We overschatten hoe slim terroristen zijn

interview Ronald Prins Het bedrijf van Ronald Prins helpt mee Nederlandse staatsgeheimen te beveiligen. Onlangs verkocht hij het aan een Britse multinational. „De gehéimen zijn niet in Britse handen, alleen de aandelen.”

Ronald Prins: „De meeste hackpogingen zijn niet terroristisch van aard, maar gericht op spionage.” Foto: Merlijn Doomernik

De drie kilometer tussen zijn appartement en de jachthaven van Scheveningen legt Ronald Prins (47) af in zijn grijze Maserati. Hij stapt uit: 1 meter 93, een lichtblauw overhemd, klassiek horloge van IWC. Prins is een van de meest invloedrijke Nederlanders in het debat over online veiligheid. Hij komt uit de opsporing en de inlichtingendienst, kent het bedrijfsleven én heeft een hackersachtergrond. Dat maakt hem geloofwaardig. Hij is toegankelijk en legt complexe zaken duidelijk uit – zonder al te veel jargon.

Commissies in de Tweede Kamer praat hij regelmatig bij over nieuwe hack- en inlichtingenwetten. In de media pleit hij onvermoeibaar voor extra digitale bevoegdheden voor de inlichtingen- en veiligheidsdiensten en voor de politie. Hij spiegelt het publiek voor hoe makkelijk een ziekenhuis, een waterkering en zelfs een heel land platgelegd kunnen worden door een aanval van kwaadwillende hackers. „Als een digitale bom afgaat, zijn wij niet meer in staat onze boodschappen te doen”, zegt hij.

Eind jaren negentig richtte hij met een vriend een bedrijf op dat zo goed bleek te zijn in cybersecurity dat het Nederlandse staatsgeheimen mocht helpen beveiligen. Fox-IT ondersteunt de beveiliging van de ministerraadnotulen, het telefoon- en mailverkeer tussen staatslieden, berichten tussen ambassades en legerleiders. Het helpt grote banken bij de bestrijding van fraude en test of bedrijven bestand zijn tegen computerinbraken, door nepaanvallen op ze uit te voeren. „Soms zetten we een drone op het dak om het netwerk binnen te dringen.” Het bedrijf leert ook Defensiemedewerkers hacken.

Een belangrijk deel van de Nederlandse infrastructuur leunt dus op Fox-IT. Eind vorig jaar verkocht Prins het bedrijf aan een Britse multinational. Het leverde hem persoonlijk 40 miljoen euro op. Hij vertelt erover, eerst op zijn kantoor naast de Ikea in Delft en twee weken later op zijn 14 meter lange zeilschip, De Prins.

De Prins?

„Ik had het eerst ‘Per Undas Adversas’ genoemd, tegen de stroom in. Dat is het motto van de AIVD. Maar dat verstond echt niemand over de radio. Toen ik het daarna ‘Cyberstorm’ noemde, riep de verkeerscentrale nog altijd: ‘Wat? Zuiderstorm?’ En dus werd het De Prins.”

Als een digitale bom afgaat, zijn wij niet meer in staat onze boodschappen te doen

Zijn opa was technisch ingenieur en legde de eerste radioverbindingen met Bandung en Suriname voor radio Kootwijk. Zijn vader beheerde in de jaren zeventig de computers op de renbanen. „Hij had in zijn touringcar een totalisator voor de paardenkoersen, met van die grote harde schijven van Ericsson. Daar speelde ik mee. Later probeerde ik ze beter te maken. We reden van renbaan naar renbaan. De eerste Nederlandse zaak van computervredebreuk was in zijn bus, bij renbaan Duindigt in Wassenaar. Criminelen als Willem Holleeder en zijn vrienden liepen daar rond, een outsider won en dan kregen zij die hoge uitbetalingen. Een operator in de bus van mijn vader bleek verrot geslagen en fysiek bedreigd. Mijn vader is drie maanden getapt. Ze dachten dat hij er iets mee te maken had.”

Prins verveelde zich op school, ging hacken als tijdverdrijf. Proberen in te bellen in Amerika. Regelen dat hij gratis kon bellen. Scanners luisteren en uitvinden waar een observatieteam van de politie zich bevond, „gewoon, omdat het kon”. Hij studeerde wiskunde met een voorliefde voor cryptografie. Op het dak van zijn appartement in Scheveningen staan weer antennes. Nu om naar de reddingsacties van de kustwachten op zee te luisteren, ook in het buitenland. „Daar kan ik nachten mee bezig zijn.”

In tegenstelling tot de meeste hackers wantrouwde hij de overheid niet, wat maakte dat andere hackers hém soms wantrouwen. Hij werd lid van de VVD, ging voor het Nederlands Forensisch Instituut (NFI) werken en voor de Directie Bijzondere Inlichtingen van de AIVD. „Ik ben niet zo anarchistisch. Nooit geweest. Ik dacht altijd: als ik me niet mag verdedigen dan moet de overheid dat maar goed doen. Bij de AIVD zag ik dat het er keurig aan toe ging. Ik wilde soms iets en werd dan tegengehouden.”

Bij het NFI leerde hij zijn zakenpartner Menno van der Marel kennen. Er kwam een moment dat ze misdaden niet meer achteraf wilden reconstrueren, maar deze voor wilden zijn. Zo ontstond hun bedrijf.

Fox-IT verkocht in het begin apparatuur om boodschappen te versleutelen aan de ene overheid en apparatuur om te tappen aan een andere overheid.

„Ja, maar daar zijn we in 2011 mee gestopt. Dat houd je als bedrijf niet vol. Je moet kiezen of je een offensief of een defensief bedrijf wil zijn. Wij hebben voor het laatste gekozen.”

Klopt het dat jullie tapapparatuur verkochten aan regimes in het Midden-Oosten?

„Even denken, ligt het in het Midden-Oosten? Weet je, ik kan er niets over zeggen. Het was in ieder geval geen dubieus regime.”

Uw bedrijf stond in 2003 met beveiligingsapparatuur op een beurs in Iran.”

„We hebben er niets verkocht. We wonnen wel de prijs voor de mooiste stand.”

De dilemma’s blijven. Wat doet u als u bij uw klant KPN malware tegenkomt van de AIVD?

„Dan zouden we aan KPN vertellen: er is AIVD-malware. De veiligheidsbelangen van de klant die ons inhuurt, dat is ons uitgangspunt.”

Maar ook de AIVD is uw klant.

„De AIVD is heel beperkt klant. Die kopen wat cryptografische doosjes, maar dat is minimaal. Dus zo relevant zijn ze uiteindelijk niet.”

Zo’n doosje laat hij zien. Een eerste legergroen prototype dat het bedrijf voor Defensie maakte. Waterdicht en bestand tegen schokken en woestijnzand. „Kijk, deze kabel is rood, daar gaan de geheime data in. Die worden versleuteld en dan worden ze zwart gemaakt, heet dat. Dan mogen ze via deze kabel naar buiten, het internet op. Defensie neemt zo’n doosje mee naar Mali. Of wel tien. En in Nederland staat eenzelfde doosje bij Defensie op het Plein in Den Haag. Daar worden de data weer ontcijferd.”

Het beeld bestaat dat u een nauwe relatie met de overheid heeft.

„Dat is niet zo. Misschien draag ik bij aan de verwarring omdat ik het niet kan laten iets te vinden van de wet op de inlichtingen- en veiligheidsdiensten of de terughackwet van de politie. Ik heb daar geen directe bemoeienis mee, maar mijn klanten – banken en telecombedrijven – smeken dat cybercriminelen een keer worden aangehouden. Daarvoor moet je adres en identiteit van daders kunnen achterhalen.”

Hebben jullie de overheid vooraf gewaarschuwd dat het bedrijf in handen zou komen van een buitenlands bedrijf?

„We hebben ze een paar maanden voor de verkoop rond was, geïnformeerd.”

Wat vonden ze ervan?

„De reactie was wel een beetje zo van ‘oeh, is dat niet eng?’”

Waar waren ze bang voor?

„Het leek politieke angst. Toen KPN door meneer Slim zou worden overgenomen, stond de Tweede Kamer ook op zijn achterste benen, zo van ‘hoe kon dit gebeuren?’. Ze moesten het kunnen verkopen. En misschien waren ze ook wel bang voor de continuïteit, dat een nieuwe eigenaar met die apparatuur zou willen stoppen.”

Waren ze niet bang dat hun geheimen in Britse handen zouden komen?

„Nee dat denk ik niet. De werkplaats voor onze cryptografische apparatuur is bij Koninklijk Besluit aangewezen als verboden plaats. Alleen door de AIVD en MIVD gescreende personen mogen er binnen. De AIVD controleert of we geen troep maken. En we hebben goed contact met onze klanten, ook daaruit ontstaat vertrouwen. Dat verandert allemaal niet.”

En als uw Britse baas om de sleutel vraagt?

„Dat gebeurt niet. Dat zag je ook bij de overname zelf. Alle contracten die gerubriceerd zijn, dus die een stempeltje ‘staatsgeheim’ hebben, hebben we ze nooit getoond. Ze geloofden ons gewoon. De gehéimen zijn dus niet in Britse handen, alleen de aandelen. Kijk, overheden hebben zelf nauwelijks geïnvesteerd in technologie en zijn daarvoor dus wereldwijd afhankelijk geworden van bedrijven die er meer verstand van hebben. Dat is iets waar ze mee moeten leren omgaan.”

Hoe duidt u de strijd tussen de FBI en Apple over toegang tot de iPhone van een terrorist?

„Het lukte FBI zelf het toestel te hacken, met forensische software die het NFI in Nederland waarschijnlijk ook gebruikt. Apple weigerde medewerking omdat ze zeiden dat als ze één toestel zouden ontgrendelen, dit de veiligheid van iedereen zou schaden. Dat is overdreven, blijkt nu. Voor jou en mij maakt het niet veel uit dat zo’n in beslag genomen toestel te hacken is. Je moet fysiek toegang hebben tot zo’n telefoon. Bovendien zijn de nieuwere iPhones een stuk beter beveiligd.”

Wat doet de Nederlandse overheid om cyberaanvallen tegen te gaan?

„Nou niet genoeg. Bij High Tech Crime van de politie zit zo’n 180 man. De helft van de capaciteit gaat op aan rechtshulpverzoeken van andere landen. Wat er aan eigen onderzoeken voorbij komt, ik heb geen idee. Het laatste wat ik zag was een persbericht, dat ze twee jongens uit Amersfoort hadden gepakt die malware hadden proberen te maken en daar duizend euro mee wisten te stelen. De grote jongens worden nooit gepakt. We werken samen met de FBI en met de Secret Service, maar de Nederlandse politie zit de laatste jaren niet meer op onze informatie te wachten. Ook de AIVD, de MIVD en Defensie doen wat aan cybersecurity, maar het is allemaal zo versnipperd dat er scenario’s denkbaar zijn waarbij niemand verantwoordelijk is.”

U pleit voor ruimere bevoegdheden voor opsporingsdiensten. Zou dat een aanslag als in Brussel hebben kunnen voorkomen?

„We overschatten hoe slim terroristen zijn. Vaak gebruiken ze de standaard middelen als ze elkaar snel willen spreken. Al die poespas erom heen met beveiliging werkt niet erg efficiënt; ze bellen niet met vijf seconden vertraging via een beveiligde lijn. Daarbij: hoe moeilijk is het om een relatief kleine wijk te observeren? Vergelijk het met de inval die de politie [in 2004] deed bij de Hofstadgroep in Den Haag. Dat huis was door de AIVD vol gehangen met microfoons.”

Het lijkt alsof Europese overheden geen gebrek aan data hebben, maar niet in staat zijn ze te delen.

„Geheime diensten zijn zuinig op hun informatie. Als je informatie deelt, verliest het zijn waarde en raak je wellicht je bronnen kwijt. Er wordt daarom wel voor gepleit om passagiersgegevens uit te wisselen zodat je in ieder geval weet op welke verdachte figuren je moeten letten. De politieke moed ontbreekt daarvoor vaak, maar incidenten als in Brussel kunnen de zaak versnellen.”

Ziet u online verontrustende activiteiten? Hebben terroristen het via die weg op onze infrastructuur gemunt?

„Nee, maar ik zie wel de potentie van de dreiging. Er zijn geslaagde pogingen gedaan, bijvoorbeeld bij Duitse hoogovens of door Iraniërs die zich in Amerikaanse sluizen wisten te hacken. Ik zie in Nederland nog geen concrete aanwijzingen. De meeste hackpogingen in het buitenland zijn ook niet terroristisch van aard, maar gericht op spionage.”

Prins heeft twee tienerzonen uit een eerder huwelijk. Zijn vrouw heeft een goede, fulltime functie bij Shell. Met haar heeft hij twee heel kleine kinderen. Thuis loopt een nanny rond.

We zien op internet hoe u uw trouwdag doorbrengt, hoe u een nieuwjaarsduik neemt met uw kinderen en ook op Facebook deelt u veel persoonlijke informatie. Privacy is niet uw grootste zorg.

„Nee.”

Waarom eigenlijk niet? U bent multimiljonair en beveiligt staatsgeheimen.

„Ik kan wel ingewikkeld doen, maar iemand met slechte bedoelingen weet me toch te vinden. Omdat ik hier zelf goed in zit, weet ik hoe makkelijk het is om ergens doorheen te prikken. Bovendien, ik leef met dat internet en wil het voluit gebruiken.”

Wat leert u uw kinderen over gevaren op internet?

„Niet zo veel. Ik leer ze niet naïef te zijn. Ik weet ook niet goed waar ik ze voor zou moeten waarschuwen. Het gaat mis als digitale kinderlokkers in beeld komen, maar kinderlokkers heb je ook op straat. Ze zien beter dan ik wanneer een mail nep is. Zij hebben de camera’s op hun computer afgeplakt, ik niet.”

U vloog in 2014 met uw drone boven de zwaarbeveiligde nucleaire top. Heeft u eigenlijk antecedenten?

„Nee. Die drone was in de aanloop naar de top. Dat hacken was allemaal van voor 1993, toen mocht het nog. Mijn rijbewijs is eens in beslag genomen omdat ik meer dan vijftig kilometer te hard reed – ik rijd soms hard om rust in mijn hoofd te krijgen. Verder vloog ik met mijn drone eens te dicht bij de vuurwerkshow in Scheveningen. Die boete heb ik met succes aangevochten. Dat was het geloof ik.”

Kunt u eigenlijk nog hacken?

„Nee, dat is niet bij te houden. Het is topsport. Ik sprak laatst een jongen van zestien, die was zo verschrikkelijk handig. Het is vooral de drive die je verliest. Ik lag vroeger zelden voor drie uur op bed, ik zat maar achter die computer. Bij ons werken veel mannen. Op een dag komt er een vrouw in beeld die ’s avonds Netflix-series wil kijken.”