Iedere 5 jaar presenteert het kabinet, in samenwerking met de NCTV en NCSC, de grootste bedreigingen voor de Nederlandse samenleving en overheid en plannen om deze tegen te gaan. Cybersecurity is één van de topprioriteiten voor de komende jaren. Digitale ontwrichting moet voorkomen worden.
Een verstoring van het functioneren van het internet kan potentieel maatschappelijk ontwrichtend zijn. | Beeld: Shutterstock
In het rapport ‘De Veiligheidsstrategie voor het Koninkrijk der Nederlanden’ wordt gewaarschuwd voor technologische ontwikkelingen in de maatschappij, die steeds meer invloed hebben op het dagelijkse leven.
De urgentie is hoog, schrijven de ministers Yeşilgöz-Zegerius en Hoekstra van Justitie en Veiligheid en van Buitenlandse Zaken. ‘Dreigingen tegen onze veiligheid zijn veelvuldig, veelzijdig en met elkaar verweven. Geopolitieke spanningen en militaire dreiging door onder meer de oorlog in Oekraïne, (digitale) dreigingen voor onze vitale infrastructuur en georganiseerde ondermijnende criminaliteit zijn hier voorbeelden van. Maar ook pandemieën en klimaat- en natuurrampen kunnen leiden tot ontwrichting van onze maatschappij.’
Twaalf actielijnen om digitale weerbaarheid te vergroten
Voor de komende zes jaar worden twaalf actielijnen gepresenteerd:
1. Investeringen in internationale partnerschappen en versterking van de krijgsmacht
2. Bestrijden van hybride conflictvoering
3. Vergroten weerbaarheid economie en beschermen van wetenschap
4. Vergroten van de sociale stabiliteit
5. Tegengaan van georganiseerde, ondermijnende criminaliteit
6. Tegengaan van ongewenste buitenlandse inmenging en spionage
7. Versterken van de digitale weerbaarheid
8. Voorkomen en bestrijden van terrorisme en extremisme
9. Intensiveren klimaatmitigatie en –adaptatie
10. Beter beschermen van de vitale infrastructuur
11. Vergroten van pandemische paraatheid
12. Versterken van crisisbeheersing en vergroten paraatheid samenleving
Fysiek en digitaal domein met elkaar verweven
Digitale systemen raken steeds meer verweven in onze samenleving, schrijven de ministers. ‘Een duidelijk onderscheid tussen het fysieke of digitale domein is inmiddels niet meer te maken. Cyberdreigingen kunnen dan ook uiteenlopende gevolgen hebben voor onze sociale en politieke stabiliteit, en onze fysieke en economische veiligheid. Zo kan de fysieke veiligheid in het geding zijn wanneer artsen door een cyberaanval op een ziekenhuis geen accurate zorg meer kunnen leveren aan patiënten.’ Ook waarschuwen ze voor de maatschappelijke gevolgen van bijvoorbeeld een cyberaanval op een bank of op een elektriciteitscentrale.
De digitale dreiging is permanent en neemt eerder toe dan af, met alle mogelijke gevolgen van dien.
Concrete voorbeelden zijn er al. In juni 2017 werd de wereld opgeschrikt door de snelle verspreiding van de malware NotPetya die bestanden leek te gijzelen. De bestanden bleken echter niet meer terug te krijgen, waardoor de malware een vernietigende uitwerking had. De aanval was gericht op gebruikers van een softwarepakket dat gebruikt werd in Oekraïne, maar had effecten tot ver buiten Oekraïne. In Nederland werd de vestiging van Maersk in de Rotterdamse haven geraakt, wat leidde tot 200 tot 300 miljoen dollar financiële schade.
En in 2021 werd Nederland geconfronteerd met een kwetsbaarheid in Log4J. Een kwaadwillende kon op afstand een willekeurige code uitvoeren. Omdat Log4j wereldwijd in zeer veel systemen wordt gebruikt, ontstond er veel onrust rondom deze kwetsbaarheid. Uiteindelijk werd er in Nederland misbruik van deze kwetsbaarheid geconstateerd door zowel statelijke actoren als cybercriminelen.
De digitalisering van de samenleving zorgt ook voor veel onderlinge afhankelijkheden. De gevolgen van een verstoring van het functioneren van het internet kan potentieel maatschappelijk ontwrichtend zijn. Onze territoriale veilig is dan in het geding. Daarbij gaat het niet alleen om de integriteit van ons grondgebied, aldus eşilgöz-Zegerius en Hoekstra, maar ook om de integriteit van het digitale domein en de beschikbaarheid, vertrouwelijkheid en integriteit van essentiële informatiediensten en daarvan afhankelijke infrastructuur en processen.
Misschien toch eens tijd om live in kaart te brengen welke geldstromen en (reserve) onderdelen tot diep in de typologieën van onze samenleving onder controle staan van landen die ons leeg zuigen. Liefst ook in de tijd, dus tot maanden en jaren na de juiste vinkjes in onze juiste Basis Registraties staan.
SNAP de datavoortbrengingsketens tot in de 5e factor, want we zijn ‘toast’ anders.
De dreiging komt niet alleen van buitenaf, maar de rot komt allang van binnenuit.
We hebben GEEN Data Governance, GEEN data kwaliteit standaarden, onvoldoende kwalitatief portfolio management … maar straks wel de EU Data Act. Wie weet wat de versie en variant van een willekeurige sensor is? Wie is nog in staat om een met een muisklik aangevinkte virtual machine, a raison van 500 euro, weer ‘uit’ te zetten, die waarschijnlijk kouwe data staat af te fikken met real time energiekosten en CO2 foot print? Welk data asset is eigenlijk gebonden aan welk data asset? Hoe gaat de gemiddelde bestuurder dat laten auditen? Wie is de toeleverancier van jouw toeleverancier? Weten we dat in real-time over landsgrenzen heen? Is een Europees bedrijf met een aandelenmeerderheid in vijandelijke handen, waar je zo lekker goedkoop legaal kunt inkopen volgens alle juiste checks and balances nog steeds een goed idee? Omarm nou eens NGSI-LD! Ga denken en vooral werken in Data Spaces. Dat dwingt je in elk geval om de juiste vragen te stellen, waartoe de EU datawetgeving je sowieso gaat dwingen.