Topman Fox-IT: ‘Nederlandse overheid mist slagkracht en samenhang bij cybersecurity’
Nederland staat er wereldwijd goed voor op het gebied van cybersecurity, maar er zijn nog genoeg belangrijke uitdagingen om het land goed beschermd te houden tegen digitale dreigingen. Frank van Oeveren, Associate Director Global Threat Intelligence bij Fox-IT, schetst in gesprek met iBestuur de belangrijkste uitdagingen en formuleert enkele aanbevelingen voor de Nederlandse overheid.
Hoewel de roep om een financiële bijdrage voor cybersecurity met name bij lokale overheden al een tijdje klinkt, zal een zak geld alleen niet genoeg zijn om Nederland weerbaar te maken tegen cyberdreigingen, stelt Van Oeveren. Volgens hem draait het vooral om het neerzetten van de juiste organisatie, samenwerking en juridische kaders, zodat beleid en praktijk beter op elkaar aansluiten. ‘De kwetsbaarheid van ons land blijkt groot als je ziet hoe ogenschijnlijk makkelijk staatshackers andere landen binnendringen, bijvoorbeeld bij een ministerie of in de kritieke infrastructuur van ProRail. De stap naar sabotage is dan nog maar klein.’
Nederland staat er goed op
Uit de jaarlijkse Global Cyber Policy Radar van Fox-IT blijkt dat Nederland er, in vergelijking met andere landen, relatief goed voor staat. Met name dankzij sterke inlichtingendiensten en een solide basis van kennis en ervaring op het gebied van digitale dreigingen. Wat echter ontbreekt, is vooral slagkracht en samenhang, legt Van Oeveren uit. De verschillende instanties werken nog te veel los van elkaar, en beleid is soms te beperkt of onvoldoende controlerend om daadwerkelijk een coherente strategie te vormen.
Van Oeveren legt uit dat beleid in het verleden vaak beschrijvend was: er werd geformuleerd wat men graag wilde bereiken, zonder voldoende concrete actie om de gestelde doelen daadwerkelijk te realiseren. Een van de grootste uitdagingen ligt bij de handhaving van cyberveiligheid. Zo gebeurt het nog vaak dat de aanwezigheid van staatshackers in systemen te laat wordt opgemerkt. Ze komen ongestraft weg om even later alweer nieuwe digitale kwetsbaarheden op te sporen en uit te buiten.
Frank van Oeveren, Associate Director Global Threat Intelligence bij Fox-IT, constateert diverse uitdagingen voor de Nederlandse overheid als het gaat om cybersecurity.
Onvoldoende slagkracht
‘Het Nationaal Cyber Security Centrum (NCSC) verzamelt weliswaar veel informatie over cyberaanvallen en waarschuwt inmiddels vele bedrijven en overheden waar nodig, maar speelt nog geen echt handhavende rol’, stelt Van Oeveren. ‘De politieteams die cybercriminaliteit bestrijden zijn klein en verspreid, waardoor ze onvoldoende slagkracht hebben om effectief op te treden.’ Van Oeveren benadrukt dat er behoefte is aan een bredere en beter georganiseerde aanpak. Niet alleen binnen Nederland, maar ook in Europees verband. ‘Je hoeft niet per se een aanvaller uit Rusland aldaar op te pakken, maar je kunt er wel voor zorgen dat je hun activiteiten in Nederland zoveel mogelijk belemmert. Dáár zou wat mij betreft de focus op moeten liggen.’
Internationale samenwerking op dit terrein bestaat nu al, onder andere via Europol, maar volgens Van Oeveren kan dit effectiever worden ingericht met duidelijker afgebakende verantwoordelijkheden en meer capaciteit per land. Zo zou Defensie nog veel meer kunnen doen in het bestrijden van staatshackers, vindt hij: ‘Vooral door aanvallers terug te hacken en de door hen gebruikte infrastructuur uit te schakelen.’
Offensieve capaciteiten ontwikkelen
De ontwikkeling van offensieve capaciteiten op het gebied van hacken speelt volgens Van Oeveren een cruciale rol in de komende jaren. De vraag hoe Nederland moet reageren op statelijke aanvallen is complex en raakt aan juridische, politieke en diplomatieke grenzen. Terughacken kan in bepaalde gevallen noodzakelijk zijn om verdere schade te voorkomen, maar vereist duidelijk beleid en richtlijnen over wanneer en hoe een tegenactie mag worden uitgevoerd.
Van Oeveren stelt dat er momenteel geen duidelijke verantwoordelijkheid is toegewezen: ‘De overheid is hier maar heel beperkt mee bezig. Krijgsmacht en inlichtingendiensten hebben wel een bepaalde capaciteit, maar het is onduidelijk hoe dit precies ingezet moet worden. Het gaat niet alleen om geld, maar om aansturing. Die ontbreekt nu.’
De meest complexe uitdaging is het juridische grijze gebied rond statelijke aanvallers. Veel aanvallen zijn moeilijk juridisch te traceren, zeker wanneer staten gebruikmaken van indirecte methoden, zoals het inschakelen van cybercriminelen. ‘Er ontbreken heldere richtlijnen over wanneer een aanvaller als staatsactor kan worden beschouwd, en dit bemoeilijkt zowel nationale als Europese handhaving.’ Volgens Van Oeveren moet dit grijze gebied worden omgezet in duidelijke regelgeving, waarbij zowel juridische kaders als internationale afspraken helder maken wat de definitie is van een staatsaanvaller en wanneer actie gerechtvaardigd is. Hier ligt met name een uitdaging voor Brussel. ‘Alleen met deze helderheid kan Nederland effectief reageren.’
Digitale soevereiniteit
Behalve de uitdaging van ‘schurkenstaten’ die Nederlandse organisaties gericht aanvallen, zijn er ook toenemende zorgen over de digitale soevereiniteit van de Nederlandse overheid. Nederland en andere Europese landen zijn sterk afhankelijk van buitenlandse technologie, met name uit de Verenigde Staten. Deze afhankelijkheid beperkt het vermogen van overheden om volledige controle te hebben over kritieke infrastructuur en data.
Van Oeveren pleit daarom voor gerichte investeringen in Europese en nationale oplossingen: ‘Als we willen dat alles binnen Europa blijft of bepaalde zaken alleen binnen Nederland plaatsvinden, zal daar druk en investeringsbereidheid voor moeten komen vanuit de overheid. Iedereen is nu gewend aan Amerikaanse producten, maar als we niets doen, blijft het een illusie dat we onafhankelijk kunnen zijn van partijen buiten Europa.’ Volgens hem is dit geen kwestie van idealisme, maar van noodzaak. Vooral op het gebied van cybersecurity.
Sinds Trump weer de scepter zwaait in het Witte Huis, is de situatie rondom de Verenigde Staten extra uitdagend geworden. Van Oeveren wijst op de onvoorspelbaarheid van het beleid en de wisselende politieke prioriteiten: ‘Op een gegeven moment heeft Trump zelf gezegd: “We stoppen met cyberacties in Rusland.” Dan krijg je het toch al benauwd. Als Europees land weet je gewoon niet wat de VS gaan doen. Een trouwe bondgenoot is zo onvoorspelbaar geworden.’
Beleid ontwikkelen rondom statelijke actoren
Die situatie maakt het volgens Van Oeveren des te belangrijker dat Nederland meer beleid ontwikkelt om statelijke actoren te kunnen vaststellen. ‘Als Nederland zijn we heel terughoudend in actie te komen wanneer er mogelijke staatshackers worden aangetroffen in systemen. Voor inlichtingendiensten is meer ruimte op dit gebied hard nodig. Op het moment dat je weet welke statelijke actoren in je systemen zitten, kun je zelf ook maatregelen nemen om te voorkomen dat dit nog een keer gebeurt.’
Van Oeveren benadrukt dat het niet gaat om wantrouwen, maar om realisme: ‘Het is een illusie om te denken dat Amerika niet spioneert binnen Europa, maar in het verleden werd dat geaccepteerd. Hoe ga je je daartegen wapenen? Je moet voorbereid zijn op situaties waarin onze systemen mogelijk al bezocht zijn door buitenlandse inlichtingendiensten. Dat vraagt om een goede inschatting van de eventuele risico’s die vanuit onze bondgenoten kunnen komen en een daarbij passende veiligheidsstrategie.’
Lees meer:
