Vos, cybersecurity expert van Revnext. Ze leggen uit wat de rol van ABD’ers is in het veiliger maken van hun eigen organisatie en het beter beschermen van burgers.

Om maar met het grootste dilemma te beginnen: veel Nederlanders ervaren de online veiligheid als  een publiek goed. Maar het internet is internationaal en voornamelijk in handen van private bedrijven. ‘Op straat heb je een autoriteit: de politie kan daar de veiligheid waarborgen. Maar de overheid is niet de eigenaar van het internet en zit dus niet aan de knoppen’, stelt Anouk Vos. ‘Dus al zou je als overheid als een soort Ghostbusters de online criminaliteit willen oplossen, het kán simpelweg niet.’ Hoe bescherm je dat publieke goed dan? ‘De overheid staat uiteraard niet helemáál met lege handen als het gaat om versterking van de cyberweerbaarheid en de aanpak van cybercriminelen’, stelt NCSC-directeur Hans de Vries. ‘Het NCSC is inderdaad geen internetpolitie die op kan komen draven als er iets mis is. Maar we zijn wel een uniek centraal informatieknooppunt en expertisecentrum om de- kennis en kunde over cybersecurity zo snel mogelijk op de juiste plek te krijgen.’

Verdeeld speelveld

‘Nederland digitaal veilig proberen te houden doen we samen met het OM, de politie, AIVD, MIVD en publieke en private partners als DTC en Cyberveilig Nederland en verschillende stichtingen en internationale partijen’, zegt Hans. ‘Maar het is best een ingewikkeld vraagstuk. De snelheid van handelen door de overheid is vaak wettelijk gezien beperkt. Daarnaast verschillen wetten per land en dat levert een verdeeld speelveld op, wat efficiënte bestrijding niet altijd makkelijker maakt. Dat werkt helaas in het voordeel van criminelen, maar als overheid moet je nu eenmaal weloverwogen werken. Ik vind privacy voor elke Nederlander óók belangrijk en kan dus – gelukkig – niet zomaar in elke computer kijken.’

Terugslaan

Een ander dilemma in de bestrijding van cybercrime volgt uit de vraag in hoeverre je als overheid kunt en wilt terugslaan bij een aanval. Anouk ziet hierin een kansrijke rol voor de overheid: ‘De Cyber  Security Raad heeft vorig jaar een rapport over cyberweerbaarheid uitgebracht. Daarin staat dat cyberweerbaarheid niet alleen bewustzijn en bescherming vergt, maar ook opsporing van daders, vervolging én het afpakken van hun criminele winst. Heel belangrijk, want de pakkans voor daders is laag en hun winsten zijn hoog. Dat moet veranderen. Waarschuwen blijft belangrijk, maar terugslaan wordt in de komende jaren nog belangrijker en daarin kan de overheid een krachtiger rol pakken.’ Hans reageert: ‘Maar wie is er bevoegd om terug te slaan?’ In Nederland zijn dat enkel de politie en het OM, waarbij Anouk en Hans het erover eens zijn dat daar meer geld en middelen naar toe moeten gaan. Hans: ‘AIVD en MIVD hebben ook ruime bevoegdheden en werken ook over de grens. Maar je moet drie keer nadenken over hoe ver je wil gaan. Het kan vergaande consequenties hebben om een actie in een ander land uit te voeren. Ook dat is een dilemma.’

Goede voorbeeld

Naast het geven van voorlichting en waarschuwen voor kwetsbaarheden, zou de overheid online het goede voorbeeld moeten geven. Juist omdat de handhavingsmogelijkheden beperkt zijn, vindt Anouk. ‘In Duitsland heeft hun Autoriteit Persoonsgegevens geadviseerd om alle overheidspagina’s van Facebook af te gooien. Ik vind dat een goed idee, net zoals de overheid volgens mij niets te zoeken heeft op het openbare riool dat Twitter heet. Als de overheid zich oprechte zorgen maakt over desinformatie en privacy, zorg dan minimaal voor een betrouwbaar overheidskanaal.’

Meer veiligheid afdwingen

De overheid dwingt sinds enige jaren steeds meer cyberveiligheid af door eisen te stellen aan  apparatuur en software die in Nederland gebruikt wordt. ‘De Roadmap Digitaal Veilige Hard- en Software van EZK stuurt op de goede ontwikkeling dat hardware en software pas op de markt mag komen als het volwassen en veilige technologie is’, zegt Hans. ‘Nu komt het nog veel te vaak voor dat kwetsbaarheden en andere problemen het probleem van de gebruiker zijn. Door het uitvoeren van de acties uit de Roadmap en Rijksinkoopbeleid krijgt de leverancier daarvoor meer verantwoordelijkheid. Bovendien kijken we zeer kritisch naar apparatuur die gemaakt wordt in landen met een offensief  cyberprogramma tegen Nederland. Rusland, China, Noord-Korea en Iran zijn zulke landen. En de Europese richtlijn NIS2 komt eraan. Die dwingt bedrijven en overheden tot betere beveiliging. Heel veel processen die verbonden zijn met de vitale infrastructuur of andere essentiële delen van de  samenleving zullen onder verscherpt toezicht komen wat betreft hun cyberveiligheid.’

Rol ABD'ers

ABD’ers kunnen volgens Hans een belangrijke rol spelen in het verbeteren van de cyberweerbaarheid. ‘Je zit in een positie om signalen vanuit de maatschappij, het bedrijfsleven en medeoverheden op te pikken. Daarnaast heb je een strategische functie binnen de overheid met veel mogelijkheden om de digitale veiligheid daadwerkelijk te verbeteren. Bijvoorbeeld bij het bouwen van een veilige ICT-omgeving voor onze burgers. Denk daarbij goed na over de vraag welke data en informatie je wel en juist niet wilt koppelen. En of het nu eigen infrastructuur betreft of apps voor de burger: met een goede offline backup-strategie en multifactor-authenticatie kun je veel ellende voorkomen, begin daar in elk geval mee. DigiD en de app Coronacheck zijn goed voorbeelden: ze zijn eenvoudig in gebruik én heel veilig. Maar er zijn nog veel overheidsdiensten waar dit niet de praktijk is en dat zou echt wel moeten. ABD’ers moeten daarin het stuur pakken en er iets aan doen. We moeten dit echt bovenaan de agenda zetten.’ Anouk voegt daaraan toe: ‘Denk na over de vraag of jouw organisatie genoeg kennis en kunde heeft om dit vraagstuk het hoofd te bieden. En als dat niet zo is: haal het in huis! Bijvoorbeeld door gebruik te maken van het cybersecurity traineeship dat NCSC en BZK samen organiseren.’’ Hans besluit: ‘We werken met heel veel partijen samen, ook interdepartementaal. Ik merk dat de kennis over cybersecurity te beperkt is. Collega-ABD’ers kunnen hun voordeel doen met de expertise binnen het NCSC. Maak daar vooral gebruik van!’

Drie cybersecurity trends

  1. Vorig jaar werden meer Nederlanders slachtoffer van cybercriminaliteit dan van traditionele  criminaliteit. Anouk Vos: ‘De cyberdreiging neemt toe en voor het eerst voelen Nederlandse burgers zich online onveiliger dan op straat. Uit de Veiligheidsmonitor van het CBS blijkt dat 17 procent van de Nederlanders van 15 jaar of ouder vorig jaar te maken had met cybercrime.’
  2. Een andere ontwikkeling is dat cyber warfare en traditionele oorlogsvoering met elkaar verweven zijn. Specialisten hebben hier lang voor gewaarschuwd, maar we zien het nu onder onze neus  gebeuren en voelen het ook. De oorlog in Oekraïne is een hybride oorlog’, weet Anouk. ‘Toen de Russische troepen door Belarus opmarcheerden per trein, zijn er digitale aanvallen uitgevoerd op de trein-ict-infrastructuur in Belarus.’
  3. Cybercriminaliteit is, veel meer dan vroeger, verweven met traditionele criminaliteit. Anouk: ‘De spreekwoordelijke nerd op de zolderkamer is er amper meer. We hebben nu te maken met doorgewinterde criminelen die ook bezig zijn met drugs en wapens. En er is vermenging van statelijke actoren en criminele actoren. Cybercrime is helaas mainstream geworden.’
Alex de Joode - AMS-IX
Alex de Joode, AMX-IX

‘Breder delen van dreigingsinformatie is hard nodig’

Amsterdam Internet Exchange (AMS-IX) is een van de grootse internetknooppunten ter wereld. Het knooppunt bevat meer dan 875 aangesloten  netwerken waarin dus in principe letterlijk aan de knoppen van het internet kan worden gedraaid. Alex de Joode, eindverantwoordelijk voor Legal & Regulatory, Compliance en Risk Management, inclusief cyber security, bij AMS-IX, legt uit dat kunnen niet hetzelfde is als mogen. Als het gaat om cybersecurity is er volgens Alex vooral behoefte aan meer toegang tot dreigingsinformatie. ‘Voor ons is het met name heel belangrijk dat actuele dreigingsinformatie bij onze klanten, de internetproviders zoals T-Mobile en Ziggo, kan komen. Zelf mogen wij niet in het internetverkeer van onze klanten kijken. En eerlijk gezegd: met elf terabyte aan data-uitwisseling per seconde is het onmogelijk om elke cyberaanval af te weren. Ik denk dat het NSCS de aangewezen partij is om deze informatie te verzamelen en te delen. Maar het NCSC heeft slechts twee doelgroepen wanneer het gaat om het delen van dreigingsinformatie: de rijksoverheid zelf en bedrijven in de vitale sector. Dat is bij wet geregeld. Het betekent dat wij wél dreigingsinformatie ontvangen, maar we mogen die niet delen met onze klanten. Ik vind het een lacune in de wet dat “gewone” bedrijven niet dezelfde  dreigingsinformatie krijgen van de overheid. Het doel is immers om Nederland veiliger te maken. Het uitbreiden van de NCSC-doelgroep naar heel Nederland is naar mijn mening hard nodig. In de  tussentijd werken we via het onlangs opgerichte Nederlands Security Meldpunt aan het opzetten van zo’n systeem.’