Onze infrastructuur is inmiddels zo goed, dat het bijna nooit mis gaat. Maar als het misgaat, kan het ook goed misgaan. Met grote gevolgen. Pepijn Pinkse en Aiko Pras pleiten ervoor dat de overheid kennis en onderzoek op het gebied van cybersecurity moet stimuleren. "Daarbij moet veiligheid het primaire doel zijn, en niet economie."
“Een grote dam of een energiecentrale die tientallen miljoenen of zelfs miljarden heeft gekost, mag ook wel permanent bemenst zijn.” Beeld: Flickr / CC BY-NC 2.0 – Roel Wijnants
Februari 2030: je bent na een lange werkdag in Zeeland op weg naar huis in Rotterdam. De digitale assistent van je Koreaanse elektrische auto heeft de thermostaat van je smart home al een graadje hoger gezet. De assistent vraagt of ze voor vanavond een bioscoopkaartje moet kopen zodat je je favoriete actrice weer kan zien. Terwijl je auto je veilig door het gure winterweer stuurt, raast buiten een noordwesterstorm en je leest het nieuws. Het is op jouw interesses toegesneden: hackers zijn erin geslaagd de Tesla-fabriek bij Berlijn plat te leggen door randsomware te installeren op de servers van de fabriek. Waarschijnlijk hebben de aanvallers eerst het netwerk van de energieleverancier geïnfiltreerd en van daaruit de controle software van de energievoorziening van de fabriek overgenomen. Die was bedoeld om geautomatiseerd en flexibel in te kunnen spelen op de actuele energieprijzen. Dat Tesla zichzelf zo kwetsbaar maakte, had zelfs Elon Musk nooit kunnen voorzien. Je werkgever, Fox-IT, had nog mee willen dingen naar de beveiligingsklus, maar de Duitse overheid had dat niet toegestaan omdat die firma in meerderheid in Britse handen was. Dat lag allemaal wat gevoelig na de Belgacom affaire en de Brexit van 2021.
Terwijl je auto zich autonoom over het Zeeuwse wegennet verplaatst, scroll je naar het volgende bericht: Een bekende Delftse quantumfysicus en een paar van zijn medewerkers maken hun overstap naar Alphabet (het moederbedrijf van Google) bekend. Nadat ze in Europa het eerste ‘quantuminternet’ hadden gebouwd, werd dit al snel een exportproduct dat kon wedijveren met de commerciële Chinese quantumveilige satellietverbinding. Eerder had IBM de eerste quantumcomputers ontwikkeld waarmee traditionele cryptosystemen gekraakt konden worden. Hierdoor werden oude crypto-algoritmes onveilig en moesten banken massaal overstappen op quantumtechnologie voor het opzetten van beveiligde verbindingen. Het quantuminternet was echter niet in staat de bandbreedte te leveren die nodig is voor de massale vraag naar veilige lange afstandverbindingen. Alphabet, dat het initiatief moest terugveroveren op IBM, wilde daarom juist in deze technologie investeren en de Nederlandse experts aan zich binden. Quantum is het zoveelste voorbeeld van technologie die oorspronkelijk in Europa ontwikkeld is, maar uiteindelijk door de grote techbedrijven buiten Europa is opgekocht. Begrijpelijk misschien, maar zorgelijk is het wel. Zeer zorgelijk.
Plotseling komt je auto tot stilstand. Buiten zijn blauwe zwaailichten te zien. De weg over de Oosterscheldedam blijkt afgesloten. De dam had al lang dicht moeten zijn, maar is het niet. Een NL-Alert, dat het nu eindelijk wel eens doet, waarschuwt voor extreem hoog water aan de Zuid-Hollandse en Zeeuwse kust. Snel bel je een collega die je bange vermoeden bevestigt: er is weer een digitale aanval gaande op de Nederlandse infrastructuur. Hoewel Rijkswaterstaat een eigen glasvezelnetwerk heeft voor de besturing van de dam, functioneert die niet evenals de back-up. Je realiseert je langzaam dat je getuige lijkt te worden van een voor onmogelijk gehouden scenario: Nederland loopt onder water doordat de digitale dijken te laag zijn. Achteraf wordt duidelijk dat een onbekende buitenlandse acteur achterdeurtjes (zero-day exploits) in elektronische systemen heeft gebruikt om zowel de primaire besturing als ook de back-up lam te leggen. Tegen de tijd dat een ploeg van Rijkswaterstaat zich fysiek toegang heeft verschaft tot de besturing ter plekke, is het kwaad al geschied en heeft één van de dijken van Schouwen-Duiveland het begeven. Hoe heeft het zo ver kunnen komen?
Niet alleen zegeningen
Bovenstaand doemscenario is fictie, maar geeft wel aan dat de voortschrijdende techniek in Nederland niet alleen maar zegeningen telt. We kunnen ons daar beter van bewust zijn. Aan de ene kant is onze infrastructuur zo goed, dat het bijna nooit mis gaat. Daarom zijn we er des te minder op voorbereid als het echt eens mis gaat. Wanneer is bij u voor het laatst de stroom voor meer dan een paar minuten uitgevallen? Hetzelfde geldt voor veel digitale hulpmiddelen die langzaamaan in ons leven geslopen zijn. We bankieren massaal online. Sterker nog, de meesten van ons kunnen helemaal niet meer bankieren zonder internetverbinding. Scholieren van vandaag doen niets meer zonder hun digitale rooster in de school-app. De ouderwetse telefoonlijn bestaat niet meer en dus bellen mensen via het internet via een VoIP-telefoon, Skype, WhatsApp en andere apps. Veel kennissen kunnen we niet meer fysiek of virtueel bereiken zonder mobiele telefoon. En nu we het hier toch over hebben, er zijn nog maar twee concurrerende ecosystemen op de markt: IOS en Android. Bij PC’s ziet het er niet veel beter uit. We hebben nog maar weinig controle over het upgraden van onze PC’s. Als Microsoft een fout maakt en op iedere Windows PC een defecte update opspeelt, zijn de gevolgen gigantisch. En dan hebben we het niet eens over een extreem scenario waar bijvoorbeeld bij een uit de hand gelopen handelsoorlog Microsoft zou worden gedwongen zijn software van Europese gebruikers uit te zetten. Als dit scenario u volstrekt hypothetisch lijkt, willen we even herinneren aan de Amerikaanse maatregel die Huawei plotseling verbood nieuwe telefoons met Android uit te leveren.
Dit zijn allemaal cybersecuritygevaren die rechtstreeks met IT te maken hebben. Maar die IT heeft bijna alle infrastructuur doordrongen. Een mooi voorbeeld is ons elektriciteitsnetwerk, maar ook de signalering op de autosnelwegen, de bediening van de meeste waterwerken en natuurlijk de spoorwegen. Dat is nuttig en kostenbesparend. Maar de gevolgen hebben we ook gezien toen 112 of Schiphols vliegtuigbetanking dienst weigerde. Rijkswaterstaat is bezig met een verbeteringsslag, maar de Algemene Rekenkamer bekritiseerde laatst dat nog niet alle zwakke punten waren opgelost.
Nederland, of beter nog de Europese Unie, zou veel actiever beleid moeten voeren om kritieke hightech kennis en industrie in Europa te behouden
Naast IT en kritische infrastructuur zouden we ook onze directe veiligheidsgerelateerde sectoren eens goed onder de loep moeten nemen. Nu Google heeft laten zien dat quantumcomputers echt iets kunnen wat klassieke computers niet of heel veel moeilijker kunnen, kunnen we moeilijk ontkennen dat het tenminste mogelijk is dat over een paar jaar iemand een krachtige quantumcomputer bouwt die huidige cryptografie kan breken. Nederland draait gelukkig internationaal goed mee in dit soort onderzoek. Bovendien hebben we in Nederland enkele veelbelovende quantumstartups, zoals Delft Circuits, Single Quantum, Qu & Co en het Twentse QuiX. Maar de meeste quantumtechnologie komt toch uit het buitenland. We gaan ervan uit dat bedrijven als Google en IBM die maar al te graag aan ons willen verkopen. Maar het is niet ondenkbaar dat een handelsconflict ooit eens zo hoog oploopt dat IBM zijn AI-oplossingen en D-wave, IonQ, PsiQuantum of Google zijn quantumcomputers straks niet aan ons mógen verkopen. Daarnaast zwichten onze knapste technische koppen maar al te vaak voor het grote kapitaal in het buitenland. We kunnen het ze niet kwalijk nemen, maar wie zorgt voor de Europese kritische hightech infrastructuur en wie geeft de regering straks advies over de laatste technische ontwikkelingen?
Bewustwording
Het zou inmiddels duidelijk mogen zijn dat we niet bij onze pakken neer kunnen zitten en hopen dat alles vanzelf goed komt. Wat kunnen we wel doen? Laten we beginnen met bewustwording te kweken dat techniek kan falen en dat daarom redundantie en diversiteit belangrijk is. Regelmatige tests, zoals van het luchtalarm en NL-Alert, zijn goed en noodzakelijk. Waarom dat niet uitbreiden naar andere infrastructuur? Een jaarlijks gepland stroom- en internetloos halfuurtje zou iedereen dwingen na te denken over simpele dingen als een werkende zaklamp, een beetje eten en drinken op voorraad en werkende alternatieve communicatiemiddelen. Met die gedachte heeft de Universiteit Twente verschillende Nederlandse partijen, zoals banken en de Belastingdienst, samengebracht om gezamenlijk oefeningen te doen om ons tegen Distributed Denial of Service (DDoS) aanvallen te beschermen. Met succes. Het DDoS Clearing house, zoals de samenwerking wordt genoemd, wordt in het kader van het EU CONCORDIA project nu ook geëxporteerd naar onze buurlanden.
Maar bovenal moeten we niet alles aan het internet willen hangen. Hoe gemakkelijk het ook is om je thermostaat op afstand een graadje lager te kunnen zetten, is het nou echt nodig? Dit geldt des te meer voor kritische infrastructuur. Een grote dam of een energiecentrale die tientallen miljoenen of zelfs miljarden heeft gekost, mag ook wel permanent bemenst zijn. Het zorgt ook nog eens voor werkgelegenheid. Compartimentering van het internet is onontkoombaar. In plaats van alles en iedereen aan het onveilige internet te hangen, moeten er dammen en dijken komen tussen de verschillende delen van het internet. Als Nederland door aanvallen dreigt te overstromen, moeten digitale sluizen verdere instroom beperken.
Kennis over veiligheid
De overheid zou kennis en onderzoek op het gebied van cybersecurity moeten stimuleren. Daarbij moet veiligheid het primaire doel zijn, en niet economie. Wat heeft het immers voor zin als de succesvolle startups straks worden opgekocht door Amerikanen of Chinezen? We moeten de kennis over onze veiligheid hier houden en niet uit handen geven. In dit licht is het dan ook niet te begrijpen dat het ministerie van Economische Zaken al twee jaar lang de regie probeert te voeren over het opzetten van een Nederlands cybersecurity onderzoeksinstituut; deze regie zou bij het ministerie van Justitie en Veiligheid of Defensie moeten liggen. Het gaat om onze digitale soevereiniteit, niet om werkgelegenheid.
Nederland, of beter nog de Europese Unie, zou veel actiever beleid moeten voeren om kritieke hightech kennis en industrie in Europa te behouden. Er zijn veelbelovende cybersecuritybedrijven in Nederland en er wordt toonaangevend cybersecurityonderzoek gedaan. Nederland loopt voorop in sommige quantumtechnologieën, zoals beschreven in de Nationale Agenda Quantum Technologie (NAQT). Denk aan QuTech’s quantuminternet en de optisch veilig uit te lezen hardware sleutels voor paspoorten en optische netwerken waar we als Universiteit Twente nu aan werken. Laten we op al die Nederlandse hightech zuinig zijn. Overnames van hightech firma’s moeten verhinderd worden als daardoor strategische of veiligheidsrelevante kennis in buitenlandse handen verdwijnt. Nederland en Europa mogen geen digitale kolonie worden van Amerika, China of wie dan ook. Daarbij moeten we, waar mogelijk, samen optrekken met gelijkgezinde en democratische partnerlanden. En we moeten niet naïef zijn. Het voorbeeld van de Britse hack van Belgacom is daar een duidelijke wekroep. Als de Nederlandse overheid op tijd een veto had uitgesproken, dan was Fox-IT, de firma die veel van de Nederlandse kritische IT controleert, bijvoorbeeld nog steeds in Nederlandse handen. Het is tijd voor digitale dijkverzwaring.
Pepijn Pinkse is hoogleraar aan de Universiteit Twente en het Nanotechnologie Instituut, MESA+. Aiko Pras is hoogleraar cybersecurity aan de Universiteit Twente.