‘Nederland onvoldoende beveiligd tegen cyberaanvallen’

Nederland is onvoldoende voorbereid op cyberaanvallen, betoogt Ronald Prins van Fox-IT vandaag in de Volkskrant. Foto Hollandse Hoogte / David Rozing

Nederland is onvoldoende beveiligd tegen cyberaanvallen. Onze kwetsbare computersystemen maken dat de kansen op ontwrichting van de economie of infrastructuur aanzienlijk zijn.

Dat zegt Ronald Prins, directeur van internetbeveiligingsbedrijf Fox-IT, vandaag in de Volkskrant. Het bedrijf beveiligt een aanzienlijk deel van de Nederlandse staatsgeheimen en jaagt samen met het Team High Tech Crime van de KLPD op hackers.

Nederland had VS moeten waarschuwen na Stuxnet-infectie

Prins haalt in het interview het voorbeeld van de Stuxnet-worm aan. Dit virus dat bedrijfscomputers over de hele wereld infecteerde, maar voornamelijk gericht was op computers van het Iraanse kernprogramma, werd ook aangetroffen bij een Nederlandse multinational. Volgens Prins had minister van Buitenlandse Zaken Uri Rosenthal de Verenigde Staten hierover moeten inlichten, maar is dat nagelaten omdat “de dreiging van cyberwapens nog niet voldoende wordt ingezien”.

De Stuxnet-worm werd in juni 2010 ontdekt en bleek voornamelijk Iraanse computers als doelwit te hebben. Iran heeft sindsdien bevestigd dat de worm centrifuges, die gebruikt werden bij het verrijken van uranium, beschadigde. Stuxnet zou vermoedelijk zijn ontwikkeld door de Verenigde Staten en Israël om het omstreden Iraanse nucleaire programma te ontregelen.

Bestuurders moeten veiligheid inkopen

Tegenover de Volkskrant zegt Prins dat overheidsinstellingen en bedrijven zich niet voldoende kunnen wapenen tegen cyberaanvallen, omdat zij gedwongen worden de goedkoopste en niet de beste veiligheidsmiddelen te kopen via aanbestedingen. Volgens de ‘machtigste nerd van Nederland‘ moeten daarom niet inkopers maar bestuurders beslissen over de veiligheidsaankopen van deze instellingen.

Eind juni concludeerde de Onderzoeksraad ook al dat de beveiliging van ICT van de overheid flink moet worden verbeterd. Daarnaast vond de Raad dat er bij bestuurders te weinig kennis en bewustzijn was over digitale bedreigingen.

Diginotar laat kwetsbaarheid zien

Ook haalt Prins de Diginotar kwestie aan. In september 2011 kwam de veiligheid van DigiD in het geding als gevolg van een hack bij het beveiligingsbedrijf DigiNotar waardoor bepaalde overheidssites niet meer te vertrouwen waren. Dit bedrijf verzorgde de certificering van verschillende overheidssites, waaronder DigiD.

Hackers slaagden erin de servers van DigiNotar te kraken en op die manier valse veiligheidscertificaten uit te geven. Daarmee konden internetters ongemerkt door worden verwezen naar onveilige sites. DigiNotar werd kort hierna failliet verklaard. Volgens Prins toont de Diginotar-kwestie aan hoe kwetsbaar en afhankelijk Nederland is van internet.

Groter cyberleger nodig

In het interview met de Volkskrant pleit Prins voor een groter cyberleger om de gevaren van aanvallen op de ict-infrastructuur te verkleinen. De vijftig miljoen euro die het Rijk heeft vrijgemaakt hiervoor is volgens Prins onvoldoende om Nederland adequaat te wapenen tegen aanvallen van buiten.