Kracht en toegevoegde waarde CSR

In de afgelopen tien jaar heeft de raad verschillende adviezen en producten uitgebracht. Wat is het belang van de raad en de adviezen die jullie hebben uitgebracht volgens u?
 

Pieter-Jaap: “Over het geheel genomen is tien jaar kort, maar de digitalisering van de samenleving zit midden in een enorme versnelling. Als raad zijn we hier onderdeel van. En terwijl in het umfeld van alles verandert en in beweging is, zie ik binnen de raad een constante: we kijken al tien jaar lang vanuit een meervoudig perspectief en vanuit een bepaalde gelijkwaardigheid naar digitalisering. Privaat, wetenschap en publiek zit met elkaar aan tafel en vanuit ieders eigen verantwoordelijkheid proberen de leden tot een gezamenlijke duiding en tot goede adviezen te komen. Die samenwerking werkt, omdat partijen zien dat ze vanuit hun expertise iets toevoegen aan het geheel. Die werkwijze is internationaal uniek en van grote waarde.”

Michel: “De CSR is inderdaad uniek. Dat komt inderdaad door de samenstelling publiek, privaat en wetenschap. De overheid zit zelf ook in de raad en adviseert daarmee in feite zichzelf. Dat is ongebruikelijk, maar het is tegelijkertijd onze kracht. We moeten samen tot een advies komen en kunnen bepaalde zaken niet doorschuiven naar een andere partij. Dan kom je tot een ander resultaat dan wanneer de overheid bijvoorbeeld zelf een advies schrijft op basis van extern opgehaalde kennis en expertise. De leden schrijven de adviezen echt samen en zelf, wat uniek is voor mensen in deze posities. Ook de openheid van de gesprekken in de raad is bijzonder. De kracht daarvan zie je terug in de adviezen.”

Sylvia: “Absoluut, de kracht van de raad zit in de verschillende perspectieven, visies en invalshoeken. Onderlinge discussies leiden tot nieuwe inzichten en verrijken onze adviezen. Waarbij iedereen hetzelfde doel voor ogen heeft: verbetering van de digitale veiligheid.”

Pieter-Jaap: “Alle leden zitten in de raad om Nederland digitaal veilig te maken. We dienen dus ons algemene belang. Door de unieke samenstelling van de raad (publiek-privaat-wetenschap) is het mogelijk om prioriteiten, knelpunten en incidenten vanuit diverse invalshoeken strategisch te benaderen en een integrale visie op kansen en bedreigingen te ontwikkelen en advies uit te brengen.”

Speerpunten advies & plannen kabinet

Een van de meest recente adviezen die de raad heeft uitgebracht is het CSR Adviesrapport ‘Integrale aanpak cyberweerbaarheid’. Wat is de belangrijkste kernboodschap uit dit adviesrapport voor het huidige kabinet?

Pieter-Jaap: “De titel van het adviesrapport zegt het al: we moeten toe naar een integrale aanpak. Ons advies is fundamenteel, want met de toevoeging en doorontwikkeling van het digitale element staan we voor een totale nieuwe infrastructuur van onze samenleving. Die infrastructuur moet goed en veilig zijn en de zwakkeren beschermen. We leren steeds meer over de combinatie online en offline. Het belang ervan is de afgelopen jaren door de coronacrisis alleen maar toegenomen. Dat maakt dat je vanuit een breder perspectief naar digitalisering moet kijken. Het gaat niet alleen over cybersecurity, maar over de vraag hoe we onze samenleving met deze digitale infrastructuur op een veilige manier gaan inrichten. Het digitale landschap is nu nog te erg versnipperd.”

Michel: “Dat klopt, al is versnipperd misschien niet helemaal het juiste woord: het suggereert dat er ooit een geheel was. Als je de digitale wereld zou vergelijken met individuele bomen in een jong bos, is het nu zaak de bomen er bewust van te maken dat ze samen een bos vormen. Opleiden van experts is onderdeel van de integrale aanpak waar we voor staan. Ook daar is een flinke investering nodig: er is een schreeuwend tekort aan gekwalificeerde mensen. Ze worden door andere landen zo’n beetje bij ons uit de schoolbanken weggerukt. Er is extra inspanning nodig om de tekorten niet verder op te laten lopen en onze kennispositie en digitale autonomie te behouden. Want als we zelf niet over de nodige kennis beschikken, zijn we overgeleverd aan het buitenland. De afgelopen jaren is er het een en ander aan middelen vrijgekomen. Dat heeft geleid tot relevant en goed onderzoek, maar de organisatie is nog erg ad hoc. Hoe gaat het verder als straks al die PhD’s zijn afgerond?”

Sylvia: “Cybersecurity moet topprioriteit zijn. Digitalisering is pas een succes als we niet alleen de veiligheid kunnen garanderen voor bedrijven en organisaties, maar ook voor individuen. Een integrale benadering en eenduidig beleid is inderdaad noodzakelijk, echter is daarvoor wel een forse investering nodig: minimaal 833 miljoen euro, zoals terug te lezen is in ons adviesrapport ‘Integrale aanpak cyberweerbaarheid’. Ik zie in het coalitieakkoord hoopvol stemmende zinnen over een centraal gecoördineerde en structurele samenwerking tussen overheid, bedrijfsleven en wetenschap. Tegelijkertijd zie ik nog een groot gat tussen de investeringen die wij adviseren en de investeringen die worden voorgesteld. Om Nederland ook in de toekomst een open, vrije en welvarende samenleving te laten zijn moet het nieuwe kabinet hiermee aan de slag.”

Pieter-Jaap: “Digitalisering komt inderdaad veel naar voren in het akkoord. De aanstelling van een staatssecretaris Digitalisering en de instelling van een vaste Kamercommissie voor Digitale Zaken zijn een stap in de goede richting. Op financiën is er helaas geen apart blokje voor digitalisering. Daar kunnen we nog een stap in zetten.” 

Blik in de toekomst

Wat zijn, naast de hiervoor genoemde aandachtspunten, de belangrijkste toekomstige uitdagingen op gebied van digitalisering en digitale veiligheid? En welke rol zien jullie daarbij voor de CSR weggelegd?

Michel: “Ik denk dat onze agenda de eerste paar jaar te veel werd bepaald door wie er naar ons toekwam. We kregen pas in een laat stadium de beleidsplannen te zien en werden dan als een soort stempelpost gevraagd om goedkeuring. Inmiddels worden we eerder in het proces betrokken. De raad is nu meer sturend en autonomer geworden en er is meer ruimte om vooruit te denken over de grote vragen waar het beleid nog niet op voorgesorteerd is. Nu is dat bijvoorbeeld: encryptie. Een heet hangijzer waar publiek en privaat uiteenlopende meningen over hebben. Terwijl buiten de raad het debat daardoor totaal vastligt, gaan we binnen de raad het gesprek aan. Juist omdat de raad een van de weinige plekken is waar je zulke gevoelige gesprekken kan voeren. Iedereen voelt de urgentie van het gesprek en we moeten kijken hoever we samen komen.”

Sylvia: “Het feit dat we in Nederland koploper op het gebied van digitalisering zijn, is een mooie basis. Maar ik zie nog wel uitdagingen, bijvoorbeeld in het ontsluiten van data op een verantwoorde manier. Voor technologieën als kunstmatige intelligentie zijn nu eenmaal grote hoeveelheden ontsloten data nodig. De wetgeving zou op Europees niveau geharmoniseerd moeten zijn, maar is in de praktijk op uitvoeringsniveau nog versnipperd. Ook is een verdere verheldering van een aantal dataprotectie- concepten, zoals anonimisering, noodzakelijk. Ik maak me in dat kader zorgen over een level-playing field, zowel binnen Europa als ten opzichte van de rest van de wereld. We moeten voorkomen dat we op achterstand komen te staan. Onderaan de streep geldt dat digitale veiligheid van het grootste belang is, alle kansen en mogelijkheden om innovaties te bereiken hangen daarvan af.”

Pieter-Jaap: “De ontwikkelingen gaan zo snel, dat we als raad pro-actiever moeten zijn. We moeten meer vooruitkijken naar wat er op ons afkomt en nagaan of we daar goed op zijn voorbereid. Nieuwe technologieën brengen ook nieuwe dilemma's met zich mee. De CSR kan die in kaart brengen en oplossingsrichtingen meegeven, zonder direct een oplossing te benoemen. Cybersecurity gaat niet meer puur over hardware en software. Het gaat ook over anders kijken naar data en wat het grootschalig gebruik daarvan voor de samenleving betekent. Hoe bescherm je als overheid je burgers? Dit moet samen met de wetenschap en private sector worden opgepakt. Al die samengestelde issues, daar moet de CSR de komende jaren uit zichzelf stappen in gaan zetten.”

De vaste Kamercommissie voor Digitale Zaken is opgericht na een aanbeveling van de tijdelijke commissie Digitale Toekomst, bedoeld om de Kamer meer greep te laten krijgen op de ontwikkelingen in de digitale wereld. ‘’We hebben een specialistische en een horizontale functie. Dit betekent dat we ons echt bekwamen in het thema en namens de Kamer dit thema behandelen. Maar tegelijkertijd spelen we ook een verbindende rol, omdat digitalisering zo’n breed onderwerp is wat op alle beleidsterreinen een rol speelt, waarbij we Kamerbreed informatie over de digitale wereld delen. Dit kun je vergelijken met de functie van de commissie Rijksuitgaven, die de Kamer informeert over hoe je begrotingen afleest bijvoorbeeld.’’

De precieze invulling van de commissie was bij de oprichting nog niet gedefinieerd, dat was de eerste opdracht. ‘’Ik heb toen gezegd dat we rustig moeten bezinnen: wat willen we als commissie betekenen? Het risico bij een breed onderwerp als de digitale wereld is dat je het putje wordt van álle digitale zaken. Maar als het gaat over digitale toepassingen in de klas, moet dit vooral een zaak zijn voor onderwijsspecialisten. Terwijl een discussie over algoritmen wel van een niveau is wat de commissie naar zich toe mag trekken.’’

Bij de oprichting van de Kamercommissie zochten de leden naar consensus onder de partijen. In een vertrouwelijke omgeving voerden ze gesprekken met experts en brainstormden ze over de basis van de commissie. Hieruit volgden zes fundamentele thema’s voor de commissie, zie kader voor meer uitleg over deze thema’s. ’’Met deze zes aandachtsvelden laten we zien waar wij als commissie prioriteit aan geven, maar ze zeggen niks over de onze standpunten. We zeggen dat de Kamer hier een visie over moet vormen, dat gebeurt via een debat tussen de partijen. Wij als commissie zorgen ervoor dat het debat überhaupt gevoerd wordt.’’

Staatssecretaris Digitalisering

Het nieuwe kabinet heeft voor het thema digitalisering zelfs een staatssecretaris benoemd. Sinds januari is Alexandra van Huffelen staatssecretaris Koninkrijksrelaties en Digitalisering. Renske Leijten benadrukt dat de commissie hierover geen standpunt heeft, maar dat zij persoonlijk positief aankijkt tegen een bewindspersoon op dit onderwerp. ‘’Mits ze ook echt een mandaat vanuit het kabinet heeft, waarmee ze ook daadwerkelijk met de benodigde slagkracht aan de gang kan.’’

Volgens het SP-Kamerlid is de benoeming van een staatssecretaris rondom het onderwerp digitale zaken niet het belangrijkste. ‘’Het gaat er om dat binnen de hele overheid moet worden gekeken naar de structuur van digitale toepassingen, hoe gaan we hier als departementen, overheidsorganisaties en lokale overheden mee om? Er zijn al information officers en functionarissen gegevensbescherming binnen de overheid, maar deze hebben nog niet de prioriteit die wel nodig is. De staatssecretaris is hopelijk degene die ervoor kan zorgen dat mensen met deze functies op een belangrijke plek in de organisatie terechtkomen.’’

Wat in de commissie wel breder leeft, is het risico wat het benoemen van zowel een Kamercommissie als Staatssecretaris voor Digitale Zaken met zich meebrengt. ‘’Partijen en andere departementen moeten niet gaan achteroverleunen met het idee dat alle problemen rond digitalisering nu worden opgelost. De problemen zitten overal en zijn te urgent om af te schuiven.’’

De Nederlandse maatschappij is op allerlei vlakken afhankelijk van de digitale communicatie. De veiligheid van deze infrastructuur is onder andere van belang voor ons welzijn, de economie en de democratie. Wat opvalt in deze markt is de dominantie van enkele buitenlandse techbedrijven, die ook nog eens niet-Europees zijn. ‘’Dit is inderdaad een ontwikkeling die we als commissie signaleren en die verweven zit in de aandachtspunten die we op hebben gesteld. Maar nogmaals: de commissie heeft geen standpunt op de manier hóe we hier mee om moeten gaan. We faciliteren het debat door thema’s te agenderen, maar het inhoudelijke debat moet in de Tweede Kamer gevoerd worden.’’

Vanuit de commissie Digitale Zaken worden rapporteurs naar het buitenland gestuurd om daar te onderzoeken hoe andere overheden omgaan met deze vraagstukken. Door corona is dit niet helemaal volgens plan gelopen. Maar volgens Leijten gaat dit in 2022 weer veel gebeuren en wordt de Europese samenwerking steeds beter.

Digitalisering gaat iedereen aan

Voor veel jonge mensen is de digitale wereld heel normaal. Maar het gros van de bevolking is niet opgegroeid met internet, smartphones en DigiD. Leijten herkent dit en pleit dan ook voor helderder taalgebruik als we het hierover hebben. “Het begrip cybersecurity alleen is al voor veel mensen onbegrijpelijk. Terwijl het simpelweg gaat over een veilige digitale wereld, iets wat impact heeft op het dagelijkse leven van elke Nederlander. Veel mensen hebben door te moeilijk taalgebruik niet door dat het ook over hún leven gaat, als we praten over cybersecurity, algoritmes en ransomware.’’

Het gesprek over cybersecurity (of digitale veiligheid) moet toegankelijker worden gemaakt volgens Leijten. De oplossing ligt daarbij volgens haar niet bij het optuigen van een heel nieuw instituut rondom de Nationale Coördinator Digitalisering, wat volgens haar te veel tijd en geld kost. Terwijl het juist nu belangrijk is om snel stappen te zitten, want alle sectoren gaan steeds meer te maken krijgen met digitalisering en alle uitdagingen die daarbij komen kijken. Het Landelijk Dekkend Stelsel van informatieknooppunten (LDS) kan al een belangrijke rol vervullen. ‘’Ontwikkel zo’n stelsel vanuit wat er al bestaat, breng al het goede samen en maak daar binnen informatiedeling zo makkelijk mogelijk. Tegelijkertijd moeten we ervoor zorgen dat digitale veiligheid op alle departementen prioriteit heeft. Als die twee punten goed geregeld zijn, kun je een digitale infrastructuur bouwen waar kennis, ervaringen maar ook waarschuwingen met op een veilige en efficiënte manier met elkaar gedeeld worden.’’

Verantwoordelijkheid

Er moeten grote politieke keuzes worden genomen, die duidelijke maatschappelijke impact gaan hebben. De discussie hierover moet gevoerd worden, maar volgens Leijten moet de focus daarvan niet op het individu liggen. ‘’Op die manier zou je de verantwoordelijkheid bij de consument leggen en niet bij de politiek en grote bedrijven. Terwijl ik vind dat burgers uit moeten gaan van het voorzorgsprincipe van de overheid. Wij moeten, samen met de private sector, ervoor zorgen dat het digitale systeem veilig te gebruiken is. Als jij je aan de regels houdt en niks geks doet, moet het niet zo zijn dat het alsnog heel fout gaat. Denk dan aan het lekken van privégegevens of scams waar teveel mensen nog steeds intrappen.’’

De oplossing ligt volgens haar bij het weghalen van het verdienmodel voor criminelen. Dit kan alleen met genoeg capaciteit om te monitoren én te handhaven. En hiervoor zijn dan weer duidelijke wettelijke kaders nodig. ‘’Dit zijn vraagstukken die in Den Haag nog lang niet goed genoeg zijn besproken, er ligt dus nog een hele taak op ons te wachten. En ja, dit is ook een Europese discussie, want de digitale wereld kent geen landsgrenzen. De capaciteitstekorten binnen onze veiligheidsorganisaties zijn groot. Dit moet topprioriteit zijn voor het nieuwe kabinet. Hier ben ik niet heel optimistisch over.’’

Toch is de eerste stap die de Kamer gezet heeft een goed begin. De commissie zorgt ervoor dat digitalisering als overkoepelend vraagstuk wordt behandeld. Tegelijkertijd zorgde deze stap ook voor een ander inzicht: ‘’We zijn als commissie enorm geschrokken van het kennisniveau binnen de overheid dat enorm laag is. Als overheid moeten we ervoor zorgen dat de kennis in huis komt en blijft. Dit hoeft niet alleen met financiële middelen worden gerealiseerd. We moeten zorgen dat de overheid een aantrekkelijke werkomgeving is waar mensen beseffen dat ze echt maatschappelijke impact maken met hun werk.’’ 

Lokke Moerel, lid van de Cyber Security Raad (CSR) namens de wetenschap: "In Europa is de urgentie echt doorgedrongen en dat zien we ook in de landen om ons heen. Zo is digitale soevereiniteit in Duitsland inmiddels Chefsache. Als we in Europa een gesprekspartner willen zijn, zullen we op nationaal niveau een aantal stappen moeten zetten. Uitgangspunt daarbij dient te zijn: sterk in eigen huis, sterk in Europa, sterk in de rest van de wereld.” Gerrit van der Burg, lid van de CSR namens de publieke sector: “In Nederland staat dit onderwerp nog onvoldoende op de politieke agenda en wordt cybersecurity tot nog toe vooral reactief aangepakt. We reageren in crisismode en vrijwel niet vanuit het bredere perspectief van strategische autonomie. Dat moet echt anders."

Volgens Moerel en Van der Burg is Nederland een van de meest gedigitaliseerde landen. De coronacrisis heeft dit proces verder versneld. “Er ontstaan daardoor steeds meer nieuwe afhankelijkheden en kwetsbaarheden”, stelt Van der Burg. “De cyberdreigingen nemen toe en we worden steeds afhankelijker van de digitale infrastructuur die in handen is van een beperkt aantal grote buitenlandse marktspelers. Dit kan grote gevolgen hebben voor onze nationale en economische veiligheid en daarmee het verdienvermogen van Nederland.” Moerel: “De hamvraag is hoe behouden we als Nederland ook in de digitale wereld controle over onze essentiële economische ecosystemen en democratische processen. “

Nieuwe technologieën zetten onze digitale soevereiniteit onder druk

Gebrek aan controle over kritische technologieën resulteert in nieuwe afhankelijkheden. Zo is de huidige encryptie niet bestand tegen de rekenkracht van de toekomstige kwantumcomputers. Moerel en Van der Burg vinden dat we nu moeten innoveren om onze kritische informatie ook in de toekomst te kunnen beschermen. Dat is niet alleen relevant voor toekomstige informatie, maar ook voor onze huidige informatie. Moerel: “Vergeet niet dat sommige vreemde staten stelselmatig onze versleutelde communicatie onderscheppen in de verwachting die later met kwantumcomputers te kunnen ontsleutelen en te analyseren met behulp van kunstmatige intelligentie, ofwel AI.” Van der Burg: “We zien criminelen op grote schaal automatisch kwetsbaarheden in software opsporen en exploiteren. We zullen echt moeten innoveren om de cybercriminelen een stap voor te blijven.”

“Inmiddels staat nagenoeg alle data van Nederlandse overheden, bedrijven en personen in de cloud van een handjevol buitenlandse aanbieders”, vervolgt Moerel. “Als we onszelf tien jaar geleden hadden gevraagd of dit in principe een goed idee zou zijn, zou je geen voorstanders vinden. Als een van deze bedrijven uitvalt, is het net alsof de elektriciteit uitvalt, dan liggen hele sectoren van onze economie stil. We zouden nooit de switch van ons elektriciteitsnetwerk in handen van een buitenlandse partij geven. Van der Burg: “De situatie op het gebied van opsporing van digitale criminaliteit is net zo fragiel. We zijn voor strafrechtelijk onderzoek deels afhankelijk van de medewerking van enkele buitenlandse spelers. Als deze geen medewerking geven of dit te lang duurt, omdat het hoofdkantoor eerst goedkeuring moet geven, leidt dat ertoe dat wij ons werk niet goed kunnen doen. We zien in de praktijk dat dit ons te afhankelijk kan maken, hetgeen gevolgen heeft voor onze rechtsstaat en de positie van slachtoffers.”

Data als wapen: Ook TikTok is een kwestie van nationale veiligheid

Moerel stelt dat het niet alleen gaat over de afhankelijkheden voor de bedrijfsvoering en publieke taken. “Het gaat ook over wat andere staten met de informatie over onze burgers en bedrijven kunnen. Inmiddels beschouwen China en de Verenigde Staten toegang tot elkaars data als een kwestie van nationale veiligheid. Er werd lacherig over gedaan toen voormalig president Trump de TikTok-app had verbannen uit de Amerikaanse app stores, maar inmiddels heeft ook President Biden een Executive Order uitgevaardigd die het mogelijk maakt om doorgifte van gevoelige gegevens van Amerikaanse burgers naar China te voorkomen. China heeft inmiddels ook een export verbod op important data, waaronder ook data valt die het leven, wonen en werken van Chinese burgers in kaart kan brengen. Ook verbood China onlangs de DiDi-app (de Chinese Uber) uit de Chinese app stores toen dit bedrijf een beursnotering in de Verenigde Staten kreeg. We moeten hier echt naar kijken. Onze privacy-wetten beschermen wel de individuele privacy van burgers maar niet onze collectieve data. Ik durf inmiddels de stelling wel aan dat de TikTok-app inderdaad een kwestie van nationale veiligheid is.”

De CSR heeft onlangs adviezen uitgebracht over een ‘Integrale aanpak cyberweerbaarheid’ en ‘Nederlandse Digitale Autonomie en Cybersecurity’. Belangrijkste constatering van de raad is dat cybersecurity tot nog toe vooral technisch en reactief wordt aangepakt en vrijwel niet vanuit het bredere perspectief van strategische autonomie. Moerel: “Doordat de soevereiniteitsvraag steeds meer gebieden van economie, maatschappij en democratie raakt, dient aansturing centraal plaats te vinden, maar als raad zien we dat de benodigde integratie van beleid ontbreekt. In een eerder advies constateerden we al dat we als Nederland op dit moment onvoldoende inzicht hebben in onze nieuwe afhankelijkheden en daardoor niet in staat zijn om voldoende proactief gecoördineerd technologiebeleid te kunnen voeren op het gebied van onderzoek, valoratie en industriële capaciteiten. Kortom, het huidige reactief handelen dient te worden gecombineerd met proactief monitoren en anticiperen.  Dit vergt sturing vanaf het hoogste niveau.”

Digitale autonomie chefsache

Volgens Van der Burg en Moerel moet de verantwoordelijkheid voor digitale autonomie dus op het hoogste politieke- en ambtelijke niveau worden belegd. Van der Burg: “Het moet in feite permanent onderwerp van gesprek zijn op het hoogste niveau: in de politiek, bijvoorbeeld de ministerraad, en ook in het bedrijfsleven. We moeten dagelijks bezig zijn om voor Nederland grenzen te trekken en onze onafhankelijkheid te bewaken.” Moerel: “Op dit moment heeft digitale autonomie wel de aandacht van de ministeries van Binnenlandse Zaken en Koninkrijksrelaties, Economische Zaken en Klimaat en Justitie en Veiligheid, maar er wordt te veel in silo’s gewerkt. We moeten een eenduidig beleid hebben, alleen dan kunnen we ook als Nederland een bijdrage leveren in Europa. Als je niks meebrengt aan tafel ben je ook geen volwaardige gesprekspartner.” Op de vraag wat digitale autonomie kost en welk land vooroploopt, antwoordt Van der Burg: “Het is lastig om de situatie in verschillende landen met elkaar te vergelijken. Daarvoor lopen onder meer uitgangsposities te ver uiteen. We zouden wel een voorbeeld kunnen nemen aan het Verenigd Koninkrijk, waar structureel budget wordt gereserveerd voor het bewaken van de digitale autonomie. Een vast percentage van het bruto binnenlands product (bbp) zou ook in Nederland verstandig zijn.”

Europese tech

Hoewel de afhankelijkheden van buitenlandse aanbieders op dit moment groot zijn, ziet de CSR geen reden tot fatalisme. Moerel: “Techinnovaties gaan altijd in golven en er is altijd weer een nieuwe golf. Er is veel mogelijk als we goed investeren. Het besef groeit dat we alternatieven nodig hebben. Laten we vooral gericht innoveren en samenwerken on dit te bereiken, waardoor tevens een gericht beroep kan worden gedaan op Europese cofinanciering.” Van der Burg: “Daarmee samenhangend moeten we ook zorgen dat we voldoende zicht hebben op wat er allemaal in onze eigen techscene gebeurt. Het mag eigenlijk niet gebeuren dat we min of meer verrast worden door de verkoop van bijvoorbeeld een kritisch internetbeveiligingsbedrijf. Kroonjuwelen moet je zien te behouden voor Nederland. Ook moeten we de ontwikkeling van startups goed monitoren en ervoor waken dat nieuwe technologieën worden misbruikt door criminelen.”

GAIA-X

In het CSR-advies ‘Nederlandse Digitale Autonomie en Cybersecurity’ wordt onder andere gesproken over het GAIA-X-project, dat is geïnitieerd door Duitsland en Frankrijk. Moerel: ik zie dat vaak wordt gedacht dat de bedoeling van GAIA-X is om onze eigen Europese cloudspeler op te zetten. Dit is echter niet het doel van GAIA-X. Het doel is tot schaalbaarheid van de cloudinfrastructuur in Europa te komen door interoperabiliteit tussen de verschillende clouddiensten te realiseren. Dit wordt bereikt door het stellen van gemeenschappelijke technische standaarden en juridische kaders voor de digitale infrastructuur. Deze vorm van interoperabiliteit gaat dus verder dan portabiliteit van data en applicaties van de ene naar de andere leverancier ter voorkoming van vendor lock-in; het betreft echt het creëren van open API’s, interoperabiliteit van sleutel beheer bij encryptie, eenduidig identity & access management, etc. Na aanvankelijke aarzeling, zien we dat inmiddels een Nederlandse coalitie actief aan dit project bijdraagt. Ik ben zelf betrokken bij een interessante Europese use case op het gebied van energie. Het begint echt te komen in Europa.” Van der Burg: “Ik zie GAIA-X ook wel als voorbeeld voor betere interoperabiliteit van andere producten en processen. Ook op het gebied van opsporingsmogelijkheden en technieken. Nederland is al behoorlijk goed op het gebied van hightech opsporing, maar het helpt natuurlijk als we heel Europa meekrijgen. We moeten meer Europese slagkracht ontwikkelen en komen tot uniforme aanpakken.”

Digitale autonomie blijft op agenda CSR

Van der Burg: “Digitale autonomie blijft nog wel even op de agenda van de CSR. De technische en geopolitieke ontwikkelingen gaan zo snel dat we hier de vinger aan de pols houden. Digitale autonomie dient ook – evenals cybercrimebestrijding -  een aparte plek te krijgen in het jaarlijks gepubliceerde Cybersecuritybeeld Nederland.” Moerel vult aan: “De raad verdiept zich de komende tijd in het vraagstuk hoe onze collectieve data door vreemde mogendheden kan worden ingezet als wapen en hoe we ons daar beter tegen kunnen beschermen. Ander onderwerp op de agenda is hoe we burgers meer controle over hun data kunnen geven door een betrouwbare universele Nederlandse digitale identiteit. Op een aantal onderdelen van ons advies inzake digitale autonomie zijn inmiddels de eerste stappen gezet, zoals het verhogen van de bewustwording van strategische autonomie in cybersecurity en het verbeteren van het Nederlandse valorisatie en innovatieklimaat. Onderdeel van het advies van de CSR was een handreiking 'Toetsingskader digitale autonomie en cybersecurity', dat inmiddels door het ministerie van Economische Zaken en Klimaat wordt geoperationaliseerd.”

Snijvlak van geopolitiek en technologie

Groothuis werkt al bijna twee jaar in Brussel. “Ik houd mij bezig op het snijvlak van geopolitiek en technologie en dan specifiek over nieuwe dreigingen. Daarvoor was ik zeven jaar werkzaam bij Defensie als hoofd cybersecurity. In het parlement heb je iemand nodig die een wetgevingsdossier trekt en dat noem je een rapporteur. Op basis van de inhoud probeer ik dan een meerderheid te vinden. Die rol bevalt mij ook goed. Daar kan ik al mijn ideeën en expertise over cybersecurity in kwijt.”

Forse uitbreiding

Hij las de adviezen vanuit de Cyber Security Raad en negen van de tien zag hij ook terugkomen in de NIS2, de richtlijn voor cybersecurity vanuit Brussel. “De NIS2 is dus de richtlijn die straks wetgeving wordt in Nederland, maar ook in de andere 27 lidstaten. We hebben al wetgeving uit 2016, de NIS, maar die mankeert. Deze verschilt namelijk per land, waardoor je moet voldoen aan andere richtlijnen. De NIS2 is dus een update en deze is een stuk ambitieuzer. De vorige keer was er nog discussie of Europa hier überhaupt iets te zeggen had over cyberweerbaarheid. Dat is echt water under the bridge.”

De richtlijn moet dus vooral ambitieuzer, maar op welke vlakken gaat dit gebeuren? Groothuis ziet veranderingen op drie terreinen: “Allereerst is er een forse uitbreiding van de scope. Het aantal bedrijven en entiteiten dat we eerst vitaal noemden, gaan we nu betitelen als ‘important and essential’. Het is afhankelijk van de dienstverlening die jij aanbiedt aan de samenleving. Als je meer dan 50 medewerkers hebt en meer dan 10 miljoen euro omzet, ben je onderdeel van deze scope. Ben je kleiner, maar lever je essentiële dienstverlening, zoals een clouddienst, dan behoor je er ook toe. Je moet dan bepaalde cybersecurity-maatregelen treffen, bijvoorbeeld een meldplicht bij incidenten of dreigingen. Door deze wijziging gaan we naar zo’n 160.000 entiteiten in Europa.

Het tweede gaat over de informatie-uitwisseling. Sinds de introductie van de General Data Protection Regulation (GDPR) (AVG in Nederland) is er veel twijfel over aansprakelijkheid. Mag je persoonsgegevens wel delen? Kun je achterhalen waar domeinen geregistreerd staan? Daar willen we met de NIS2 een juridische basis voor bieden. Zodat ook internationale bedrijven en overheden onderling weer gegevens kunnen uitwisselen. Dat is heel erg belangrijk voor de cybersecurity-community en dat is waar ik het uiteindelijk voor doe, zodat zij zich vertegenwoordigd voelen in Brussel.”

Cybersecurity in de boardroom

“Ten derde gaan we cybersecurity chefsache maken, zoals ook de Cyber Security Raad adviseert. Een mooi Duits woord, wat betekent dat het een onderwerp is wat besproken moet worden op tafel bij de chef, in de boardroom op CEO-niveau. We hebben nu bedacht om het senior management persoonlijk aansprakelijk te stellen. Er zit een boete in: 2% van je jaaromzet als je echt aantoonbaar niet je maatregelen hebt getroffen. Waarom 2%? Bij een ransomware-aanval wordt vaak 2% van je jaaromzet geëist. Daarom komt straks de keuze: geef ik het aan die ransomware-aanvallers uit Rusland, geef ik het als boete aan de overheid of investeer ik dat bedrag in veiligheid en cybersecurity?”

Europa moet proactief handelen

Cyberweerbaarheid staat dus steeds hoger op de agenda in Europa. Groothuis ziet de NIS als de basis, maar er zijn nog meer initiatieven om cyberweerbaarheid te verhogen. “Het tweede is de introductie van de Cyber Resilience Act. Dat is een puzzelstukje wat nog mist en dat gaat over connected devices, oftewel apparaten die kunnen verbinden met het internet. Je kunt straks software- en hardware-ontwikkelaars persoonlijk aansprakelijk stellen voor slechte producten. Bij het derde – en dat vind ik het mooiste – kom je uiteindelijk op het operationele vlak. Dit is onderdeel van de cybersecurity-strategie en gaat over DNS-capability. Bij een grootschalige aanval, zoals bij Petya in de Rotterdamse Haven, wordt het mogelijk om een domein te blokkeren. Heel simpel en erg doeltreffend.

Binnen Europa moeten we dit meer gaan doen: niet meer reactief reageren, maar proactief handelen. We weten heel goed waar de aanvallen vandaan komen, dus we moeten die kennis gebruiken om juist de problemen voor te zijn. Ook in Nederland. Daarvoor moet je ook je handen vuil maken en soms juridisch scherp aan de wind varen, maar dat is wel nodig.

Als jij echt een ambitieuze strategie wilt, betekent dat operationaliseren van je wensen. Er is genoeg strategie, maar we missen de executie. Daar moeten we de komende jaren op inzetten. Make it happen. De juridische basis wordt gelegd in Brussel, maar nu is het tijd voor politieke wil en doorzettingskracht in Nederland. Passief informatie delen, die tijd is belangrijk, maar er komt iets bij.”

Groothuis erkent dat Nederland lang voorop heeft gelopen. “Er was veel energie. De afgelopen jaren lopen we echter steeds meer achterop en is er zelfs sprake van achteruitgang. Binnen het Verenigd Koninkrijk is er één duidelijke organisatie waar je mee dealt, maar in Nederland is dit niet zo duidelijk: soms het Nationaal Cyber Security Centrum (NCSC), soms de Politie of de Algemene Inlichtingen- en Veiligheidsdienst (AIVD). In Europa maken we nu een framework en daarin zie je ook dat in 17 landen deze diensten zijn geconvergeerd, maar in Nederland blijft het versnipperd.”

Op zoek naar gelijkgestemden

Voor de EU liggen er genoeg uitdagingen in de toekomst. Groothuis ziet vooral een noodzaak om te investeren. “Het gaat de komende jaren om deep security. Dat is het allerbelangrijkste, als je het hebt over digitale autonomie. Je kunt heel veel afnemen van andere landen en partners, maar je moet je grootste belangen zelf goed beveiligen.

Het gaat bijvoorbeeld over cryptografie. In Nederland moet eigenlijk gezegd worden: we hebben een eigen cryptografische basis nodig, gemaakt door de AIVD, uitgegeven door een Nederlands bedrijf. Zodat je het hele proces controleert. Een aantal jaren geleden werd er door het ministerie van Buitenlandse Zaken nog gewerkt met Kaspersky-antivirussoftware uit Rusland. Elke mail van een diplomaat kon gecontroleerd worden. Dat is natuurlijk niet okay. Als je echt deep security wilt, moet je daar ook als Nederland in investeren.

Als het om Europa gaat, moet je op zoek naar gelijkgestemde landen en regio’s. Er is geen ruimte meer voor samenwerkingen met geopolitieke tegenstanders die dan producten en diensten verzorgen voor je vitale sector. Waarom moeten we gezichtsherkenningssoftware vanuit China gebruiken? Dit geldt bijvoorbeeld ook voor 5G.

In de NIS2 zorgen we er ook voor dat er een supply chain review in de wetgeving komt. Als we Chinese, Iraanse of Russische apparatuur niet vertrouwen, dan kunnen we deze laten weren. We gaan vanuit onze eigen jurisdictie bepalen wat we wel en niet toelaten op onze markt.

De laatste belangrijke trend is dat we ransomware niet meer alleen gaan zien als een crimineel verdienmodel, maar ook als een vorm van buitenlandse politiek vanuit Rusland. Vrijwel alle ransomware komt uit die hoek. Alle veiligheidsdiensten in Europa bevestigen dit beeld.

En zoals Joe Biden dit nu aanpakt met Vladimir Poetin, dat is hoe we het ook moeten doen vanuit Brussel. In hun laatste gesprek ging het voor het eerst in 60 jaar niet over nucleaire wapens, maar over ransomware en over cyberaanvallen.

In de EU hebben we ook een Cyber Diplomacy Box om sancties aan Rusland op te leggen en de lidstaten mandaat te geven, maar deze wordt nog te weinig ingezet. Dit is niet alleen een cybersecurity-probleem, maar ook een diplomatiek probleem. Zolang we dit niet adresseren, doen we het niet goed. Ik mis de stem van de Cyber Security Raad ook in dit gesprek. We moeten het probleem bij de bron aanpakken.”

Haast gaan maken

Joe Biden tekende in mei het voorstel Improving the Nation’s Cybersecurity naar aanleiding van een reeks cyberincidenten. Groothuis ziet daarin vooral de noodzaak om haast te maken. “Het is een waterbed-effect. Om een voorbeeld te geven: toen er veel fraude en malware was met internetbankieren, hebben de banken in Nederland de handen ineengeslagen. Binnen drie maanden werd de criminaliteit met 90% gereduceerd. Maar in de andere landen om ons heen steeg het juist. Als de Amerikanen beginnen met spoedwetgeving, dan moeten wij dus ook haast gaan maken. De Amerikanen houden zich vooral bezig met het aanpakken van de keten. En daar is ook winst te behalen voor de EU. Daarom hebben we dat ook verwerkt in de NIS2.”

Groothuis ziet 2022 als het jaar waarin er spijkers met koppen worden geslagen. “De Fransen hebben in januari het voorzitterschap van de EU overgenomen. We proberen het rond die periode ook af te ronden. Daarna wordt het naar het Nederlands Parlement gestuurd en die moeten er dan chocola van gaan maken. Dan zullen we zien hoe Nederland zich verhoudt tot deze nieuwe richtlijn.”

De betekenis van het oorspronkelijke Griekse woord beschrijft ten eerste heel goed de rol die de Cyber Security Raad wat mij betreft moet spelen in het nationale cyberlandschap: die van roerganger. De roerganger houdt koers, bewaakt de toestand van het schip en adviseert de kapitein over kansen en bedreigingen die aan de horizon opdoemen. Zo ook adviseert de CSR het kabinet over de ontwikkelingen en bedreigingen in het cyberdomein. Dat kunnen we niet anders doen dan in een goede mix van overheid, publiek-privaat, wetenschap, civiel en militair. We hebben de gezamenlijkheid van al deze perspectieven en expertise keihard nodig want onze tegenstanders maken geen onderscheid wanneer zij onze vitale belangen aanvallen.

Daarmee komen we op de dreigingen aan de horizon. Net als de samenleving digitaliseert ook Defensie meer en meer. Onder het principe van Informatie Gestuurd Optreden stellen wij data en informatie centraal in de manier waarop wij opereren. Onze netwerken en IT-systemen worden daardoor steeds belangrijker voor onze effectiviteit. Daarin liggen kansen maar ook bedreigingen. We zullen allereerst ervoor moeten zorgen dat we onze eigen systemen en netwerken veilig houden zodat we daarmee onze operationele doelstellingen kunnen behalen en de Nederlandse strategische belangen kunnen beschermen.

Net zoals de Nederlandse marine sinds jaar en dag handelsvloten beschermt, zo heeft Defensie als geheel een beschermende rol voor de Nederlandse samenleving en haar belangen. Onze economie draait voor een groot deel op digitale infrastructuur en services, ons land herbergt één van de grootste internetknooppunten van de wereld, en onze samenleving digitaliseert steeds verder. Digitale veiligheid is daardoor een keiharde voorwaarde geworden voor onze manier van leven en onze vrijheid. Defensie staat voor die digitale veiligheid, als betrouwbare partner in onze nationale cybersecurity-structuren. Dit ontslaat private partijen overigens niet van hun verantwoordelijkheid om zelf hun eigen beveiliging op orde te hebben.

Het cyberdomein is, net als internationale wateren, toegankelijk voor iedereen; het is een global commons. Nationale soevereiniteit is daarom een lastig begrip. Dreigingen, zeker in het digitale domein, stoppen niet bij landsgrenzen. Daarom zoeken wij ook nadrukkelijk de samenwerking met onze bondgenoten in NAVO en EU verband. Binnen NAVO hebben we onder de noemer Sovereign Cyber Effects Provided Voluntarily by Allies (SCEPVA) afspraken gemaakt over de inzet van militaire cyber capaciteiten en binnen de EU werken we aan gezamenlijke capaciteiten zoals een Cyber Information Domain Coordination Cell of Cyber Rapid Response Teams onder de vlag van Permanent Structured Cooperation (PESCO). Daarnaast neemt Defensie deel aan verschillende cyberoefeningen en -trainingen in Europees of NAVO-verband.

We keren terug naar het oude Griekenland. Om zich te beschermen tegen aanvallen van vijandelijke schepen, die probeerden met ramtactieken hun formatie te breken, vormden de Griekse triremen een cirkelvormige kyklos ter bescherming. Vanuit die positie konden zij anticiperen op de bewegingen van hun tegenstander en hielden zij de kern van hun vloot, hun vitale belangen, veilig. Een zwakke plek in de kyklos betekende een kwetsbaarheid voor het vlootverband. Defensie is één van deze schepen in de cirkel, maar we kunnen het nadrukkelijk niet alleen. Samen met publieke en private partners in Nederland en met onze internationale militaire partners binnen NAVO en EU moeten wij de cirkel gesloten houden. Samen vormen wij een kyklos rondom de Nederlandse samenleving: wij beschermen wat ons dierbaar is.

Cyberweerbaarheid is in De Bilt onderdeel van de portefeuille van de burgemeester en dat is niet voor niets aldus Potters: “Als je technische mensen spreekt, blijkt het effect van een cyberincident veel groter is dan je als leek zou verwachten. En een incident is ook niet zomaar opgelost. Het is niet een kwestie van de server uitzetten en weer verder. Bewustwording daarvan buiten de technische wereld is belangrijk. Maar de wereld van cyberweerbaarheid heeft de neiging erg geïsoleerd te blijven. Cyberspecialisten richten zich vooral op hun eigen vakgebied en mensen die erbuiten staan doen het al snel af als “ingewikkeld” en “iets voor specialisten”. Terwijl het digitale domein en het fysieke domein afgelopen jaren steeds meer verweven zijn geraakt en de impact van een cyberincident op de maatschappij groot kan zijn. Dan verdient het de aandacht van de burgemeester. Ik zie het als mijn taak om de verbinding tussen die domeinen te versterken.”

“Een cyberincident heeft steeds vaker en steeds grotere gevolgen in de ‘echte’ wereld. Als de digitale wereld afgesloten wordt zijn bewoners, veel meer dan tien jaar geleden, de dupe. Paspoorten kunnen niet worden uitgegeven, stoplichten en bruggen werken niet of uitkeringen worden niet uitbetaald met alle gevolgen van dien. Een ransomware- of een DDoS-aanval klinkt voor veel mensen abstract. Maar als daardoor een server vastloopt die verkeerslichten regelt, heb je een fysiek effect. Het grappige is dat de ernst van situatie dan groter wordt beleefd en mensen in een andere actiemodus gaan.”

Rampenoefeningen

“Als een incident het fysieke domein raakt, hebben we een crisisstructuur die goed werkt. Maar bij cyberdreiging krijgen we met nieuwe scenario’s te maken. Met het ministerie van Binnenlandse Zaken en Koninkrijksrelaties hebben we vorig jaar een simulatie gedaan van een digitaal incident met impact in het fysieke domein. Daaruit bleek dat we het in het fysieke domein inderdaad goed geregeld hebben. Met name in de overgang van het digitale naar het fysieke domein was ruimte voor verbetering.”

“Als het om digitale zaken gaat, zijn we gewend om binnenshuis te opereren met de Chief Information Security Officer (ofwel CISO) en eventueel met een externe expertise partij, terwijl het juist belangrijk is om ook naar buiten te treden. We moeten eerder hulplijnen inschakelen die we binnen het fysieke domein al hebben opgezet. Daarom gaan we toekomstige trainingen op rampen en incidenten beginnen met een digitale component in plaats van bijvoorbeeld een LPG-tank die dreigt te ontploffen. Waarbij we natuurlijk wel een overloop inbouwen naar de fysieke wereld. Hoe gaat die overgang van digitaal naar fysiek? Hebben we op tijd door wat de gevolgen kunnen zijn? En hebben we de crisisrespons dan op orde? Zo proberen we de twee werelden beter te verbinden. Dat gebeurt voor zover ik weet nog niet bij veel gemeenten.”

Borging binnen de organisatie

“De Baseline Informatieveiligheid Overheid wordt bij ons toegepast en uitgevoerd. Alle gemeenten hanteren die als ondergrens. Het is een fijn middel, want je hoeft niet zelf op zoek naar hoe het moet. Als burgemeester sta ik in nauw contact met de Chief Information Security Officer (CISO). We hebben bijna elke week contact. Ik ben dan wel portefeuillehouder cyberweerbaarheid, maar het is niet alleen iets van mij. Het moet binnen het gemeentelijk bestuur breder gedragen worden.”

In het college bespreekt Potters het thema op vaste momenten in de planning-en-control cyclus. "Ik merk dat het soms ook moeilijk is om de leden mee te krijgen. Ook zij hebben al snel het idee het heel technisch is en hebben de risico’s onvoldoende op netvlies. Daarom doen we binnenkort een cybertraining met het hele college. Om de discussies over cyberweerbaarheid en investeringen ook in de raad goed te kunnen voeren, hebben we twee raadsrapporteurs, die we in aparte sessies samen met de CISO bijpraten. Zij hebben deskundigheid op digitalisering en cyberweerbaarheid en vinden het leuk om de raad daarin mee te nemen.”

Openheid zorgt voor bewustwording

Potters heeft gemeenten eerder opgeroepen onderling meer informatie over cyberincidenten te delen: “Wat betreft informatiedeling zijn we binnen gemeenten de schaamte gelukkig wel een beetje voorbij. We delen onderling meer als er iets gebeurt. Het incident bij gemeente Hollandse Kroon heeft daaraan heeft bijgedragen. Zij zijn toen heel open geweest. Ik vind dat van kracht getuigen. Voor ons was het een belangrijk leermoment en we hebben het er in college uitgebreid over gehad: hoe zijn wij voorbereid? Het heeft voor meer bewustwording gezorgd.”

“Gemeente De Bilt is onderdeel van een samenwerkingsverband van zes of zeven gemeenten”, vervolgt Potters. “De gemeentelijke CISO’s zitten in een poule. Ze wisselen daarbinnen veel kennis en informatie uit en vervangen elkaar indien nodig. Om het hek zo stevig mogelijk te houden, doen we samen regelmatig testen om kwetsbaarheden op te sporen. Daar komt vaak zinvolle informatie uit waar me mee aan de slag gaan. Laatst bleek bijvoorbeeld dat wij onze zaken goed op orde hadden, maar dat een buitenstaander via een kwetsbaarheid bij een andere gemeente binnen twee stappen in onze systemen kon komen. Daar schrokken we van en hebben we natuurlijk ook meteen iets aan gedaan. We hebben ook een crisisteam ingericht voor als er een incident is. Het is helder wie waar verantwoordelijk voor is en wie we moeten inschakelen als we meer expertise nodig hebben. Onze technische mensen staan via de Informatiebeveiligingsdienst voor gemeenten in goed contact met het Nationaal Cyber Security Centrum ofwel NCSC. Vrijwel alle gemeenten hebben dat soort afspraken gemaakt. Goed contact tussen CISO, bestuurders en de NCSC is van groot belang. Je moet weten hoe de lijnen lopen en de lijnen moeten kort zijn.”

Volgens Potters ben je voor cyberweerbaarheid sterk afhankelijk van andere partijen in je netwerk. “Niet alleen van andere gemeenten, maar ook van uitvoerende organisaties en dienstverlenende bedrijven. Zo was er een datalek in het snelheidscamerasysteem in een van de dorpen. Het bleek makkelijk kentekengegevens uit te lezen. We hadden het op papier helemaal goed geregeld met die partij in een verwerkersovereenkomst. Maar met het sluiten van overeenkomsten ben je er niet, je moet toezicht houden door de juiste te vragen stellen. Een landelijk keurmerk voor digitale dienstverleners zou ons daar wel bij kunnen helpen. We hebben ook een Voedsel- en Warenautoriteit. Die checkt op zaken die niet iedereen zomaar kan doorgronden maar wel gecontroleerd moeten worden in het algemeen belang. Veilige digitale dienstverlening is ook van groot algemeen belang.”

Nationale cyberweerbaarheidsstrategie

Potters ziet dat cyberdreiging van verschillende kanten komt en toeneemt: “Daar moeten we ons als samenleving veel meer samen en integraal op voorbereiden. Welke rol we als gemeente spelen, is afhankelijk van waar dreiging vandaan komt. Als die bijvoorbeeld interstatelijk is, zal de centrale overheid coördinerend moeten optreden om de crisis te bezweren, maar wij moeten als gemeente in staat zijn om de maatschappelijke effecten te beperken. Lokaal moeten gemeenten hun zaken op orde hebben, binnen de veiligheidsregio oefenen en afspraken maken. We moeten een cyberincident aanvliegen als een klassieke ramp. Bij fysieke incidenten zijn gemeenten in de lead, maar een cyberincident is natuurlijk minder afgebakend. Dan is de vraag wat wordt er verwacht van veiligheidsregio’s en gemeenten. Daar goede afspraken over maken is essentieel. Voor zover ik weet zijn die er nog niet. Nu is het wachten tot er een keer iets gebeurt en dat is zonde. Wij leren overigens lessen van de COVID-crisis over afspraken tussen het Rijk, de veiligheidsregio’s en gemeenten. Daar speelt ook regelmatig de vraag: wie is waar verantwoordelijk voor? Ik hoop en verwacht dat die lessen hun weg vinden naar het cybersecurity-domein. Bij de Vereniging van Nederlandse Gemeenten ziet Potters dat cyberweerbaarheid een belangrijk aandachtspunt is en daar ziet hij zeker een belangrijke rol voor gemeenten weggelegd. "Maar ik denk ook dat digitalisering en cyberweerbaarheid zo belangrijk zijn, dat een ministerie met dat als specifiek taakveld op zijn plaats zou zijn. Daarmee straal je als overheid het belang van het thema uit en geef je het een gezicht in het publieke debat. Dat kan ook helpen bij het bevorderen van de bewustwording.”

DIVD draagt bij aan meer veiligheid op digitaal gebied, door het preventief waarschuwen van organisaties voor kwetsbaarheden in hun digitale systemen voordat kwaadwillende hackers hier gebruik van maken. Chris van ’t Hof, een van de oprichters van de stichting, en Frank Breedijk, een ethisch hacker die al vanaf het begin bij DIVD is betrokken, vertellen over hun drijfveren, missie en de rol die zij voor het DIVD en de overheid zien in de toekomst.

Van kwetsbaarheid tot hack

De urgentie van het werk ligt volgens Chris bij het volgende: ’Wij scannen het hele internet, waarbij er kwetsbaarheden naar voren komen. We zien daardoor de hoeveelheid potentiele slachtoffers, verbazen ons hoe weinig slachtoffers bekend worden en beseffen dat het gros van de wel gehackte organisaties niet in het nieuws komt.’’

Wat wel in het nieuws komt zijn de grote zaken, zoals de kwetsbaarheid van de softwaretool Log4J en die rondom softwareleverancier Kaseya. Hun software werd door Revil, een waarschijnlijk Russische groepering, gehackt. De hackers van DIVD hadden twee maanden daarvoor al acht kwetsbaarheden in de software geconstateerd en gemeld bij Kaseya. Het ontwikkelen van een patch (een update van het systemen waardoor het weer veilig is) was echter net niet op tijd klaar. Dat lek in het systeem betekende miljoenen potentiële slachtoffers, wat uiteindelijk leidde tot duizenden echte slachtoffers. Kaseya werkte samen met onder andere DIVD aan oplossingen voor de hack.

De Kaseya-zaak maakt voor Van 't Hof het belang van een LDS en het bestaansrecht van DIVD weer duidelijk: ‘’Er ligt hier een taak, namelijk het scannen van het internet en het melden van de kwetsbaarheden, die nog niet goed kan worden opgepakt binnen het stelsel.’’

Het LDS is een structuur waarbinnen publieke en private partijen samenwerken om informatie en kennis over cybersecurity uit te wisselen met als doel digitale ontwrichting te voorkomen én Nederland cyberweerbaarder te maken. Dit zijn partijen zoals CERTs (computercrisisteams), sectorale en regionale samenwerkingsverbanden, het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC). Volgens Van 't Hof kan een groot deel van de organisaties in Nederland niet worden bediend door dit LDS: ‘’dat zijn bijvoorbeeld de midden- en kleinbedrijven, websites van sportclubs of volkstuinen en de kleine webshops. Deze gaten in het LDS vullen wij op met ons onderzoek, want wij scannen iedereen.’’

Informatiedelen is key

Van 't Hof en Breedijk zijn blij met de nieuwe ontwikkelingen die er nu omtrent het LDS gaande zijn, waarbij er een vernieuwende publiek-private samenwerking wordt opgezet. Want, de overheid is nu eenmaal gebonden aan wet- en regelgeving die zorgt voor beperkingen in de mogelijkheden. Beiden zijn optimistisch dat er nu een wetswijziging voor de Wet beveiliging netwerk- en informatiesystemen (Wbni) in de maak is om het LDS verder vorm te geven. Ook over de aanpak vanuit de overheid rondom de kwetsbaarheid in de softwaretool Log4J zijn zij positief. Het NCSC heeft hier wel de nationaal coördinerende rol op zich genomen. Zij zijn echter wel van mening dat het drie voor twaalf is en dat er meer snelheid nodig is, het particuliere initiatief is daarom nu broodnodig volgens hen.

Van 't Hof: ‘’Ons initiatief is een samenwerking met de overheid, maar we kunnen het niet vanuit de overheid laten organiseren. Een overheidsorgaan kent beperkingen in het ongevraagd scannen en melden van kwetsbaarheden in systemen. Deze komen voort uit bijvoorbeeld de Algemene verordening gegevensbescherming (AVG) en de Wbni. Maar wij opereren vanuit een jurisprudentie, waarin de rechter heeft gezegd dat scannen en melden mag wanneer je handelt in maatschappelijk belang, je het proportioneel doet en het op geen andere manier kan.’’

Op de vraag of de overheid hun taken niet moet overnemen, zijn Van 't Hof en Breedijk duidelijk: ‘’We opereren in een niche waarin de overheid en het bedrijfsleven (nog) niet in kunnen acteren, waarmee we een zeer directe bijdrage aan de nationale veiligheid leveren. Het veilig houden van internet is een taak in het algemeen belang en moet dus bij de overheid liggen, zoals zij dit nu ook doen bij de kwetsbaarheid in de softwaretool Log4j. Maar zolang het DIVD dit op een manier kan en doet die de overheid nog niet kan, hebben we bestaansrecht.‘’ Neemt de overheid hun taak over? Breedijk: ‘’Dan is er wel een ander probleem waar wij als vrijhaven voor creatieve en ethische hackers mee aan de slag kunnen.’’

Samenwerking overheid en DIVD

‘’Vergelijk ons met het Rode Kruis. Dat zij bestaan, betekent niet dat er geen ambulances en ziekenhuizen meer nodig zijn. Zij komen alleen op plekken waar de overheid niet kan of wil komen’’, vervolgt Breedijk.

Dat een onafhankelijke organisatie dit werk oppakt, is volgens Van 't Hof ook nog om een andere reden belangrijk. "Het gaat om een ongelofelijke hoeveelheid data, waarmee je ook macht in handen hebt. Wanneer een overheid of bedrijf dit in handen heeft, ontstaat al snel een situatie waarin ze het ook zouden kúnnen gebruiken voor andere zaken dan cybersecurity. Alleen die schijn moet en kun je al voorkomen, door het bij een onafhankelijke organisatie als het DIVD neer te leggen."

Het DIVD wijst dan alle organisaties op hun kwetsbaarheden en potentiële lekken. Breedijk vergelijkt een waarschuwing van het DIVD met het luchtalarm. ‘’Wil je het luchtalarm niet horen? Dan heb je pech. Zo ook onze meldingen: je kunt ze wel negeren, maar we zullen ze altijd blijven versturen zodra we een kwetsbaarheid ontdekken.’’

Nederland voorloper

‘’Toen Nederland in 2016 voorzitter was van de EU, kwam iedereen hier kijken hoe wij bezig waren op het gebied van de Coordinated Vulnerability Disclosure”, vervolgt Van 't Hof. “We waren en zijn op dat gebied echt voorloper, de Nederlandse digitale poldercultuur is uniek. Dit is in het buitenland wel anders, waar vaak twee smaken mogelijk zijn: het scannen en melden mag echt niet en dit betekent dat er snel tegen je geprocedeerd wordt of de overheid zegt dat er zoveel gehackt wordt, dat beleid daartegen helemaal geen zin heeft.’’

Het feit dat de Nederlandse overheid de activiteiten van DIVD toestaat en zelfs met de organisatie samenwerkt, zien beide DIVD’ers als een duidelijk signaal van welwillendheid vanuit de overheid. Het coördineren en samenwerken is uniek en is een goede en essentiële stap op weg naar meer veiligheid op het internet.

Idealistische hackers

Het werken aan het grotere maatschappelijke goed benoemt Van 't Hof als belangrijke drijfveer voor alle DIVD’ers: ‘’het rechtvaardigheidsgevoel is bij iedereen aanwezig, waardoor je samenwerkt met gelijkgestemden aan een gemeenschappelijk doel: het veiliger maken van het internet en daarmee onze samenleving.’’ Breedijk vult aan: ‘’Zodra mensen het internet niet meer vertrouwen, betekent dat het einde van het internet. Terwijl het internet zo mooi en belangrijk is, ook voor onze samenleving. Veiligheid is een basis voor vertrouwen.’’

Van 't Hof: ‘’Wat ook niet onderschat moet worden is de lol, creativiteit en inspiratie die voortkomt uit het werken bij DIVD, met al die bijzondere mensen waarmee je samenwerkt. De DIVD’ers werken meestal zelf ook in de ICT, maar binnen DIVD hebben ze echt alle vrijheid om te doen wat ze leuk vinden en goed kunnen voor een mooi maatschappelijk doel.’’ Breedijk vult aan: "Het is heel fijn om samen met anderen deze passie te delen en daar je ziel en zaligheid in te leggen.’’

Boot, die ruim twee decennia bij onderzoeksinstituut TNO werkzaam was en daar veel ervaring opdeed met publiek-private samenwerkingen, vergelijkt de totstandkoming van innovatie en de uitdagingen die daarmee gepaard gaan graag met een estafetterace. “Een hoogleraar en diens promovendi gaan van start met fundamenteel onderzoek. Op enig moment geven zij het estafettestokje over aan de toegepaste onderzoekers, bijvoorbeeld aan een partij als TNO. Die helpen op hun deel van het traject de innovatie verder naar volwassenheid door samen te werken met onderzoeksconsortia, spin outs of startups. Vervolgens geven zij het stokje weer over aan de cyberindustrie die er nieuwe producten en diensten van kan maken. En zo komt het estafettestokje, en daarmee de innovatie, uiteindelijk bij de eindgebruiker terecht. Tot zover klinkt dat goed, maar iedereen die weleens een echte estafetterace heeft gezien, weet ook wat het grootste risico is. Namelijk dat een van de lopers het stokje uit handen laat vallen. Dat gevaar ligt ook bij innovatie op de loer, wat wel blijkt uit de wat zwaar aangezette beeldspraak van the valley of death. Veel potentieel vernieuwende producten en diensten sneuvelen gedurende het innovatieproces in deze gedoemde vallei. Bijvoorbeeld omdat aanbieders en eindgebruikers onvoldoende of slechts lokaal worden bereikt. Of omdat de bestaande financieringsmogelijkheden niet worden gevonden."

Zo ligt de vallei des doods bezaaid met gemiste kansen, en daar wil Boot verandering in brengen. Zijn oplossing? De samenwerking rond innovatie in het cybersecuritydomein moet niet pas vanaf de finishlijn plaatsvinden, maar al bij het startschot. “Als alle partijen vanaf de start aan boord zijn, levert dat niet alleen een groter commitment van de betrokkenen op. Je speelt ook in op het feit dat innovatie zelden lineair verloopt. Dit maakt het lastig om bepaalde fasen van onderzoek, innovatie en valorisatie vooraf aan te wijzen en te bepalen wanneer partijen het beste kunnen instappen”, zo redeneert de dcypher-directeur.

Als ‘platform der platformen’ wil Boot er met dcypher voor zorgen dat de partijen die het verschil kunnen maken gezamenlijk aan de startlijn verschijnen. “Iedereen houdt het stokje vast en draagt daarmee verantwoordelijkheid. En alle partijen gaan zo samen richting de finish. Het gevolg: de hoogleraar krijgt op het juiste moment de relevante onderzoeksvragen, de toegepaste onderzoekers zijn beter in staat om de innovatie in het veld te testen, cyberaanbieders kunnen sneller ontwikkelen en eindgebruikers starten vroegtijdig aan het implementeren van de nieuwe producten en diensten”, schetst Boot.

Door die betere samenwerking binnen het cybersecuritydomein moet een aantal problemen worden getackeld. Boot ziet onder meer een gebrek aan cybersecurity-expertise en het ontbreekt bovendien aan het valoriseren van innovaties. “De doelstellingen van dcypher zijn daarom duidelijk: meer mensen, meer kennis en toepassing en meer valorisatie”, vertelt hij. Daarbij is er volgens Boot een cruciale rol voor innovatie weggelegd. “Alleen met echt nieuwe soorten oplossingen kunnen we de huidige problemen het hoofd bieden.”

Winnende equipe

In de estafetterace om Nederland veiliger, slimmer en digitaal autonomer te maken, wil Boot met dcypher de sportcoach zijn die ervoor zorgt dat er een winnende equipe aan de start verschijnt. Een rol waarin hij zelf dus ook pas kortgeleden van start is gegaan. Tijdens zijn eerste maanden als dcypher-directeur trok Boot vooral het veld in om scherp te krijgen waar de kansen en uitdagingen liggen. Daarbij vielen hem verschillende zaken op. “Ik zie veel betrokkenheid, nieuwe ideeën, grote ambities en de bereidheid van partijen om samen te werken. Ook is de omvang en het aantal partijen op het gebied van cybersecurity vrij beperkt, waardoor dit veld redelijk goed te overzien is. Veel van deze partijen in onderwijs, onderzoek, bedrijfsleven en overheid kennen elkaar al lang en kennen de uitdagingen waar de sector voor staat. Wat mij ook opvalt is de behoefte aan meer middelen en betere samenwerking in het veld”, zo geeft hij aan.

De problematiek op het gebied van cybersecurity is volgens Boot complex, omdat elke individuele partij, organisatie en autoriteit zijn eigen mogelijkheden, maar ook zijn eigen beperkingen heeft. “Geen van deze partijen is in staat de problemen volledig onafhankelijk van de andere partijen op te lossen. Daarom is er meer multidisciplinaire samenwerking nodig, over de hele cybersecurity-innovatieketen. Ik geloof er daarbij in dat echt effectief samenwerken een verandering van aanpak en gedrag van alle betrokken partijen vereist. We zullen allemaal rekening moeten houden met elkaars vaak verschillende positie, perspectieven en belangen. En je moet elkaar soms ook wat willen gunnen, voor het grotere geheel. Het gaat erom een scherpe, gezamenlijke ambitie te formuleren en die vervolgens waar te maken.”

Spin in het web

Als samenwerkingsplatform kan dcypher een belangrijke rol spelen om de sector dichter bij elkaar te brengen, hoopt Boot. “Wij zijn een onafhankelijke spin in het web. Vanuit die makelaarsrol stimuleren we partijen in het cybersecuritydomein om beter samen te werken op het gebied van innovatie. De innovaties die hieruit voortkomen, zullen de slagkracht en effectiviteit van cybersecurity in Nederland verbeteren, zowel strategisch en tactisch als operationeel. Tegelijkertijd hebben wij natuurlijk ook geen magisch elixer om vraag, aanbod en financiering beter bij elkaar te brengen”, zo geeft hij toe. “Wat we wél kunnen doen, is een voorbeeld stellen voor anderen, het veld activeren om samen te focussen op de problemen die eerst moeten worden opgelost en het oplossen van deze problemen vervolgens te faciliteren. Daarnaast kunnen we helpen om financiering onder de juiste voorwaarden te krijgen en er ten slotte voor te zorgen dat de gehele cybersecurity-innovatieketen - van onderwijs en onderzoek tot bedrijfsleven en overheid - optimaal is ingericht. Veel mensen hebben elkaar al gevonden en zijn deels al goed georganiseerd. Voor dcypher ligt er de mooie taak om dat te stroomlijnen en naar een volgende fase te brengen door vraag en aanbod beter op elkaar aan te laten sluiten.” Boot bouwt als directeur van dcypher door op het werk dat de voorganger van het platform de afgelopen jaren heeft verzet. Voor de komende vier jaar ziet hij een aantal duidelijke prioriteiten. “De afgelopen periode heeft het platform veel bereikt op het gebied van onderwijs en onderzoek. Dat wil ik verder versterken en uitbouwen.”

Verdienvermogen

Als belangrijk nieuw aspect noemt hij valorisatie: het verdienvermogen van cybersecurity door innovatie. Boot: “We willen producten en diensten sneller op de markt hebben door kennisontwikkeling te versnellen, de cyberindustrie te versterken en het absorptievermogen van eindgebruikers te verhogen. Daarvoor werken we momenteel onder meer aan een digitaal portal om financieringsinstrumenten beter toegankelijk en toepasbaar voor het cybersecurityveld te maken (zie kader). Ook zijn we bezig met het organiseren van een matchmaking event met bedrijven en onderzoeksinstellingen in de EU en starten we meerjarige roadmaps waarin partijen over de hele keten langjarig samenwerken aan onderzoek, toepassing en economische bedrijvigheid. Het is echt tijd om door te pakken. Of, zoals Europarlementariër Bart Groothuis dcypher onlangs toevertrouwde: strategie is executie, en executie is strategie.” 

In oktober 2020 stopte het oude dcypher, een netwerkorganisatie voor cybersecurity. Daarmee verdween onder andere een belangrijke verbindingsplek voor cybersecuritywetenschappers. ACCSS heeft dit gat opgevuld. Daarom ziet Bibi van den Berg verbinding ook als een belangrijke taak van de vereniging: “ACCSS is geboren vanuit het idee dat cybersecuritywetenschappers in Nederland behoefte hebben aan een vaste plek van waaruit we aan een eigen netwerk kunnen bouwen.” Dat is volgens Van den Berg ook de reden waarom ACCSS zowel bèta, alfa en gamma-wetenschappers verbindt. “Cybersecurity is een multidisciplinair vakgebied wat grenzen binnen de academische wereld overschrijdt. Helaas is er tussen veel wetenschappers soms nog geen goed contact, terwijl ze wel met dezelfde thematiek te maken hebben. Wij wilden een plek creëren waar wetenschappers elkaar makkelijk kunnen vinden voor project- of subsidieaanvragen.”

Ook Aiko Pras ziet een belang voor ACCSS om wetenschappers te verenigen: “Als je naar de cybersecuritydreigingen kijkt die op ons afkomen, dan groeien die veel sneller dan mensen lang voor mogelijk hielden. Het besef begint nu te komen dat het onze samenleving bedreigt. Tegelijkertijd hebben we een groot tekort aan experts die hierover kunnen adviseren. Daarom is het belangrijk om ons als wetenschappers te verenigen, zodat we meer onderzoek kunnen doen en het onderwijs kunnen verbeteren.”

Met éen stem spreken

Een derde pijler is zichtbaarheid. Via ACCSS is het mogelijk om beter en vaker de stem van de wetenschap te laten horen. “Het is belangrijk dat we vanuit de wetenschap een bijdrage leveren aan alle plannen en agenda’s die momenteel worden ontwikkeld”, stelt Van den Berg. “Natuurlijk kunnen standpunten van wetenschappers van elkaar verschillen, er moet ruimte blijven voor verschil van inzicht, maar op bepaalde belangrijke onderwerpen wil je wel met één mond spreken. Doordat ACCSS bestaat is dat echt een vertegenwoordigde stem.”

Die stem laat de organisatie dan ook geregeld horen. Deze zomer deed ACCSS een oproep om het betalen van losgeld voor ransomware door publieke partijen te stoppen en in september publiceerde het een oproep om gegevens over datalekken openbaar te maken voor verder onderzoek. Momenteel werkt de organisatie aan een voorstel voor een Groeifonds om onderzoek en onderwijs in cybersecurity verder te bevorderen. Daarin moet budget beschikbaar komen voor onderzoek en scholing.

ACCSS werkt ook samen met het in de herfst van 2021 opnieuw opgerichte dcypher, wat nu onder het ministerie van EZK valt. Van den Berg legt uit: “Dcypher is bezig met het opstellen van een onderzoeks- en onderwijsagenda, daar dragen wij aan bij. We zien onszelf daarom ook als een van de belangrijke onderaannemers van dcypher.” Volgens Pras gaat die rol zelfs veel verder dan onderaannemerschap. “Het voordeel van ACCSS is dat we naast de bestaande hiërarchie staan die je bijvoorbeeld ziet bij de overheid. Daardoor sta je sterker en kan je beter invloed uitoefenen. Dcypher heeft ons dus ook heel hard nodig.”

Verbeteren vindbaarheid

Naast verbinding is vindbaarheid een tweede taak van het ACCSS. Van den Berg: “Sommige cybersecuritywetenschappers zijn heel zichtbaar voor media, in het publieke debat en voor financiers van onderzoek. Dat geldt alleen lang niet voor iedereen. Het is daarom waardevol dat er een plek is met één brievenbus, waar iedereen die in contact wil komen met cybersecuritywetenschappers terecht kan.” Dat daar behoefte aan is, werd direct na de oprichting duidelijk: “Er waren direct partijen die ACCSS benaderden met hulpvragen, bijvoorbeeld voor het uitzetten van projecten. Ze hadden de middelen, maar waar moesten ze zijn? ACCSS vervult dan een soort makelaarsfunctie: we koppelen de juiste wetenschapper aan het juiste project. Dat doen we niet alleen voor Hoogleraren, maar we hebben bijvoorbeeld ook een groep PhD-studenten die nu werk en onderzoek combineren voor de overheid.”

Verbinden van werelden

Waar liggen nog kansen voor de samenwerking tussen wetenschappers? Volgens Pras is dat duidelijk: “Als je naar het verleden kijkt, zie je dat de technische aspecten van cybersecurity altijd goed gecoördineerd waren. We zagen elkaar en we werkten samen. Maar de huidige problemen zijn veel minder technisch van aard, denk bijvoorbeeld aan nepnieuws. Op die gebieden is cybersecurity pas net aan het opkomen.  Er verschijnen allemaal clubjes met eigen specialisaties. Cybersecurity is voor hen allemaal nieuw en ze kennen elkaar nog niet. Hoe krijgen we de niet-technische wereld bij elkaar?”

“En het gaat ook om verbinding maken tussen technische mensen en niet-technische mensen”, vult Van den Berg aan. “Ik heb een sterk netwerk in niet-technische onderwerpen, maar de connectie met de bèta’s, daar gaat het vaak mis. Terwijl het zo belangrijk is om iedereen aan tafel te hebben. Veel onderzoeksprojecten hebben daarnaast als eis dat er multidisciplinair gewerkt moet worden. Dan moet je de juiste mensen wel kunnen vinden.”

Juiste vragen boven tafel krijgen

Wetenschappelijke kennis en inzichten zijn belangrijk in het huidige cybersecuritylandschap. De wetenschap heeft namelijk een aantal waardevolle kenmerken. Van den Berg legt uit: “Wetenschappers zijn van de laatste ontwikkelingen en kennis op de hoogte. Ook juist over zaken die nog niet breed bekend zijn. Daarnaast brengen we onafhankelijke expertise in. Wanneer bedrijven adviseren zitten daar soms ook belangen achter. Dat is bij wetenschappers minder het geval.”

Volgens Pras zijn wetenschappers ook belangrijk om de juiste vragen boven tafel te krijgen. “In gesprekken tussen de overheid en sectoren wordt vaak de vraag gesteld wat er in die sector moet gebeuren op het gebied cybersecurity. Het is alleen heel lastig om dat te benoemen als cybersecurity niet je kerntaak is. Tegelijkertijd liggen veel sectoren wel wakker van het onderwerp. Juist in dit soort gesprekken is het belangrijk dat de wetenschap aanschuift.” Ook Van den Berg benadrukt het belang van wetenschap in publiek-private samenwerking: “Ik word als hoogleraar vaak gevraagd om organisaties en bedrijven mee te helpen met vraag-articulatie. Het is allemaal zo beginnend en nieuw dat het voor veel organisaties niet duidelijk is welke vragen je beantwoord moet hebben om het op orde te hebben.”

Doorgeslagen poldermodel

Over de staat van cybersecurity in Nederland zijn beide hoogleraren twijfelend. Volgens Pras zijn er zeker lichtpuntjes: “Wetenschappelijk zie je een aantal initiatieven en onderzoeken in Nederland die heel hoog zijn aangeschreven en ontzettend goed werk doen.” Maar als je naar het grotere geheel kijkt, is Pras minder positief: “Kijk naar het buitenland en hoe daar wetenschap en onderwijs wordt gebruikt en gefinancierd voor innovatie op het gebied van cybersecurity, dan hebben wij nog mijlen te gaan.” Ook Van den Berg constateert dat de Nederlandse kenniseconomie op het gebied van cybersecurity langzaam wordt uitgehold, waarbij lage investeringen volgens haar leiden tot een braindrain. Daarom is het volgens haar ook belangrijk dat het onderwijs meer aandacht en financiering krijgt: “Dat gaat niet alleen om jonge mensen op de universiteiten of post-masters, maar ook om Leven Lang Leren. Er komen steeds meer mensen die vanuit een andere rol of functie een baan krijgen in cybersecurity en on the job moeten leren hoe alles werkt. We moeten met kennisinstellingen en trainingsinstituten veel meer opleidingen voor professionals realiseren. Sommige universiteiten zijn daar al mee bezig, maar het moet verder worden uitgebouwd.” Pras valt bij: “Onderwijs wordt als vanzelfsprekend gezien. Maar we moeten onze focus verbreden. Niet alleen kijken naar de universiteiten en hogescholen, maar ook iets bieden aan zij-instromers en doorstromers. Misschien moeten we wel al op de basisschool beginnen.”

Ook op het gebied van onderzoek zijn beide hoogleraren kritisch. Van den Berg ziet dat er vaak te weinig met wetenschappers wordt gesproken voordat er onderzoeken worden uitgezet: “Er wordt te veel in de markt opgehaald waar behoefte aan is. Maar niemand heeft dan gevalideerd of er mensen in de wetenschap zijn die daar al mee bezig zijn of iets mee kunnen.” Van den Berg pleit dan ook voor meer ruimte voor onderzoeksagendering: Dat betekent niet dat we onze eigen voorstellen gaan maken, maar nu is het wel heel erg de andere kant op. Daardoor valt ook veel onderzoek buiten de boot, zoals fundamenteel onderzoek en onderzoek naar cutting edge technologie.”

Ook Pras ziet de mismatch op het gebied van onderzoeksvraag en -aanbod. “Waar kan je geld voor krijgen? Vooral voor onderzoek ingegeven door de actualiteit: ransomware, passwordmanagers en back-up-strategieën. Zeker belangrijk, maar aan de grote dingen die we ook nodig hebben, komen we daardoor niet toe.”

Waar wordt Nederland van?

Politiek gezien kunnen er volgens beide Hoogleraren nog flinke stappen worden gezet. Dat ligt vooral aan de manier van besluitvorming in Den Haag volgens Pras: “Ik zie dat ons mooie Poldermodel doorgeslagen is. Niemand durft een keuze te maken. Als je dan naar de Europese Unie kijkt, kan je veel zeggen, maar daar gebeurt wel wat, bijvoorbeeld de bouw van een competence centre in Roemenië.” Het gebrek aan daadkracht brengt volgens Pras een aantal risico’s met zich mee: “Nederland draait op een oude economie. De nieuwe economie is een IT-economie, met platformen als Booking.com en Thuisbezorgd. Je moet zorgen dat er op cybersecurity een infrastructuur is die dat kan ondersteunen en de juiste mensen om eraan te werken. Anders kom je er over 10-15 jaar achter dat alles in andere landen zit. Als je maar blijft praten en niet investeert, dan komt er niks.”

Ook Van den Berg vindt het tijd dat Nederland de afwachtende houding van zich afschudt: “De grote vraag die Nederland moet beantwoorden is: ‘waar worden wij van?’. Dan kan je vervolgens stappen zetten. Cybersecurity is nu ondergebracht bij verschillende ministeries, dan valt er ook veel tussen de kieren door.” ACCSS pleit daarom, net als de CSR in het laatste adviesrapport, voor meer regie op het onderwerp. Van den Berg: “Kijk naar een thema als water. Daar hebben we een deltacommissaris aangesteld, los van alle ministeries. Die maakt een plan voor de komende 25 jaar. We zijn kennisleider op dat onderwerp, omdat we hebben gezegd: hier zijn we van.”

Tijd om aan de slag te gaan

Van den Berg verbaast zich dan ook waarom Nederland dat niet doet op het gebied van cybersecurity: “Nederland heeft goede randvoorwaarden. We zijn een klein land met hoge internetdichtheid en veel knappe koppen. We kunnen een perfect ecosysteem creëren, maar dan moet je er wel aan beginnen.” Pras vult aan: “We kunnen een sterke positie innemen, niet door belastingvoordelen, maar juist door ons ecosysteem.” Beide Hoogleraren pleiten dan ook vooral om aan de slag te gaan: “Er liggen genoeg plannen en strategieën, het is tijd dat we dingen gaan uitvoeren. Daar is alleen wel een overkoepelende visie voor nodig.”

Om een veilige en weerbare digitale infrastructuur te bereiken, is nog veel werk te verrichten. Werk dat nooit ‘af’ is. Cybersecurity vraagt om permanente aandacht. Zeker voor de vitale sectoren waarvan het functioneren voor de Nederlandse samenleving van fundamenteel belang is. Potentiële cyberaanvallen op energiecentrales, de Rotterdamse haven, bruggen en sluizen, om maar een paar voorbeelden te noemen, kunnen een ongekende economische en sociale impact hebben. Cybersecurity is dus chefsache en de weerbaarheid van vitale sectoren is van nationaal belang. Samenwerking en informatiedeling tussen het bedrijfsleven, de wetenschap en de overheid zijn belangrijk. Ook het verbeteren van risico- en dreigingsanalyses en gezamenlijk oefenen horen daarbij. Ik ondersteun dan ook de voorgestelde wetswijziging voor ruimere ontsluiting van dreigings- en incidentinformatie over systemen. Een beter begrip van de risico’s leidt tot betere bescherming, en maakt Nederland weerbaarder.

Het verbeteren van cyberweerbaarheid is een kat-en-muisspel. Kwaadwillenden hebben doelen, tactieken en technieken die steeds veranderen. Digitale aanvallen zijn reëel. De overheid en het bedrijfsleven doen daar veel tegen, maar nog niet genoeg. Bedrijven hebben hulp nodig van de overheid om criminelen buiten de deur te houden en op te sporen. De Nederlandse overheid investeert volgens onderzoek van de Cyber Security Raad (CSR) minder in cyberweerbaarheid dan de ons omringende landen. Zo is de Belgische investeringsambitie 14 keer hoger dan de Nederlandse. Nederland dreigt zo de regie te verliezen en achterop te raken in een digitale wereld die per definitie internationaal is en waar aanvallers altijd naar het zwakste punt zoeken. De CSR heeft ervoor gepleit om de investeringen in cyberweerbaarheid op te voeren en meer in lijn te brengen met de ons omringende landen. In het coalitieakkoord wordt aangegeven dat er zal worden geïnvesteerd in een ‘brede meerjarige cybersecurity aanpak’. Dat is een goede eerste stap en het is belangrijk dat we hier nu op doorpakken. Daarbij is het van belang dat we het midden- en kleinbedrijf (mkb) niet uit het oog verliezen. Deze ruggengraat van de Nederlandse economie is immers ook vitaal. Het mkb heeft nu vaak niet de middelen om zichzelf goed te beschermen; schaalbare oplossingen op het gebied van cyberweerbaarheid kunnen hierbij helpen.

Uiteindelijk valt en staat digitale veiligheid met een hoog bewustzijn van de kansen en risico’s. Onze digitale weerbaarheid vraagt de komende jaren om verhoogde alertheid en actie. Dat moeten we samen doen: een betrokken overheid, kennisinstituten en het bedrijfsleven, waar het mkb essentieel onderdeel van uitmaakt.

Agentschap Telecom (AT) werkt aan een veilig verbonden Nederland, dat kan rekenen op betrouwbare telecommunicatie- en IT-netwerken. Het houdt onder meer toezicht op de dekking van mobiele operators, de veiligheid van digitale infrastructuur, het veilige verloop van graafwerkzaamheden, het frequentiegebruik in de scheep- en luchtvaart, het uitrollen van 5G en vele andere zaken op het gebied van digitale weerbaarheid en cybersecurity. Van Dijk: “De kennis die we in huis hebben is uniek. Na twee jaar aan het hoofd van het Agentschap ben ik nog regelmatig onder de indruk van mijn eigen medewerkers. En die kennis van zaken is geen luxe. Nederland wordt steeds meer een digitale mainport en dat vraagt om een goed fundament. Dat fundament zijn wij, als hoeders van het ecosysteem van digitale infrastructuur, apparaten en diensten.”

Toezicht is ook signaleren en agenderen

De gehele samenleving digitaliseert. AT ziet een toenemende en diepgaande maatschappelijke afhankelijkheid en verknoping van verschillende vormen van digitalisering en tegelijkertijd een toename van dreigingen en (potentiële) verstoringen. Van Dijk: “Dat geldt zeker ook voor een van de grootste omwentelingen die Nederland nu en in de komende jaren doormaakt, de energietransitie. Vanuit onze brede verantwoordelijkheid hebben wij dit jaar ons rapport uitgebracht over wat ervoor nodig is om die transitie op een veilige en verantwoorde manier te maken. Als toezichthouder kijken wij niet alleen achteraf of iets goed of fout is gegaan, het is juist ook onze taak om zaken bijtijds te signaleren en agenderen. Daarom doen we onder andere onderzoek naar de toepassing en impact op de elektriciteitsketen en de risico’s van elektrische apparatuur, die zowel aan het elektriciteitsnet als het internet gekoppeld is (zoals laadpalen, warmtepompen, zonne-energiesystemen of thuis-accu’s). Vanuit nationale en internationale gremia werken we aan de standaardisatie van cyberveilige apparatuur en diensten. Bovendien intensiveren we ons onderzoek naar mogelijk verstorende apparatuur. Indien nodig halen we die van de markt. Zo pakken we als toezichthouder onze eigen verantwoordelijkheid in de energietransitie.”

Digitale grondplaat

Het AT is bezorgd over de decentrale aanpak van de energietransitie in Nederland. Regionale plannen sluiten niet altijd goed op elkaar aan en er lijkt een gebrek aan sturing en overzicht. Van Dijk: “Net als de Cyber Security Raad zijn we voor een integrale benadering van geïdentificeerde risico’s. Nieuwe en bestaande vraagstukken vragen om integrale afstemming en samenwerking met partijen binnen de overheid en het bedrijfsleven, zowel nationaal als internationaal. Daarvoor is het opstellen van een digitale grondplaat, waarmee de totale governance van het digitale stelsel van beleid, uitvoering en toezicht in kaart wordt gebracht, behulpzaam. Daarmee worden verantwoordelijkheden, afhankelijkheden en eventuele hiaten zichtbaar.”

Energietransitie en cyberrisico’s

Van Dijk: “De energietransitie heeft veel raakvlakken met ons werk, op gebied van fysieke infrastructuur, continuïteit en integriteit van vitale infrastructuren en veilige apparaten en diensten. Van (radio-)apparatuur, tot graven, van meten van verbruik (metrologie) tot toezicht op bijvoorbeeld energiebedrijven. Als autoriteit van de digitale infrastructuur zijn we een belangrijke speler in het digitale ecoysteem dat we zien ontstaan. Wij zijn ermee bezig om ons daarnaar te herstructureren: te zorgen dat we maximaal aansluiten, meebewegen en bij de juiste partijen aanschuiven. Want er ontstaan nieuwe risico’s en kwetsbaarheden. Nieuwe innovatieve partijen als ‘flexibility operators’, ‘aggregators’ of ‘changepoint operators’ doen hun intrede. En door de toenemende digitalisering in de energiesector nemen de cyberrisico’s toe. Door gehackte apparatuur massaal en gelijktijdig in- of uit te schakelen kan overbelasting op het energienet gecreëerd worden. Dat kan uiteindelijk leiden tot uitval. Ook het gebruik van kunstmatige intelligentie (AI), bijvoorbeeld voor het aansturen en bewaken van de energiebalans op het net geeft zowel kansen, als risico’s.

Zonnepanelen en laadpalen

Er spelen in de energietransitie en andere terreinen waarop digitalisering toeneemt, risico’s waar de gemiddelde consument nooit aan zou denken. Van Dijk: “Neem bijvoorbeeld het probleem van interferentie. Zonnepanelen, maar ook tal van andere apparaten die we dagelijks gebruiken, kunnen stoorsignalen uitzenden. Daar kunnen zelfs vitale communicatiesystemen hinder van ondervinden. Een bizar, maar vooral ook leerzaam, voorbeeld is de Rotterdamse Waalhaven waar schepen van de radar verdwenen. Dat bleek te komen door stoorsignalen van een kunstinstallatie met veel led-licht aan de havenmonding.”

Een ander voorbeeld is het meten en registreren van energiegebruik. Denk aan slimme energiemeters, het opladen van een elektrische auto aan een laadpaal, of het meten van het gebruik van waterstof. Het meten en registreren van dat energieverbruik moet net zo veilig en betrouwbaar zijn als bij het traditionele ‘tanken aan de pomp’. Van Dijk: “Daarom zitten we nu bijvoorbeeld aan tafel bij partijen als het Nationaal Platform voor de Laadpaalinfrastructuur (NAL). En zo zijn er veel meer nieuwe dossiers waar we bij betrokken worden en willen zijn “

De lucht en de grond raken vol

In verband met de energietransitie moeten er nieuwe kabels en leidingen onder de grond gelegd worden. Dat is nodig om elektriciteitsnetten uit te breiden of te verzwaren, of voor de aanleg van warmte- of waterstofnetten. Maar onzorgvuldig graven kan leiden tot schade aan kabels en leidingen die al in de grond liggen. Van Dijk: “Ik moest zelf ook even aan het idee wennen, maar de lucht begint aardig vol te raken met al die signalen en golven. Net als de grond met kabels. Het baart mij zorgen dat de graafsector er de afgelopen jaren nog niet voldoende in geslaagd is graafschade te verminderen.”

CE-markering

Naarmate de overgang naar duurzame energie vordert, worden de kwetsbaarheden groter. Zo zijn er nu al een miljoen huishoudens die zelf stroom opwekken via zonnepanelen. De komende jaren zal dat groeien naar zo'n twee miljoen. Van Dijk: “Nu zijn bedrijven vaak allang blij als hun nieuwe toepassingen voor de energietransitie überhaupt werken en aansluiten op de rest van het stroomnetwerk. Maar dan leggen ze de finish echt te vroeg. Ze moeten de risico’s die al die nieuwe koppelingen en toepassingen met zich meebrengen in kaart hebben en zorgen voor een goede weerbaarheid. De bekende CE-markering, die mede onder ons toezicht valt, ging er vroeger vooral om dat je apparaat veilig was en geen storing veroorzaakte. Dat is nog steeds belangrijk, maar daarnaast is er steeds meer oog voor cybersecurity. Vandaar dat de EU nu ook eisen voor cybersecurity heeft toegevoegd aan de eisen waar apparaten aan moeten voldoen. Dat is een belangrijke stap, die goed past in de Roadmap veilige hard -en software waarin het ministerie van EZK en Agentschap Telecom samen optrekken.”

Industrial Automation & Control Systems (IACS)

Bij cyberweerbaarheid en het veilig maken van de digitale infrastructuur denkt men in eerste instantie aan IT en blijft aandacht voor OT (operational technology in het bedrijfsleven) achter. De CSR heeft voorgesteld om met sectorale IACS-controleraamwerken te werken. Dit is bekend terrein voor Agentschap Telecom. Van Dijk: “Wij werken vanuit het wettelijk kader van de Telecommunicatiewet en de Wbni met een open norm richting telecomaanbieders, netbeheerders en energiebedrijven. En in samenwerking met de graafsector hebben we de CROW500-richtlijn ontwikkeld voor het voorkomen van graafschade aan leidingen en kabels. Voor bijvoorbeeld raffinaderijen en energieleveranciers werken we met geharmoniseerde standaarden en normen, om vorm te geven aan toezicht met een open norm. Ook al is risicomanagement in principe de verantwoordelijkheid van bedrijven zelf, wij kiezen voor een werkwijze van kennis en ervaring delen. Daarom hebben we bijvoorbeeld samen met de CSR en het NCSC een reeks webinars georganiseerd over IACS, waarbij wij onder meer aandacht hebben gegeven aan de ISO/IEC 62443, een norm die binnen de energiesector vaak gebruikt wordt.”

Nieuwe taken: NCCA en AI

In de komende periode blijft Agentschap Telecom als autoriteit in de digitale infrastructuur volop inzetten op de beschikbaarheid, weerbaarheid en veiligheid van technische infrastructuren en het vertrouwen in het gebruik en de veiligheid van diensten en apparaten. Een nieuwe taak daarin wordt de invulling die AT gaat geven aan de Europese Cybersecurity Act (CSA). Van Dijk: “Wij krijgen de rol van Nationale Cybersecurity Certificeringsautoriteit (NCCA). CSA-certificering is nu nog vrijwillig, maar wordt waarschijnlijk verplicht. Met het afgeven van de certificaten gaan wij bijdragen aan zekerheid voor afnemers van producten, diensten en processen dat de cybersecurity is gewaarborgd. Daarnaast zijn er ook veranderingen in wetgeving zoals de nieuwe versie van de Networks & Information Systems richtlijn (NIS) en de ontwikkeling van een specifieke Netcode op Cybersecurity, met specifieke wetgeving voor partijen die een grote rol spelen op het elektriciteitsnet zoals netbeheerders en mogelijk in de toekomst ook andere partijen die grote hoeveelheden vermogen ‘onder de knop’ hebben. Ook heeft de Europese Commissie onlangs uitgesproken dat er in elke lidstaat een duidelijk aanspreekpunt voor artificiële intelligentie zou moeten komen. Dat zijn belangrijke maatschappelijke ontwikkelingen die ons land verder brengen en digitaal veiliger maken. Daar denken wij als Agentschap Telecom graag over mee.”

Toen Van der Weyden zevenenhalf jaar geleden begon bij Rijkswaterstaat was IT nog een ondersteunende afdeling binnen de organisatie. Onder zijn leiding is IT geïntegreerd in het primaire proces. Een werkend en veilig IT-systeem is essentieel voor het veilig, leefbaar en bereikbaar houden van Nederland. Rijkswaterstaat is verantwoordelijk voor de infrastructuur die hiervoor zorgt. Denk daarbij onder andere aan het beheren van zogenoemde objecten zoals tunnels, bruggen, sluizen en ook de stormvloedkeringen.

‘Wij beheren vitale objecten. Het heeft een maatschappij-ontwrichtende impact op het moment dat deze uitvallen. Bijvoorbeeld de waterkeringen moeten natuurlijk altijd blijven werken.’’ Van der Weyden benadrukt dat het beheer van objecten op een integrale manier moet worden aangepakt, want zowel fysieke en digitale veiligheid als een veilige IT- en OT-omgeving zijn onmisbaar voor de algemene veiligheid. Rijkswaterstaat is niet de enige partij die vitale objecten beheert, daarom is samenwerking met de gehele keten zo belangrijk, bijvoorbeeld in het waterdomein. Van de stormvloedkeringen in het westen tot de sluizen en dijken in het oosten, het is een groot aaneengeschakeld netwerk van objecten waar verschillende partners verantwoordelijkheid hebben. Met al die partners zoekt Rijkswaterstaat samenwerking op verschillende gebieden.

Rijkswaterstaat is zelf altijd bezig met het verbeteren van de cybersecurity. Zo maakt het geen gebruik van het publieke internet voor het aansturen van objecten, maar heeft de organisatie hiervoor een eigen glasvezelnetwerk. Dit netwerk monitort en beveiligt de organisatie zelf met het Security Operations Center (SOC) en de netwerkbeheerders. Van der Weyden vertelt dat er inmiddels ruim 34 miljard handelingen per week worden bekeken. Doordat Rijkswaterstaat veel aandacht heeft voor cyberveiligheid, heeft dit in de afgelopen jaren niet tot grote problemen geleid. Toch verslapt de aandacht niet bij Rijkswaterstaat: ‘’We hebben een ambitieuze houding en gaan ervan uit dat een aanval altijd kan gebeuren. Dus moeten wij ervoor zorgen dat we weerbaar zijn als we worden aangevallen. Het is een ratrace waarin kwaadwillenden naar binnen willen en wij hen buiten willen houden. Wij willen die race winnen.’’

Willem Dittrich is als hoofd van het Security Centre van Rijkswaterstaat iedere dag bezig met deze race. Monitoring en detectie is inderdaad een van de drie hoofdtaken.', zegt hij hierover. "Die 34 miljard handelingen per week bevatten bijvoorbeeld virusscanresultaten of spam e-mails. Hieruit destilleert ons systeem wat we verder willen onderzoeken en analyseren. Dat doen we met slimme filters en met de mensen die werken in ons eigen Security Operations Center. Door voortdurend te zorgen dat onze filters up-to-date blijven, verzwaren we doorlopend de digitale dijken."

Toch kwam uit het rapport Digitale dijkverzwaring: cybersecurity en vitale waterwerken uit 2019, van de Algemene Rekenkamer, dat de cybersecurity van verschillende (vitale) waterwerken nog beter konden worden beveiligd tegen cyberaanvallen. De aanbevelingen uit het rapport zijn ter harte genomen en grotendeels geïmplementeerd, maar ook moet een aantal punten nog worden verbeterd. Van der Weyden licht toe dat de verouderde systemen niet per definitie een risico zijn voor de veiligheid doordat de systemen een stuk weerbaarder zijn dan ten tijde van het rapport. Mede dankzij de aanbevelingen uit dit rapport is de cyberveiligheid van Rijkswaterstaat volgens hem op het juiste niveau, het houdt de organisatie scherp om constant de juiste keuzes te maken en de bijbehorende investeringen op tijd te doen.

Teamwerk

De CIO is trots op zijn zeer vakkundige team dat constant snelle ontwikkelingen doormaakt en doorvoert. Rijkswaterstaat is een van de eerste organisaties binnen de Rijksdienst waar ze professioneel aan de slag zijn gegaan met cyberveiligheid. Dit heeft ervoor gezorgd dat er veel ervaring, vakmanschap en handigheid in huis is. Het geheim om de juiste mensen aan boord te krijgen en houden? ‘’We leiden onze mensen zelf op. De IT-wereld verandert constant, waardoor werkzaamheden van bepaald personeel verdwijnen. Deze mensen kennen de Rijkswaterstaat-omgeving goed, dus we leiden ze op en zorgen dat hun ontwikkeling past bij de ontwikkeling van de organisatie.’’

Een andere reden dat IT’ers graag bij Rijkswaterstaat willen werken, is de relevantie van het werk. Binnen de organisatie zijn mensen 7 dagen per week, 24 uur per dag bezig met het draaiende houden van de Nederlandse infrastructuur. Cybersecurity levert een cruciale bijdrage aan de missie van Rijkswaterstaat: samenwerken aan een veilig, leefbaar en bereikbaar houden van Nederland.

"Het is belangrijk dat we cybersecurity zo vroeg mogelijk onderdeel maken van het ontwerp en van het asset management", vult Dittrich aan. "We noemen dit Security by Design, een tweede hoofdtaak van het Security Centre. Juist in het domein van OT was er behoefte aan een gedeeld kader voor cyberveiligheid. Daarom heeft Rijkswaterstaat samen met de waterschappen én in overleg met de markt de CSIR opgesteld: De Cybersecurity Implementatierichtlijn Objecten - Rijkswaterstaat. Kort geleden verscheen de 3.0 versie van deze CSIR. Door met een gezamenlijk kader te werken kun je elkaar ondersteunen in de toepassing. Richting de sector hanteer je ook één lijn en dat creëert overzicht en voorspelbaarheid", aldus Dittrich. "Het werkt, en het werkt goed."

Cybersecurity is binnen RWS dermate belangrijk dat dit volledig door eigen mensen wordt vormgegeven. Maar dat betekent niet dat ze niet samenwerken. Met andere cybersecurity-afdelingen binnen de overheid wordt veel kennis gedeeld, terwijl het Nationaal Cyber Security Centrum juist een coördinerende functie heeft. Ook werkt RWS samen met zeer gespecialiseerde bedrijven, die vaak een inhoudelijke analyse maken van (potentiële) problemen. Vervolgens gaan ze intern aan de slag om met deze analyse tot oplossingen te komen.

Er wordt ook intensief samengewerkt met de SOC's van andere uitvoeringsorganisaties. "In wat we het Joint SOC noemen, zorgen we ervoor dat specialisten van verschillende uitvoeringsorganisaties kennis, kunde en ervaringen met elkaar delen. Ook is begin 2020 het Nationaal Response Netwerk (NRN) ingericht. Dit netwerk vormt RWS samen met de Informatiebeveiligingsdienst van de Nederlandse gemeenten (IBD), de Belastingdienst, de ICT-coöperatie van onderwijs en onderzoek SURF, het Ministerie van Defensie, Rijkswaterstaat en het Nationaal Cyber Security Centrum. Deze partijen hebben in een convenant vastgelegd dat ze waar mogelijk schaarse, specialistische capaciteiten delen op de momenten dat één of meerdere deelnemers dit nodig hebben." Dittrich is blij met het NRN en hoe dit functioneert. "Incident response is cruciaal in de security-operatie. Doordat er een NRN is kunnen we een beroep doen op elkaars inzet op het moment dat we dat nodig hebben. Om goed voorbereid te zijn op deze samenwerking wordt er gezamenlijk geoefend en kennis uitgewisseld. 'The profit is in the proces", aldus Dittrich. "We leren zoveel van onze gezamenlijke activiteiten. Alleen dat al maakt het meer dan de moeite waard."

Water houdt zich niet aan grenzen

De recente overstromingen in Limburg, België en Duitsland hebben weer eens bewezen dat water zich niets aantrekt van landgrenzen. Waterbeheer vraagt dus ook om internationale samenwerking. Rijkswaterstaat deelt al informatie en kennis met andere landen, maar de ambities gaan verder. In een Digital Europe Programme zou deze samenwerking nog meer gestalte krijgen, maar ook in I-STORM werkt RWS samen op het gebied van stormvloedkeringen.

Wat de overstromingen ook duidelijk maakten, is dat je achter een computer het water niet kan laten verdampen. Uiteindelijk staat alle techniek die Rijkswaterstaat beheert ten dienste van een veilig, leefbaar en bereikbaar Nederland. Ook op spannende momenten moet de techniek het doen. In de voorbereiding op uitval hanteert Rijkswaterstaat een all hazard benadering, of het nu gaat om uitval van elektriciteit of van het glasvezelnetwerk: er is altijd een back-up plan beschikbaar voor de bediening.

Van der Weyden realiseert zich maar al te goed dat niemand alleen staat binnen het waterbeheer. Als Waterschap niet, maar ook als Rijkswaterstaat niet. ‘’De hele keten is zo sterk als de zwakste schakel, dus het is aan ons om, samen met onze partners deze hele keten nog beter te beveiligen. We zijn hier al mee bezig en ook de bewustwording wordt steeds groter. Maar deze uitdaging blijft relevant voor de komende jaren.’’

Stikker spreekt expliciet over het internet en niet over cyberspace: “Ik vind het merkwaardig dat cyber als een eigen domein wordt behandeld. Het lijkt te duiden op een aparte ruimte, die los staat van de fysieke ruimte. Dat was in het begin van de jaren negentig wellicht het geval, maar nu zijn alle maatschappelijke en fysieke processen verweven met digitalisering. De technologie achter deze digitalisering wordt ontwikkeld door organisaties en is niet neutraal. De kern van de vraag is: wie heeft de technologie in handen? Diegene heeft een machtspositie over anderen. Het rare is dat velen denken dat technologie ons overkomt, maar het begint met mensen die technologie maken. We moeten onszelf vragen blijven stellen: hebben we nog strategische autonomie over onze infrastructuur, hebben we nog zelfbeschikking over ons eigen leven?”

Digitale autonomie

De opvatting van Stikker is dat we als samenleving te lang technologie over ons heen hebben laten komen. Stikker: “Daardoor staat onze kritieke infrastructuur op het spel. We hebben de vrije markt vrij spel gegeven en hebben onze samenleving overgeleverd aan extractieve verdienmodellen van een steeds kleiner aantal grote spelers. Privatisering maar ook digitalisering van onder andere onze water-, voedsel- en energievoorziening, maar ook van de telecom zorgen ervoor dat we geen zicht hebben op het eigenaarschap van en geen soevereiniteit hebben over de kritieke infrastructuur.”

Dat is volgens Stikker het geopolitieke aspect van onze digitale autonomie. “Maar het treft in essentie alle lagen van de samenleving. Van grote kritieke infrastructuur, tot mkb’ers en zelfstandigen. Deze worden steeds meer afhankelijk van platforms, kunnen hun eigen prijzen en dienstverlening niet meer bepalen en kennen soms hun eigen klanten niet eens meer. Digitale autonomie is een nested problem, het doet zich in het groot en in het klein voor. Op het niveau van het individu gaat het om de vraag of we nog zelfbeschikking hebben of dat digitale systemen onze toekomst bepalen.”

Het lastige van de huidige cybersecuritybenadering vindt Stikker de nadruk die wordt gelegd op het behoud van het economische krachtenveld. “Dit geldt ook voor de adviesrapporten van de Cyber Security Raad. De fundamentele vraag wordt niet geadresseerd: de mate waarin we afhankelijk zijn van de leveranciers van systemen. De politiek hecht zoveel waarde aan een open economie en vrije markt, dat noodzakelijke waarborgen en begrenzing achterwege zijn gelaten. We hebben zo veel van onze publieke controle uit handen gegeven. Het is een schijntegenstelling. Ik ben ook voorstander van een open economie, maar dan een waarbij openheid betekent dat we te maken hebben met open technologie en datacommons, waarin monopolievorming wordt tegengegaan. Dat vraagt om een overheid die het land niet bestuurt als de BV Nederland, maar een die haar beleid verankert in publieke waarden.”

Technologie niet overlaten aan experts

Stikker waarschuwt al jaren over de macht van techbedrijven. Ze pleit voor een kritische houding van bestuurders. Stikker: “Het is makkelijk om kritische geluiden ten aanzien van technologie te diskwalificeren. Een kritische houding betekent niet dat je per se tegen iets bent, het betekent dat je onder bepaalde voorwaarden vooruit wil. Dit vereist analyses en het kunnen doorgronden van de achterliggende principes. Bestuurders moeten bij zichzelf nagaan op welke manier ze technologische innovatie wel en niet willen inzetten. Dat vraagt om een dieper begrip van bestuurders: ‘Waar optimaliseer ik voor en hoe legitimeer ik dat. Heb ik voldoende begrip van de materie? Wie ontwerpt de technologie, wie definieert waar we het voor gebruiken en wie heeft er vervolgens eigenaarschap over?’ Het is een maatschappelijk probleem waar we voor staan, het is niet enkel een bèta of engineering onderwerp want echnologie is niet altijd een-op-een een oplossing voor maatschappelijke problemen.”

Het is volgens Stikker cruciaal dat bestuurders begrijpen dat technologie niet neutraal is. “Als je de strategische autonomie van Nederland ook op dit vlak wil bewaken, dan kan je hier niet aan ontkomen en enkel vertrouwen op je experts en adviseurs. Kritische technologische kennis hoort voorwaardelijk te zijn om bestuurder te zijn.”

Urgentie omzetten in daadkracht

Zowel Nederland als de EU zijn op dit moment afhankelijk van slechts een paar techreuzen. Stikker ziet alternatieven voor de middellange en lange termijn, maar daar zijn wel keuzes voor nodig: “De macht van deze bedrijven is ongekend en ongewenst. Een bedrijf als Amazon zit niet alleen in retail, maar ook in de farmaceutische industrie, het verzekeringswezen en dataopslag. Waarom heeft het zo lang geduurd om mededingingsregels te handhaven? Een deel van de strijd moet geleverd worden in de VS met de break up big tech beweging, waarbij voorkomen moet worden dat bedrijven in verschillende branches tegelijk actief kunnen zijn.”

Maar ook Europa en Nederland hebben volgens Stikker een rol te spelen. “Er is al veel wetgeving in de maak, de digital market act, de digital services act, de AI act en natuurlijk de General Data Protection Regulation (GDPR). Maar de handhaving hiervan ontbreekt terwijl dit cruciaal is. We consumeren dagelijks enorme hoeveelheden digitale diensten, maar moeten het doen met een fractie van de toezichthouding die we bijvoorbeeld op levensmiddelen hebben. Dat is gênant.”

“Een andere oplossing is dat we zelf de alternatieven gaan maken. Maar dat vraagt wel weer om innovatie, energie en maakkracht. De ruimte is er, er is behoefte aan. We moeten principes opstellen die publieke waarden terugbrengen in het digitale domein. Principes als encryption by design, privacy by design, open source en interoperabiliteit. We moeten toe naar andere vormen van eigenaarschap en verdienmodellen, waarbij open source gecombineerd wordt met een gezond ecosysteem, van verschillende bedrijven, dat deze diensten levert. Zodat we ook af kunnen van vendor lock-in. Zolang de overheid dat niet als uitgangspunt neemt, zijn soevereiniteit en digitale autonomie nog heel ver weg.”

Stikker stelt dat er behoefte is aan systemische veranderingen in juridische bepalingen, in aanbestedingen, in interne kaders en in de principes die ten grondslag liggen aan keuzes die we maken. “Dit waarborgt dat de investeringen van honderden miljoenen in startups en nieuwe technologieën onze digitale autonomie aantasten, doordat bijvoorbeeld verkeerde partijen macht over ons uitoefenen. Er kan een grote slag gemaakt worden als het gevoel van urgentie wordt omgezet in daadkracht.”

Cybersecurity demystificeren

Er is in Nederland een groot tekort aan cyberspecialisten en kennis over cybersecurity. “We moeten het voor jong mensen aantrekkelijker en toegankelijker maken om zich hierin te specialiseren,” aldus Stikker. ‘’Dat begint al op school, waar we scholieren moeten interesseren voor het onderwerp. Ze laten zien dat cyber en digitalisering belangrijk zijn voor iedereen. Nieuwsgierigheid begint als ze weten waar ze hun opgedane kennis voor kunnen inzetten. Waarom zou je willen leren coderen als je niet weet waar je dat voor kan toepassen?”

“Veel leerkrachten zijn doodsbenauwd voor technologie en technologieonderwijs. Terwijl het niet zo ingewikkeld is. Wij organiseren cursussen waarbij we in drie dagen de angst van leerkrachten veranderen in nieuwsgierigheid. Technologie is niet abstract maar creatief en concreet. Het is niet zozeer een informatica-vak, maar een ontwerpvak. Dat kun je ook collectief op scholen doen: door leerlingen te leren knutselen, door digitale vaardigheden én maatschappelijke vraagstukken verbinden. Door technologie te zien als onderdeel van het ontwikkelen van burgerschap en niet alleen als een hardcore bètavak. Wat ook enorm zal zorgen voor meer inzicht is het versterken van de rol van geesteswetenschappen en sociale wetenschappen. Zorg dat deze wetenschappen een bijdrage leveren aan het ontwerp van de toekomst, in plaats van alleen in een reflectiemodus te zitten.”

Er is volgens Stikker een enorme potentie in de samenleving om bij te dragen aan het ontwerpen van de digitale toekomst. “Maar dan moet het idee verdwijnen dat het alleen voor de slimme data-wetenschapers en young capital is weggelegd. Bij Waag hebben we ervaring met open sensortechnologie waarmee bewoners data genereren over hun leefomgeving. Daar hoort ook data-geletterdheid bij: hoe moet je data interpreteren? Daarin werken we samen met het RIVM. Je staat verstelt van de leergierigheid en de hoeveelheid al aanwezige kennis van mensen. ”

Meldingsplicht voor cyberincidenten

Waag is een schakel tussen de fysieke en digitale samenleving. Stikker zet zich in om die twee werelden bij elkaar te brengen, maar constateert ook dat er een taboe heerst op cyberincidenten: “Men schaamt zich als er iets misgaat, als er gehackt wordt. Dat suggereert dat de veiligheid van de systemen niet op orde is. Er zou een publieke meldingsplicht moeten komen. Het is raar dat we niet weten hoeveel mensen in de problemen komen door bijvoorbeeld identiteitsfraude. Door regelmatig meldingen te maken, krijgen we een idee van de omvang van het probleem. We moeten ons instellen op het feit dat software nooit volledig veilig zal zijn. Op het moment dat nieuwe software gereleaset wordt, ontstaat er een kwetsbaarheid en een afhankelijkheid van andere systemen.”

Stikker is van mening dat er nog te weinig wordt nagedacht over technologie. “Dat zou veel meer zichtbaar moeten zijn. Zodat mensen zich af kunnen vragen: Waarom zijn onze straten, onze deurbellen en onze tandenborstels eigenlijk smart? Hoezo is informatie over mij verhandelbaar? Mijn persoonlijke integriteit moet toch beschermd zijn. We verhandelen onze organen toch ook niet. Hoe kan het dat we een app store hebben waar producten in zitten die rechtstreeks onze soevereiniteit en autonomie bedreigen? We doen nu alsof spying software en facial recognition vanzelfsprekend zijn. Dat is het niet. Dat soort spullen horen niet op straat, niet in je deurbel, en niet in je tandenborstel.”

Randvoorwaarde voor innovatie

Security zien we als randvoorwaarde voor innovatie, het zorgt voor vertrouwen. Gezien het belang van security, wil ik me inzetten om genoemde aandachtsgebieden te adresseren en cybersecurity een prioriteit maken met behulp van het netwerk van NLdigital. Dit netwerk kan mede helpen het benodigde bewustzijn te creëren. De inzet van het netwerk en hun ervaring kan tevens bijdragen om tot standaarden te komen en het ‘security en privacy by design’ principe in te bedden in alle vormen van product- en dienstontwikkeling.

Belangrijk hierbij is de publiek-private samenwerking voor de gezamenlijke ontwikkeling van oplossingen, zoals voor het Digital Trust Center (DTC). Voor het DTC dat vanuit het Ministerie van Economische Zaken en Klimaat is opgezet, om de 1,8 miljoen bedrijven buiten het werkveld van het Nationaal Cyber Security Centrum (NCSC), te adviseren en ondersteunen op het gebied van cybersecurity, moeten mijns inziens veel meer middelen vrijgemaakt worden om deze taak goed te kunnen vervullen. Ik ben ervan overtuigd dat de bedrijven van Nederland hierdoor veiliger zullen worden.

Veel oplossingen voorhanden

Op dit moment zijn al veel oplossingen beschikbaar om veiligheid te bevorderen. Vanuit NLdigital vinden we het een gemiste kans dat we deze oplossingen niet op veel grotere schaal gebruiken – dus toepassen wat reeds beschikbaar is. De innovatie die we nu ook nodig hebben is meer standaardisatie in de hele keten en dat dan ook continu verbeteren. Met geïmplementeerde standaarden kan er meer worden geautomatiseerd dan nu het geval is. Dit zal onder andere leiden tot een veel hogere reactiesnelheid bij kwetsbaarheden, waardoor schade bij veel meer aanvallen voorkomen kan worden. Bovendien draagt deze automatisering bij aan de productiviteit van security-experts in een markt van schaarste.

Belang integrale aanpak cyberweerbaarheid

Op dit moment is de cyberweerbaarheid in Nederland nog niet overal afdoende om de toenemende dreigingen het hoofd te bieden. Cyberweerbaarheid is een complexe uitdaging en moet in alle lagen van onze samenleving geadresseerd worden. Cybersecurity wordt nadrukkelijk gezien vanuit een soevereiniteitsperspectief. Dat wil zeggen dat onvoldoende cyberweerbaarheid ten koste gaat van onze digitale autonomie. De CSR adviseert daarom een integrale benadering om de cyberweerbaarheid te vergroten, wat neerkomt op regie op cyberweerbaarheid, veilige producten en diensten voor burgers, bedrijfsleven en overheid, weerbare vitale processen en infrastructuur, cybercrimetoezicht, -handhaving en -bescherming en kennis, onderzoek en innovatie. Daarmee zouden mijn drie eerdergenoemde aandachtsgebieden geadresseerd worden.

Als algemeen directeur van het NCSC heeft Martin de Britse nationale strategie voor cyberbeveiliging 2016-2021 voltooid. [1] “De strategie was in één woord pro-actief te noemen”, aldus Martin. “We maakten een einde aan een bepaalde consensus over cyberbeveiliging bij de overheid die de afgelopen tien jaar onder leiding van het westen/de Verenigde Staten overheerste. Deze consensus was om zich te concentreren op het topje van het probleem en de rest aan de markt over te laten. Dit hield in dat mensen werden aangemoedigd informatie uit te wisselen en samen te werken met de overheid. Echte details over wat dat betekende, ontbraken. Het was erg passief en werkte niet echt.”

[1] De strategie moet worden herzien. Maar vanwege alle politieke moeilijkheden met de brexit en COVID-19 hebben alle overheidsstrategieën vertraging opgelopen. De nieuwe strategie moet binnenkort worden gepubliceerd.

Een meer pro-actieve aanpak

Een bekende uitkomst van de strategie voor 2015 en 2016 is de oprichting van het NCSC als de enige autoriteit voor cyberbeveiliging in het Verenigd Koninkrijk. “Dat was op zichzelf niet zo belangrijk, maar hiermee werd de strategie veranderd naar een meer pro-actieve aanpak.”

Deze aanpak kwam tot uiting in vier hoofdactiviteiten. De eerste was om echt grip te krijgen op bedreigingen en incidenten. “We zagen dit bij de TalkTalk-hack in 2015, toen een grote telefoonmaatschappij werd gehackt. Er waren geen regels voor de manier waarop de publieke gevolgen van het incident moesten worden beheerst. Al hadden we alle kennis van de wereld, dan zouden we niet nog in staat zijn geweest om die in praktijk te brengen, omdat we geen autoriteit hadden om het publiek of de getroffen bedrijven gerust te stellen en met hen te communiceren. Dit veranderde met de oprichting van het NCSC.”

Aan de tweede activiteit wordt volgens Martin nog gewerkt: de verbetering van de veerkracht in kritieke infrastructuur. “Op het gebied van traditionele infrastructuur zijn wezenlijke veranderingen vrijwel onmogelijk. Je bent dan alleen bezig met beperken. Maar nu nemen we bij het bouwen van nieuwe kritieke infrastructuur, zoals slimme transitsystemen, veerkrachtige beveiliging op in het ontwerp op basis van deskundig advies van het NCSC.”

Ingrijpen als de markt niet werkt

“De twee laatste activiteiten vormen de interessantste breuk met het verleden”, aldus Martin. “De derde is directe overheidsinmenging in delen van structurele onveiligheid op het internet waar de markt niet werkt. Een voorbeeld hiervan zijn onze maatregelen tegen spoofing van merken. Dit is een groot probleem op het gebied van cyberbeveiliging, maar niemand doet er iets aan. Wij kwamen erachter dat een van de redenen hiervoor is dat het niet loont om hier iets aan te doen. Spoofing lijkt de positie van het merk niet te schaden. Als je een nepmail van (zogenaamd) jouw supermarkt krijgt, ga je daar nog steeds je boodschappen doen omdat het niet hun fout was.”

“Daarom besloot het NCSC op te treden”, zegt Martin. “Wij hebben alle overheidsmerken verplicht het DMARC-protocol in te voeren, waardoor het veel moeilijker werd om e-mails te spoofen. We hebben ook een vrij beschikbare versie voor bedrijven gepromoot. Het protocol vertelt een e-mailclient hoe een officiële e-mail van een organisatie eruit moet zien. Als dit niet overeenkomt, is dat een signaal om de e-mail niet te versturen. In 2017 hebben we een proef gedaan met de belastingautoriteit. In één jaar hebben we de verzending van 500 miljoen valse pogingen verhinderd.”

De laatste activiteit is erop gericht om veilig internetten eenvoudiger te maken. “We hebben de discussie over het wachtwoordbeleid gewonnen. In het verleden had elk netwerk dat we gebruikten zijn eigen wachtwoordbeleid. Je werd gedwongen een lang, uniek wachtwoord te gebruiken en dat eens in de zoveel tijd te veranderen. Al snel had je een heleboel verschillende wachtwoorden. Dit maakte het voor gebruikers onmogelijk om veilig te internetten. Een hoogleraar gedragswetenschappen berekende dat dit hetzelfde was als aan mensen vragen om elke maand een nieuw nummer met 600 getallen te onthouden. We gebruiken niet langer de zin “mensen zijn de zwakste schakel op het gebied van cyberbeveiliging”, maar richten ons in plaats daarvan op een aantal hervormingen om te proberen veilig internetten eenvoudiger te maken. Hiervoor moet ook actief worden gecommuniceerd met het publiek.”

De obsessie met informatie-uitwisseling

Wat betreft informatie-uitwisseling is Martin kritisch over de aandacht die hiervoor in de cyberbeveiliging is. “We hebben van het concept informatie-uitwisseling als oplossing veel meer gevergd dan het aankon. Als onderdeel levert het een nuttige bijdrage. Een fantastische zin, die ik niet zelf heb bedacht, verwoordt het goed: “informatie-uitwisseling vormt de gedachten en gebeden van cyberbeveiliging”.

Een goede informatie-uitwisseling kan volgens Martin doeltreffend zijn, maar dit vraagt veel inspanning. “Kijk naar Wall Street, waar veel technische capaciteit en geld worden besteed aan de uitwisseling van wederzijds begrijpelijke gegevens. Dit is duur en vergt veel vaardigheden en inspanning. Het is minder nuttig om gewoonweg informatie op een hoop te gooien en te zeggen: “laten we dingen delen”. Als iemand over 50 jaar een proefschrift schrijft over cyberbeveiliging aan het begin van de 21^e eeuw, denk ik dat een van de belangrijkste vragen is: waarom was iedereen zo geobsedeerd met informatie-uitwisseling, alsof alles daar om draaide?”

Martin stipt een aantal belemmeringen voor informatie-uitwisseling aan. “Organisaties zijn op hun hoede voor concurrentie en aansprakelijkheid. Bovendien zijn mensen vaak op zoek naar rendement voor hun activiteiten. Wat kan er worden gewonnen? Natuurlijk kan het echt helpen als de overheid bepaalde informatie deelt. Persoonlijk denk ik dat er meer informatie uitgewisseld zou worden als dit veel problemen zou oplossen. Het draagt dus bij tot een bredere cyberbeveiligingsstrategie, maar veel strategieën zijn net zo belangrijk of nog belangrijker.”

Volgens Martin kan het model voor samenwerkingsverbanden van het NCSC worden vergeleken met een ui. "Het is een landelijke aanpak, maar met verschillende lagen. De binnenste ring is directe ondersteuning aan en dienstverlening voor defensie en militaire middelen. Onderdelen van het NCSC maken producten voor het ministerie van Defensie. De volgende laag is de overheid, gevolgd door kritieke infrastructuur waar we middelen inzetten voor veerkracht en beperking en sectorale richtsnoeren bieden. Het Verenigd Koninkrijk heeft een zeer flexibele benadering van wat kritiek is en wat niet. Er kunnen organisaties zijn waar je nog nooit van gehoord hebt, maar het kan kritiek zijn als er iets met hen gebeurt. Denk bijvoorbeeld aan een domeinnaamregistrator of politieke instellingen die een aantal jaar geleden zijn toegevoegd aan de lijst.” Het NCSC heeft volgens Martin nooit echt een openbare lijst met kritieke infrastructuur opgesteld. “Wij zijn van mening dat we het gezien de aard van de bureaucratie altijd verkeerd zouden doen en dat de lijst, zelfs als we het wel goed zouden doen, direct verouderd zou zijn. De vierde laag bestaat uit alle andere mensen. In een land met 66 miljoen mensen kun je niet met iedereen praten. Maar we publiceren informatie, zoals richtsnoeren voor kleine ondernemingen, en helpen ze met de basisbescherming.”

Martin legt uit dat de Brexit minimale gevolgen heeft gehad voor de internationale samenwerking. “Mogelijk zijn de betrekkingen tussen staatshoofden verslechterd, maar de betrekkingen tussen cyberbeveiligingsagentschappen zijn juist verbeterd. Tijdens gesprekken over de Brexit is de operationele samenwerking aanzienlijk verbeterd. Als voorbeeld noemt Martin de samenwerking met Nederland na Operatie Den Haag, die Martin omschrijft als een uitstekend stukje werk van de Nederlandse collega’s. Misschien wordt cyberbeveiliging door de aard ervan minder getroffen door de Brexit. De operationele omgeving is zeer apolitiek. We werken nog steeds nauw samen en zullen dit in de toekomst blijven doen.”

De groeiende zorgen over gijzelsoftware

Voor Martin is gijzelsoftware op dit moment het meest urgente probleem op het gebied van cyberbeveiliging. “In de loop van 2020 en 2021 is de maatschappijontwrichtende impact ervan veel zichtbaarder geworden. Voorheen was het ook big business, maar werd het ingezet voor de stille afpersing van grote, rijke ondernemingen. Die betaalden gewoon om er vanaf te zijn. Het is niet verplicht om dit openbaar te maken, dus het bleef grotendeels onopgemerkt. Om de een of andere reden zijn ze zich gaan richten op zaken als nationale gezondheidszorgstelsels. Los van het absolute gebrek aan moraliteit en het gevaar dat dit met zich meebrengt, krijgen mensen nu steeds meer te maken met de gevolgen.”

Volgens Martin is het meest zorgwekkende dat is veroorzaakt door de explosie aan gijzelsoftware in 2020 en 2021, het feit dat ons vertrouwen in de veerkracht van organisaties en met name de diensten die zij verlenen is afgenomen. “Een van de belangrijkste regels op het gebied van cyberbeveiliging was altijd dat de operationele technologie nooit mocht worden beïnvloed door de technologie van ondernemingen. Dit houdt in dat het hacken van een e-mailsysteem er niet voor mag zorgen dat een pijpleiding of een ziekenhuis wordt stilgelegd. Maar dat is precies wat we de afgelopen twee jaar hebben zien gebeuren. Dat gat in onze veerkracht is zorgwekkend. Als dit met middelgrote capaciteit kan worden gedaan, denk je dan eens in wat er kan gebeuren als natiestaten met meer en geavanceerdere mogelijkheden aan de knoppen zitten.”

Martin noemt drie zaken die in het voordeel zijn van de criminelen die gijzelsoftware gebruiken. “Ten eerste is er in Rusland en een aantal andere landen een veilige haven waar ze ongestoord te werk kunnen gaan. Ten tweede is er de slechte veerkracht van organisaties, waardoor ze kwetsbaarder zijn. Organisaties moeten zich afvragen wat er gebeurt als ze hun systeem kwijtraken. Kunnen zij hun pijpleiding nog gebruiken of gezondheidszorg verlenen? Zo niet, bedenk dan hoe dit wel kan. Het derde voordeel is het bedrijfsmodel dat gunstig is voor de criminelen. Het is makkelijk om mensen af te persen en betalingen in cryptomunten zijn moeilijk te traceren. Hier is meer regelgeving voor nodig om de betalingen te beperken of verbieden en te eisen dat deze openbaar worden gemaakt. Na 11 september 2001 was het beperken van financiële stromen en het stoppen van de geldstroom een belangrijk onderdeel van de strijd tegen terrorisme. Hetzelfde moeten we in de strijd tegen criminelen die gijzelsoftware gebruiken doen met cryptomunten.”

Wees niet bang voor cyberbeveiliging

Martin geeft tenslotte wat advies aan leidinggevenden van organisaties: “Zet cyberbeveiliging niet weg als iets wat te technisch is, maar behandel het net als elk ander bedrijfsrisico. Richt je op de schade waarvan de kans het grootst is dat deze jouw organisatie treft en op welke maatregelen je redelijkerwijs kunt treffen. Schakel vervolgens iemand met technische vaardigheden in om je te helpen. Wees vooral niet bang voor cyberbeveiliging.” Hij heeft ook een advies voor beleidmakers: “We moeten meer voor onszelf opkomen. Het grootste strategische probleem is dat we – zonder dat dit iemands fout is – een technologisch systeem hebben omarmd waar we allemaal steeds meer afhankelijk van zijn, wat allerlei structurele onzekerheden met zich meebrengt. We moeten veiligere technologie eisen, net zoals we dit doen voor veiliger openbaar vervoer.”

Het THTC bestaat inmiddels meer dan tien jaar. Het werd ooit opgericht toen de Politie geconfronteerd werd met de eerste cybercrimes, en heeft zich inmiddels ontwikkeld tot een internationaal toonaangevend team van 140 man. Jansen: “Dat zijn niet alleen digitaal rechercheurs, maar ook ontwikkelaars en strategen die nationale en internationale vormen van high tech crime bestrijden. Dat doen we op innovatieve en baanbrekende manieren. Datascience gedreven opsporing is voor ons bijvoorbeeld essentieel. We sporen niet alleen op, we zetten ook in op een proactieve bestrijding van high tech crime.”

In feite is dat ook een integrale aanpak van cybercrime. “Klassiek recherchewerk begint wanneer een burger aangifte doet bij een politiebureau van bijvoorbeeld een cyberdelict, waarna de opsporingmachine gaat draaien,” legt Jansen uit. “Het THTC begint al vóórdat er een aangifte is gedaan. We zoeken bijvoorbeeld naar wat op dit moment wereldwijd de belangrijkste botnets of criminele actoren zijn. Vervolgens zoeken we naar kansen voor Nederland om die internationale groepen en organisaties te bestrijden. Die daders bevinden zich lang niet altijd in Nederland, maar ze maken wel gebruik van onze uitstekende digitale infrastructuur. Dat biedt kansen voor de opsporing.”

Daderpreventie

Het grote voordeel van de multidisciplinaire achtergrond van Jansen is dat ze gewend is om problemen van verschillende kanten te bekijken. “Ik focus mij eerder op het hoofdprobleem en de oorzaken daarvan. Daar rolt als vanzelf een integrale aanpak van cybercriminaliteit uit voort. Dat is een van de redenen waarom ik de Cyber Offender Prevention Squad (COPS) [1] van het THTC heb opgezet.”

[1] De Cyber Offender Prevention Squad (COPS) zet in op daderpreventie vanuit verschillende specialismen. Dit team bestaat uit een gedragsspecialist, interventiespecialist, digitaal specialist en de oprichter van het Britse NCA Prevent Team. Zij zoeken de samenwerking op met publieke en private partijen om preventieve interventies te ontwikkelen en hiermee daderschap van cybercrime te ontmoedigen.

“Waar we ons tot een paar jaar geleden beperkten tot het opsporen van cybercriminaliteit ten behoeve van vervolging, proberen we nu met de COPS een omslag te maken naar het breed bestrijden van het probleem. We doen dit door voorkomen en verstoren toe te voegen aan vervolgen. We leveren dus niet meer alleen een verdachte aan bij het Openbaar Ministerie, maar proberen een probleem te definiëren en te bedenken hoe we dat op een efficiënte manier kunnen bestrijden. Bijvoorbeeld door daderpreventie.”

Volledig spectrum bestrijden

Daderpreventie is een heel breed begrip. Jansen legt uit hoe COPS dit oppakt: “We proberen potentiële daders af te schrikken en bij te sturen naar positieve keuzes. Dat lukt voor een bepaald deel, maar een deel van de potentiële daders zal toch daadwerkelijk dader worden. Voor die laatste groep, die bewust kiest voor cybercrime, proberen we cybercriminele markten te verstoren en hun positie te verzwakken. Om dit te bereiken ontwikkelen we interventies voor deze twee verschillende groepen. We voeren deze interventies uit met partners binnen onze organisatie (zoals de basisteams en de cybercrimeteams) en partners hierbuiten, zoals gemeenten en cybersecuritybedrijven. We pogen met deze aanpak schade te voorkomen, talent voor de samenleving te behouden en de rechtsketen te ontlasten.”

“Het klassieke opsporen en vervolgen is een effectief middel, maar niet heel efficiënt. Het is de integrale blik waarmee we naar de problematiek hebben gekeken, waarbij het daderpreventieteam cybercrime voorkomt, ook naast het strafrecht. Met 140 man in het THTC heb je de capaciteit om een bepaald aantal daders per jaar op te sporen en te vervolgen. Als je aan daderpreventie of verstoring doet, dan is het mogelijk om veel meer effect te sorteren en het probleem aan de voorkant te bestrijden. Preventie is vaak schaalbaarder, proportioneler en efficiënter”

Samenwerking loont

Niet alle cybercrime is het werk van geharde criminelen, een deel wordt uitgevoerd door verveelde jongeren die de gevolgen van hun gedrag niet helemaal overzien. Tijdens de coronacrisis zag Jansen deze vorm van cybercrime toenemen: “Met name tijdens de lockdowns, toen iedereen binnen moest zitten, was er meer verveling. Daardoor nam zowel de motivatie als de gelegenheid toe. Daarom hebben we proactief positieve alternatieven ontwikkeld, zoals Gamechangers: speciale games om jongeren uit de cybercriminaliteit te houden. Met behulp van uitdagingen leren ze cybercrime te herkennen en wordt geprobeerd te voorkomen dat zij (onbedoeld) dader worden. Dit project is opgezet met verschillende coalitiepartners, zoals Deloitte, ESL gaming en Stichting Hack in the Class.”

“We werken altijd zoveel mogelijk met partners samen. De verantwoordelijkheid om cybercrime te voorkomen ligt namelijk niet alleen bij de politie. Stichtingen, bedrijven, publieke organisaties: iedereen heeft een verantwoordelijkheid. Met de COPS brengen we partijen bij elkaar, zodat iedereen vanuit zijn eigen informatiepositie een steentje bij kan dragen.”

Structurele financiering en aandacht

Er zijn volgens Jansen verschillende succesvolle voorbeelden van een integrale aanpak van cybercrime. “Een mooi succesproject is Hack_Right, een initiatief voor daders tussen de 12 en 23 jaar die voor het eerst een cyberdelict hebben gepleegd. Hack_Right is een alternatieve of aanvullende straf waarbij recidivepreventie het doel is. Het is opgezet door onder andere de politie, het OM, de Raad voor de Kinderbescherming, Reclassering, Bureau en Halt. Bijzonder aan Hack_Right is dat de private sector heeft meegewerkt aan de ontwikkeling en meewerkt aan de uitvoering van Hack_Right. De deelnemers gaan aan de slag voor en bij een cybersecurity-afdeling en worden hierbij begeleid door deze bedrijven. Zij hebben dus een heel belangrijke rol in de recidivepreventie.”

“Een ander succes is stichting HackShield, waar de overheid medefinancier van is. HackShield is een online game voor jongeren tussen de 8 en 12 jaar om niet alleen zichzelf, maar ook hun omgeving te beschermen tegen cybercrime. Het is een soort digitale scouting, waar veel publieke partners zoals gemeenten en politie aan meewerken. De stichting heeft de game ontwikkeld en de politie heeft onder andere meegewerkt aan de politiequest ‘Online Grenzen’. In deze quest leren jongeren hoe ze cybercrime kunnen herkennen en hoe ze kunnen voorkomen dat ze hiervan zelf dader of slachtoffer worden.”

Dit soort initiatieven worden volgens Jansen op dit moment nog niet structureel ondersteund. “Het hangt vaak aan elkaar van donaties, ook vanuit het bedrijfsleven. Structurele ondersteuning in zowel financiële zin als aandacht is nog heel mager. Dat geldt over de hele linie. Ook bij de politie is daderpreventie slechts een klein onderdeel, daar zou meer structureel aandacht en financiering voor moeten zijn. Want preventie zonder opsporing is tandeloos, maar opsporing zonder preventie is eindeloos.”

Er is in 2019 een eenmalige investering van €30 miljoen gedaan die ten dele is gebruikt voor de integrale aanpak van cybercrime. Jansen: “Die boost was heel hard nodig. De recherche is hiermee versterkt; we hebben nu bijvoorbeeld tiem regionale cybercrime units. De volgende stap is dat de handhavingskant van de politie ook in positie komt op het onderwerp cybercrime. In de offline wereld investeert de politie heel veel in preventie. Wie spijbelt, snoep steelt of een bushokje vernielt, wordt hierop meteen aangesproken en er wordt ingegrepen. Online vandalisme, diefstal en vernieling wordt nauwelijks opgemerkt, laat staan dat hierin wordt ingegrepen. Jongeren bouwen op deze manier razendsnel een cybercriminele carrière op buiten het zicht om van ouders, school en de politie. Slechts een deel van hen wordt opgespoord als ze echt veel schade aanrichten. We moeten zorgen dat het niet zo ver komt. We moeten zorgen dat wijkagenten ook online surveilleren en bijsturen. Maar dit roept veel vragen op. Waar? En hoe? Welke mogelijkheden en restricties gelden er voor de politie? Wat is de rol van het OM en de burgemeester? En welke competenties hebben agenten nodig om te handhaven op het internet? De politie concurreert ook met techbedrijven in de zoektocht naar de juiste mensen, dat is nieuw voor onze organisatie. Talent is schaars, we vissen allemaal in dezelfde vijver. Om nieuw talent voor het versterken van de handhaving op cybercrime te werven, is structureel budget nodig.”

Voorkomen meer effect dan oplossen

Ondanks de gemaakte voortgang, blijft het aantal cybercrime-incidenten en -delicten toenemen. Op de vraag of een integrale aanpak het tij kan keren geeft Jansen een genuanceerd antwoord: “Aan de ene kant moeten we de integrale aanpak intern bij de politieorganisatie verder versterken. Zorg ervoor dat verschillende onderdelen van de politie samenwerken om cybercrime te bestrijden, en laat het niet over aan een groepje specialisten bij de recherche. Maar bij die integrale aanpak moeten we ook externe partijen betrekken. Dat is een les voor iedereen: zorg dat je altijd samenwerkt met partijen die een rol hebben in de aanpak van cybercrime of die simpelweg hun verantwoordelijkheid pakken. Elke organisatie overziet een ander stukje van het probleem, elke organisatie heeft andere expertise, een ander mandaat en een ander netwerk. Het bij elkaar brengen van die expertise is echt de sleutel in het succesvol aanpakken van cybercrime, je bereikt een effect dat je anders zelf niet had kunnen bereiken.”

De politie werkt hiervoor ook samen met andere handhavingsinstellingen, zoals het OM, het Nationaal Cyber Security Centrum (NCSC), het Digital Trust Center (DTC), de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) en de Algemene Inlichtingen- en Veiligheidsdienst (AIVD). “We zijn een paar jaar geleden gestart met het platform NoMoreRansom. Dat is typisch een voorbeeld van een integrale aanpak waar allerlei organisaties een stukje aan bijdragen. Dit heeft zich doorontwikkeld in de Ransomware Taskforce, waarbij er verder wordt gekeken dan ransomware-incidenten oplossen. Dat leidt immers tot veel te weinig effect. In plaats daarvan probeert de Ransomware Taskforce eerst de spaghetti van ransomware-varianten en ransomware-dienstverlening in kaart te brengen, om zo te achterhalen welke partijen het belangrijkste zijn. Die worden vervolgens in samenwerking met de private industrie geselecteerd, om daarna die criminele groepering of dat proces zo goed mogelijk te bestrijden. Het neerhalen van het Emotet-botnet voorkomt veel meer ransomware-besmettingen dan we ooit achteraf hadden kunnen oplossen.”

Versterking handhavingsketen

Er wordt met andere woorden al veel samengewerkt aan een integrale aanpak van cybercrime. Toch ziet Jansen ook nog kansen om de handhavingsketen verder te versterken. “De start van het COPS-team belichaamt dat. Onze missie is ook om te zorgen dat de handhavingsketen veel meer wordt betrokken bij het onderwerp cyber, en dan niet alleen reactief maar ook op een proactieve manier. Het is zonde om steeds maar te wachten tot het mis gaat, vervolgens op te sporen en criminelen te berechten. Dan blijf je dweilen met de kraan open. Daderpreventie en de versterking van de handhavingsketen is een manier om die kraan te repareren.”

“Er ligt heel veel expertise en kennis in de handhavingsketen besloten: elke organisatie heeft zijn eigen manier van werken. Waarom zou die kennis niet werken voor de aanpak van cybercrime? Die organisaties kennen de weg in cyberspace alleen nog niet voldoende. Daar ligt een rol voor ons in besloten, om de handhavingsketen te ondersteunen zodat zij hun werkwijze ook online kunnen toepassen. Dat gaat verder dan alleen kennis delen en cybercrime signaleren, maar gaat juist om de vraag wat de handhavingsketen kan doen om te interveniëren. Ik kan mij voorstellen dat een organisatie als de AIVD dat op hun eigen niveau al doet, maar dan heb je het meer over statelijke actoren. Wij doen iets vergelijkbaar, maar dan veel meer op microniveau. Het is nodig dat op alle niveaus de handhavingsketen online veel meer ruimte inneemt. Dat de sirenes die je in een wijk hoort, ook online te horen zijn. Ongeacht of die zichtbare handhaving nu door de blauwe wijkteams van de Politie, door de MIVD of de AIVD wordt uitgevoerd, het gaat er om dát het gebeurt.

Naast een toename van het aantal cyberaanvallen, stijgt ook het schadebedrag steeds verder. De totale schade van cybercrime is ontzettend moeilijk zichtbaar te maken. Dit komt omdat er sprake is van zowel directe als indirecte schade. Daarnaast doen ook niet alle bedrijven aangifte wanneer zij slachtoffer zijn geworden van cybercriminelen. Jaarverslagen van Europol laten echter zien dat cybercrime en cyber enabled crime in sommige landen al veel groter is dan traditionele vormen van criminaliteit. Dit geeft naar mijn idee wel een goed beeld van de toenemende omvang.

Niet achteroverleunen

Tot op heden hebben cyberaanvallen in ons land nog geen grootse gevolgen gehad. Er wordt dan ook door zowel publieke als private partijen hard gewerkt en geïnvesteerd in een cyberweerbare samenleving. Ondanks alle goede stappen die we zetten, is onze cyberweerbaarheid nog niet overal voldoende op orde en dat maakt ons kwetsbaar. We kunnen en mogen daarom niet achteroverleunen, want wat gebeurt er als alle ziekenhuizen in Nederland bijvoorbeeld gelijktijdig aangevallen worden? Of wat gebeurt er als alle systemen voor ons waternet gehackt worden of wat te denken van onze verkeerssystemen of het betalingsverkeer? Het zijn scenario’s die kunnen leiden tot een nationale ramp. Om ook in de toekomst een open, vrije en welvarende (digitale) samenleving te zijn, moeten er snel grotere stappen gezet worden. De Cyber Security Raad (CSR) heeft hierover een mooi advies uitgebracht en ik hoop van harte dat het nieuwe kabinet hier gevolg aan gaat geven.

Delen is het nieuwe hebben

Als nieuw lid van de CSR namens FME onderschrijf ik het advies dat de raad heeft uitgebracht. Een aantal punten wil ik daarbij specifiek aanhalen. Vanuit FME is ons credo ‘delen is het nieuwe hebben’. Ik vind het van groot belang dat informatie over cyberdreigingen voor alle bedrijven en organisaties beschikbaar is, vitaal en niet-vitaal, met extra aandacht voor het midden- en kleinbedrijf. Gelukkig is er een wetswijziging in de maak dat ervoor gaat zorgen dat we het landelijk dekkend stelsel ook echt dekkend kunnen gaan maken. Maar daarvoor hebben we elkaar nodig. Alleen door samenwerking en informatiedeling kunnen we met elkaar de cyberweerbaarheid van Nederland versterken. Cyberoefeningen zijn daarbij ook van groot belang en daar leveren we vanuit FME een belangrijke bijdrage aan. Zo heeft FME vorig jaar samen met het ministerie van Defensie ook een cyberoefening georganiseerd, die door de deelnemers als zeer waardevol is ervaren. Naast alle kennis en ervaring over wat wel en vooral niet te doen bij een cyberaanval, dragen dergelijke oefeningen ook bij aan het vergroten van onderling vertrouwen en kennis over cybersecurity.

Vooral die kennis hebben we in Nederland heel hard nodig, want het toenemende tekort aan cybersecurityspecialisten is een prangend probleem. Zo vertrekt steeds meer wetenschappelijk en maatschappelijk Nederlands cybertalent naar het buitenland, omdat daar simpel weg meer geld beschikbaar is voor onderzoek, onderwijs en innovatie. Dit komt het huidige tekort aan voldoende gekwalificeerde specialisten in het cybersecuritydomein niet ten goede. Deze huidige academische braindrain moeten we daarom echt een halt toegeroepen.

Toen ENISA in 2004 werd opgericht, bestond de noodzaak om het algehele niveau van cyberbeveiliging in de Europese Unie (EU) te verhogen. Ook was het volgens Lepassaar nodig om de ontwikkeling en uitvoering van cyberbeveiligingsbeleid te ondersteunen. “Ondanks de onzekerheden die aanvankelijk bestonden, heeft ENISA in de loop van de jaren een stevige reputatie opgebouwd. Enisa is momenteel actief op verschillende fronten en werkt samen met nationale cyberbeveiligingsautoriteiten, met instellingen, organen en instanties van de EU, alsook met private stakeholders aan essentiële prioriteiten van de EU op het gebied van cyberbeveiliging. Met de vaststelling van de cyberbeveiligingsverordening in 2019 is het mandaat van ENISA verder uitgebreid tot operationele samenwerking in situaties waarin zich een grootschalige, grensoverschrijdende cybercrisis voordoet. Bij deze verordening is ENISA ook belast met het opstellen van Europese cyberbeveiligingscertificeringsregelingen.”

Europese landen helpen om cyberveilig te worden

ENISA ondersteunt de lidstaten bij het ontwikkelen en herzien van hun cyberbeveiligingsstrategieën. Het Agentschap organiseert ook opleidingen en oefeningen waarbij Computer Security Incident Response Teams (CSIRT’s) zijn betrokken en is bezig met een aantal initiatieven voor het ondersteunen van de cyberbeveiligingsgemeenschap als geheel. Lepassaar: “Kortom, ENISA is een volwassen organisatie geworden die zowel de lidstaten als de instellingen, organen en instanties van de EU ondersteunt. Door de ervaringen die daarmee zijn opgedaan, heeft ENISA de mate van volwassenheid bereikt die ik vandaag zie en die essentieel is voor de nieuwe taken die voor ons staan.”

De cyberbeveiligingsverordening, die op 27 juni 2019 in werking is getreden, markeert een nieuw tijdperk in de ontwikkeling van ENISA en van de positionering van de EU in het mondiale cyberbeveiligingslandschap. Wat zijn die nieuwe taken? Lepassaar legt uit dat ENISA de Europese Commissie ondersteunt bij het beleid inzake cyberbeveiligingscertificering, dat het vertrouwen in de Digital Single Market moet vergroten. “Overeenkomstig de verordening heeft ENISA het verzoek ontvangen tot het opstellen van een potentiële regeling voor cyberbeveiligingscertificering op basis van de Common Criteria, met name voor chips en smartcards. ENISA heeft deze eerste regeling in mei van dit jaar voor goedkeuring naar de Europese Commissie gestuurd. We werken momenteel ook aan een potentiële regeling voor clouddiensten. De eerste versie van de Europese cyberbeveiligingscerficeringsregeling voor clouddiensten werd eind december 2020 gepubliceerd voor openbare raadpleging. In januari 2021 kwam de Europese Commissie ook met het verzoek om een nieuwe certificeringsregeling voor 5G te ontwikkelen. Vandaar dat we momenteel bezig zijn met het opzetten van een ad-hocwerkgroep voor 5G. Een andere nieuwe taak van ENISA is het analyseren van belangrijke trends op het vlak van cybersecurity, zowel aan de vraag- als aan de aanbodzijde.”

Belang en kansen EU-brede certificering

In het EU-kader voor cyberbeveiligingscertificering zijn de voorwaarden neergelegd die nodig zijn om het vertrouwen in en de veiligheid van ICT‑producten, ‑diensten en ‑processen te vergroten. Lepassaar zegt dat de Digital Single Market alleen kan gedijen als bij het grote publiek het vertrouwen bestaat dat dergelijke producten, diensten en processen een zekere mate van cyberveiligheid bieden. “Voor de invoering van een nieuw certificeringskader op EU-niveau is het belangrijk dat sprake is van internationale interoperabiliteit en compliance met internationale normen. Daar werken we aan. Ook helpen we de nationale overheden en de Commissie bij de invoering van dat kader.”

Het opstellen van certificeringsregelingen op EU-niveau moet criteria verschaffen voor het uitvoeren van hoogwaardige conformiteitsbeoordelingen om vast te stellen in hoeverre producten, diensten en processen aan specifieke eisen voldoen. Lepassaar: “Op basis van het risiconiveau dat verbonden is aan het beoogde gebruik van een product, dienst of proces, specificeert elke regeling een of meer zekerheidsniveaus, zoals ‘basis’, ‘substantieel’ of ‘hoog’. Uitvoerig onderzoek en een uitgebreide raadpleging maken het mogelijk om alomvattende regelingen op te stellen die zijn afgestemd op de behoeften van de lidstaten, waarmee ENISA samenwerkt om de Digital Single Market in geografisch opzicht minder versnipperd te maken. EU-brede certificeringsmechanismen zullen Europese ondernemingen in staat stellen om op nationaal, Unie- en mondiaal niveau te concurreren.”

Minimumnormen cyberbeveiliging

Lepassaar legt uit dat de cyberbeveiligingsverordening geen instrumenten bevat waarmee leveranciers kunnen worden gedwongen zich aan bepaalde minimumnormen voor cyberbeveiliging te houden. In plaats daarvan voorziet ze in een reeks maatregelen waarmee de toepassing van cyberbeveiligingsnormen wordt vergemakkelijkt en bevorderd. “Ten eerste voorziet de verordening in de genoemde ontwikkeling van Europese certificeringsregelingen voor ICT-producten, -processen en -diensten. Een Europese certificeringsregeling bevat verscheidene elementen, zoals beveiligingseisen en een specificatie van goedgekeurde evaluatiemethoden. Van alle lidstaten wordt verwacht dat ze onder een dergelijke regeling afgegeven certificaten erkennen, waarmee ze dan bevestigen dat aan de daarin gespecificeerde beveiligingseisen is voldaan. Dat maakt het voor bedrijven gemakkelijker om grensoverschrijdend handel te drijven en voor gebruikers om de beveiligingskenmerken van een product of dienst te begrijpen. Met andere woorden: Europese certificeringsregelingen zullen leveranciers stimuleren om aan cyberbeveiligingsnormen te voldoen. Ten tweede ondersteunt ENISA het opstellen en toepassen van Europese en internationale normen voor risicobeheersing en voor de beveiliging van ICT-producten, ‑diensten en ‑processen in het algemeen. In samenwerking met de lidstaten en de sector verleent ENISA advies en stelt het richtsnoeren op met betrekking tot de technische gebieden die verband houden met de beveiligingseisen voor aanbieders van essentiële en digitale diensten, alsook met betrekking tot normen. Ten derde helpt ENISA bij de ontwikkeling en uitvoering van Uniebeleid en ‑recht. In deze context helpt het agentschap bij de uitvoering van de richtlijn netwerk- en informatiebeveiliging, die van specifieke entiteiten, zoals aanbieders van essentiële diensten, verlangt dat ze op basis van cyberbeveiligingsnormen een minimumniveau van beveiliging handhaven. Last but not least geeft de cyberbeveiligingsverordening ENISA de opdracht om het publiek bewust te maken van cyberbeveiligingsrisico’s en ‑bedreigingen en bedrijven richtsnoeren voor goede praktijken te geven. Bewustmakingsacties zijn belangrijk om leveranciers te informeren over de cyberbeveiligingsrisico’s die aan hun activiteiten zijn verbonden.”

ENISA heeft nog maar net de eerste potentiële cyberbeveiligingscertificeringsregeling, de Common Criteria based European candidate cybersecurity certification scheme of EUCC, voor goedkeuring aan de Europese Commissie voorgelegd. Lepassaar: “Het is nog te vroeg om iets te zeggen over de resultaten, zoals het aantal landen en leveranciers dat hun producten en diensten certificeert. Vooralsnog kunnen we zeggen dat lidstaten die nationale certificeringsregelingen hebben ontwikkeld, al bezig zijn met certificeren. Certificering trekt natuurlijk de aandacht van leveranciers die hun klanten een extra laag zekerheid willen geven. Beslissingen over eisen en over de weg vooruit worden genomen in nauw overleg met de lidstaten en de sector, zodat de regelingen de EU als geheel ten goede komen.”

Volgens de cyberbeveiligingsverordening is de certificering van cyberbeveiliging vrijwillig, tenzij in Unierecht of nationale wetgeving anders is bepaald. Volgens Lepassaar zal de Europese Commissie regelmatig de efficiëntie en het gebruik van de vastgestelde Europese cyberbeveiligingscertificeringsregelingen beoordelen en of door middel van het Unierecht een bepaalde regeling verplicht moet worden gesteld. “De eerste beoordeling wordt naar verwachting uiterlijk op 31 december 2023 uitgevoerd. Op basis van deze beoordelingen beslist de Commissie welke producten, diensten en/of processen die onder een bestaande certificeringsregeling vallen, in een verplichte regeling opgenomen moet worden.”

Begeleiden kleine en middelgrote ondernemingen

De afgelopen twee jaar heeft ENISA een aantal aanbevelingen en rapporten gepubliceerd ten behoeve van kleine en middelgrote ondernemingen (kmo’s). Daarnaast heeft het kort geleden een SecureSME-tool beschikbaar gesteld, dat het gemakkelijk maakt om te navigeren naar tips, richtsnoeren en aanbevelingen van ENISA betreffende cyberbeveiliging voor kmo’s. Lepassaar: “Het is bijvoorbeeld belangrijk voor kmo’s om een noodplan voor cyberincidenten te ontwikkelen, dat onder meer richtlijnen bevat en taken en verantwoordelijkheden omschrijft, zodat adequaat, tijdig en professioneel op incidenten kan worden gereageerd. Kmo’s zouden ook onderzoek moeten doen naar tools voor het monitoren van bedreigingen die in geval van een verdachte activiteit of inbreuk op de beveiliging een waarschuwing afgeven. Het veilig houden van toestellen door de software up-to-date te houden en tijdig te patchen is een andere aanbeveling. Dit zijn slechts een paar voorbeelden uit de cyberbeveiligingsgids voor kmo’s die ENISA onlangs heeft gepubliceerd en die behalve in het Engels ook in tien andere Europese talen beschikbaar is gemaakt. Daarnaast helpt ENISA de lidstaten om de nationale cyberbeveiligingsstrategieën in overeenstemming met de nieuwe cyberbeveiligingsstrategie van de Unie te ontwikkelen en zodoende de normen te verhogen en in alle lidstaten een vergelijkbaar hoog niveau van beveiliging te krijgen, zoals voorzien in de richtlijn netwerk- en informatiebeveiliging. ENISA heeft onlangs een beoordelingskader voor nationale capaciteiten (NCAF) gepubliceerd aan de hand waarvan de lidstaten zelf een beoordeling kunnen maken van het volwassenheidsniveau van hun cyberbeveiligingscapaciteit.”

Uitdagingen en kansen

“De digitale wereld is een snelle wereld”, zegt Lepassaar. “Bij ENISA moeten we dus ook snel zijn. Een deel van ons werk is om latente uitdagingen te herkennen, op die uitdagingen te anticiperen en beschikbare kansen op te sporen. Tot die uitdagingen behoren — naast het ontwikkelen van de certificeringsregelingen — kunstmatige intelligentie, 5G en mogelijk postkwantumcryptografie. Kunstmatige intelligentie is op zichzelf weliswaar niet nieuw, maar is nog niet volledig geanalyseerd in termen van cyberbeveiliging.” Lepassaar legt uit dat het vraagstuk van kunstmatige intelligentie en cyberbeveiliging gezien zijn aard en de zeer verschillende en ruime toepassingen van kunstmatige intelligentie, buitengewoon complex is. “Cryptografie en postkwantumcryptografie zijn een buitengewoon ernstig en ook vrij gevoelig thema. Op dit terrein moeten we anticiperen op de toekomst, ook als we niet zeker weten wat die brengt. Het is nog de vraag of kwantumcomputers ooit werkelijkheid worden, maar als dat gebeurt, zullen ze een bedreiging vormen voor de veiligheid van de technologieën die we vandaag gebruiken, omdat onze huidige beveiligingssystemen niet bestand zijn tegen de rekenkracht van een kwantumcomputer. We willen onze digitale weerbaarheid niet in gevaar brengen. Daarom is het belangrijk dat we die vergroten en dat met verstand doen, met het oog op de toekomst. Zoals gezegd ontwikkelen technologieën zich razendsnel. We moeten niet vergeten dat door almaar opkomende nieuwe apparatuur en technologieën, technologieën die we vandaag gebruiken, morgen al verouderd en inefficiënt kunnen zijn. Om de digitale weerbaarheid van producten en diensten te vergroten, is het onze rol als ENISA om het dreigingslandschap in kaart te brengen en informatie te verspreiden over de beste beveiligingsmaatregelen en goede praktijken. Naast deze praktische aspecten is er de uitdaging dat de lidstaten moeten beschikken over actuele kennis en tools waarmee geïnformeerde besluiten kunnen worden genomen om beleidsinitiatieven uit te voeren.”

“Tot besluit zou ik willen zeggen dat de wijze waarop ENISA zich heeft ontwikkeld en de mate waarin we nu samenwerken met betrokken partijen in de hele EU, tal van kansen en mogelijkheden biedt voor het uitwisselen van informatie en creëren van belangrijke synergieën.”

CSR Magazine, 01 Jaargang 2022

Publicatiedatum

dinsdag 08 februari 2022

Hoofdredactie

Elly van den Heuvel-Davies (secretaris CSR)

Productie

Heidi Letter (CSR), Ouiam Yachou (CSR), Stijn Jaspers (CSR)

Eindredactie

Heidi Letter (CSR)

Vormgeving

Campagnebureau BKB

E-mail

info@cybersecurityraad.nl

Internet

http://www.cybersecurityraad.nl

Redactieadres

Cyber Security Raad (CSR) Postbus 20301 2500 EH Den Haag

Telefoon

(070) 751 53 33

Copyright

CC0 1.0 Universal