Hoe zorgen we dat Nederland goed voorbereid is op maatschappelijk ontwrichtende cyberincidenten?
Een cyberincident heeft de mogelijkheid om de maatschappij te ontwrichten: verstoring en uitval van digitale infrastructuur kan grote gevolgen hebben voor onze economie en samenleving. De toenemende digitalisering maakt de mogelijke schaal, verspreiding en impact van incidenten alsmaar groter. Maar hoe aannemelijk is het plaatsvinden van zo’n grootschalige cyberincident? En hoe kunnen we ons hierop voorbereiden?
“Overheid waarschuwt: honderden Nederlandse bedrijven kwetsbaar door ernstig lek”. “Cyberaanval ontwricht haven”. “Nederlandse bedrijven slachtoffer van geavanceerde gijzelsoftware”. “Chinese hackersgroep spioneert jarenlang in het geniep in Nederland”. Dit zijn recente krantenkoppen die eens te meer wijzen op de noodzaak om ons te weren tegen geavanceerde cyberincidenten. Nederland behoort tot de voorlopers op het gebied van cybersecurity en heeft een belangrijke digitale infrastructuur . We hebben vele en snelle internetverbindingen in combinatie met een open samenleving en we worden steeds afhankelijker van ICT. Tegelijkertijd worden aanvallers steeds slimmer en neemt de dreiging toe door geopolitieke spanningen en digitale verwevenheid van apparaten. Het aantal serieuze cyberincidenten is in 2019 bijna verdrievoudigd ten opzichte van 2018 . De Nederlandse overheid heeft bij een incident onvoldoende middelen om adequaat te handelen, vooral wanneer verstoringen ontwrichtende consequenties hebben voor de fysieke wereld en het vertrouwen in de rechtstaat . Maar hoe aannemelijk is het plaatsvinden van een grootschalig cyberincident? En hoe kunnen we ons hierop voorbereiden?
In dit artikel zullen we ingaan op wat nodig is om ons voor te bereiden op grootschalige cyberincidenten: de digitale brandoefening.
De grootste dreigingen zijn spionage en sabotage vanuit statelijke actoren en verstoring van vitale systemen. Waar de motivatie van niet-statelijke actoren vaak gericht is op financiële- en reputatieschade, is de motivatie van statelijke actoren specifiek gefocust op het bereiken van geopolitieke en economische doelstellingen ten koste van Nederlandse belangen. Door spionage worden politieke inlichtingen ingewonnen, (bedrijfs)geheimen gestolen en (dissidente) groeperingen of individuen gevolgd. Om binnen te dringen bij het doelwit wordt vaak gebruik gemaakt van leveranciers die op legitieme wijze toegang hebben tot een infrastructuur. Hierdoor is het ecosysteem zo sterk als de zwakste schakel en kleinere leveranciers hebben niet altijd het budget of de skills om de organisatie weerbaar te houden.
Storing en uitval van (informatie)systemen zijn daarnaast een dreiging door de potentiële impact. De uitval van één systeem of netwerk kan voor storing of uitval op andere plekken zorgen. Dit geldt zeker wanneer het plaatsvindt op een centraal informatieknooppunt of bij vitale processen. Denk bijvoorbeeld aan de 112-storing in juni 2019. Het noodnummer was urenlang onbereikbaar door een storing op het netwerk van KPN.
Daarnaast is er nog digitale sabotage waarbij (vitale) systemen en processen opzettelijk worden beschadigd, verstoord of vernietigd. Aanvallen op bedrijven en instellingen gebeuren bijna wekelijks , maar in de meeste gevallen blijft het buiten het nieuws. Een voorbeeld is de NotPetya aanval van 2017. Deze aanval legde heel Oekraïne plat en trof ook de haven in Rotterdam. Twee grote containerterminals in de haven werden voor twee weken platgelegd en de schade was enorm. Deze hack heeft gezorgd voor een reality check: één zwakke plek kan de maatschappij al ontwrichten en er zijn hackgroepen die niet alleen deze potentie kennen, maar ook bereid zijn om hun tegenstander daar te raken.
De reactie op grootschalige incidenten wordt gekenmerkt door improvisatie, met name op het gebied van mandaat en samenwerking: de overheid heeft geen duidelijke bevoegdheden om in te grijpen en daarnaast hebben overheden, organisaties en bedrijven vaak geen goed beeld van de partijen van wie ze afhankelijk zijn. Omdat systemen die bijvoorbeeld telefoonverkeer, betalingen, beveiliging en transport regelen volledig geautomatiseerd zijn, onderling verbonden en opereren in een web met allerlei leveranciers en tussenbedrijven, is er amper overzicht. Een bijkomend probleem is dat als de digitale ramp uitbreekt het vaak te lang duurt voordat hulptroepen aan de slag kunnen. Toen met de NotPetya aanval de systemen in de Rotterdamse haven lam lagen, kon de veiligheidsregio eerst niets doen toen ze informatie wilden. Ondanks dat er veel lessen zijn getrokken uit deze incidenten, bestaan er geen duidelijke en voldoende ingekaderde bevoegdheden om cyberincidenten te bestrijden. De focus ligt nu op het adviseren en ondersteunen van organisaties binnen de vitale infrastructuur. Maar wanneer organisaties weigeren mee te werken, “is het onduidelijk welke middelen de overheid heeft om in te grijpen en op welke gronden dat dient te gebeuren” .
En het Nationale Cyber Security Centrum (NCSC) dan? Het NCSC heeft de wettelijke taak om vitale aanbieders en onderdelen van Nederland te informeren, adviseren en bij te staan bij dreigingen en incidenten. Echter, veel organisaties in de semipublieke- en private sector vallen niet onder de wettelijke taakstelling van het NCSC. Hierdoor kan het nauwelijks invloed uitoefenen op bijvoorbeeld organisaties zoals zorg- en onderwijsinstellingen.
Gezien de sterke groei in digitalisering van de wereldwijde samenleving zal de dreiging alleen maar toenemen. Tegenwoordig zijn niet alleen PCs, laptops en mobiele telefoons aangesloten op het internet, maar ook onderdelen van onze vitale infrastructuur, hele fabrieken, systemen in het openbaar vervoer, medische apparaten en energienetwerken. Dit in samenloop met het 5G netwerk dat naar verwachting in 2020 wordt uitgerold. Volgens KPN maakt 5G het mogelijk om vrijwel de gehele samenleving onderling te verbinden . De toenemende complexiteit en connectiviteit kunnen negatieve effecten hebben op de weerbaarheid en het vermogen van hackers om schade aan te richten neemt toe. Het is evident dat 5G de wijze waarop wij problemen met cyberbeveiliging aanpakken in de toekomst zal veranderen.
Daarnaast zullen we ook rekening moeten houden met de oplopende geopolitieke spanningen tussen met name de VS, de EU-lidstaten, Rusland, China, Iran en Noord-Korea. Dit is te merken aan de recent geëscaleerde situatie tussen de VS en Iran, de toenemende assertiviteit van China en Rusland en de toenemende nucleaire onzekerheid en verslechterde trans-atlantische relaties. Deze oplopende spanningen beïnvloeden cybersecurity.
Het zal een uitdaging blijven om de weerbaarheid dusdanig op peil te houden dat we de toenemende afhankelijkheid en veranderende dreiging het hoofd kunnen bieden. Er zijn essentiële maatregelen die getroffen moeten worden om ons voor te bereiden op een cyberaanval. Er staat immers teveel op het spel om de voorbereiding op en aanpak van digitale ontwrichting op zijn beloop te laten.
Voorkomen is beter dan genezen. Cybersecurity-maatregelen binnen de overheid zijn dan ook met name gericht op het voorkomen van cyberincidenten. Echter, in het digitale domein valt een incident nooit 100% uit te sluiten. Daarbij komt het feit dat cybercriminelen altijd voorop zullen lopen op de overheid en veel andere organisaties.
Er zijn stappen te ondernemen bij het voorkomen van een cyberincident: uitwijkmogelijkheden of terugvalopties zijn bijvoorbeeld vaak onvoldoende aanwezig . Daarnaast zijn veel maatschappelijke kernprocessen sterk afhankelijk van het doen en laten van grote, monopolistische, buitenlandse aanbieders van digitale voorzieningen. Dit maakt onze maatschappij kwetsbaar voor wisselende intenties van deze aanbieders en landen.
Aangezien het onmogelijk is om alle cyberaanvallen te voorkomen, is het noodzakelijk dat organisaties zich meer gaan focussen op oefenen: door gesimuleerde cyberaanvallen daadwerkelijk te ervaren, is het voor organisaties mogelijk om zich beter voor te bereiden. Een digitale brandoefening.
Hierbij staan ons inziens drie onderdelen centraal:
Een succesvolle cybersimulatie-oefening kent bovenstaande aspecten en oefent enerzijds op managementniveau en anderzijds de technische experts binnen de organisatie. Door crisissituaties na te spelen wordt de gehele organisatie zich bewust van de digitale dreigingen, de eigen rol, verantwoordelijkheden en risico’s/consequenties van het eigen handelen.
Door de hierboven genoemde ontwikkelingen is het niet de vraag óf er een grootschalig cyberincident met nog ongekende gevolgen voor maatschappelijke ontwrichting zal plaatsvinden, maar wanneer. Juist omdat een cyberincident nooit volledig te voorkomen is, is het noodzakelijk dat niet slechts de focus wordt gelegd op preventieve maatregelen, maar dat organisaties zich gaan bezighouden met welke stappen er gezet moeten worden wanneer er een cyberincident plaatsvindt. Door een gesimuleerd cyberincident te oefenen en te ervaren, kunnen we werken aan een betere voorbereiding. Kortom, we moeten ons voldoende bewust zijn van hoe we de volgende grote ‘digitale brand’ kunnen bestrijden.
1: De Global Cybersecurity Index (2018) positioneert Nederland op de 12e plek (8e in Europa) van de 175 landen wereldwijd; gemeten op o.a. wettelijke maatregelen, technische capaciteiten en samenwerking.
2: In Amsterdam ligt het op een na grootste internetknooppunt ter wereld – de Amsterdamse AMS-IX. Dit knooppunt bestaat uit enorme datacentra en is in veel opzichten vergelijkbaar met Schiphol en de Rotterdamse haven.
3: Channel Connect (2019) Aantal serieuze cyberincidenten in een jaar bijna verdrievoudigd.
4: De Wetenschappelijke Raad voor het Regeringsbeleid (sept. 2019), ‘Voorbereiden op digitale ontwrichting’, p.10.
5: NOS (nov. 2019), Nederlandse bedrijven slachtoffer van geavanceerde gijzelsoftware.
6: De Wetenschappelijk Raad voor het Regeringsbeleid (2019), ‘Voorbereiden op digitale ontwrichting’, p. 66
7: KPN (april, 2019), wat kunnen we met 5G?
8: Voorbeelden hiervan zouden zijn: een variëteit in aanbieders, toepassingen of infrastructuren; netwerkscheiding (het plaatsen van ‘schotten’ tussen verschillende systemen om verstoringen een halt toe te roepen of verdere verspreiding van besmetting te voorkomen) of terugvallen op analoge systemen.
9: The Hague Security Delta (2019), CSAN 2019, p. 7.
10: Bijvoorbeeld door middel van een ‘Cyber-Range-in-a-Box’ (CRIAB): een speciale computer voor het ontwikkelen, testen en experimenteren van cybertooling en -technieken.