Cyberspionage is stille dreiging

Het is paradoxaal, maar het jaarverslag van de Algemene Inlichtingen- en Veiligheidsdienst vorige week laat ook zien dat Nederland een belangrijke rol in de wereld speelt. Ook in een uitdijende EU, ondanks globalisering en internet, maakt het nog uit waar je ligt, wat je kan en wie je bent.

Het is dus niet per definitie zo dat kleinere landen onzichtbaar worden in de verbanden waar ze deel van uitmaken, zoals Navo of EU. Of gereduceerd raken tot pionnen in handelsstromen die zo snel gaan dat aan beheren of beveiligen geen beginnen is.

Dat Nederland aantrekkelijk is voor cyberspionage omdat de internetinfrastructuur hier helemaal tiptop in orde is, hoeft geen verbazing te wekken. Of dat buitenlandse mogendheden, Rusland, China en Iran voorop, Nederland op de korrel nemen omdat hier baanbrekende technologische ontwikkelingen plaatsvinden. En er economische en politieke kennis te verzamelen is die relevant is voor wereldspelers. Dat Nederland als vestigingsland voor internationale instellingen ook relatief veel ongewenste belangstelling wekt, is evenmin vreemd.

De constateringen die de AIVD doet over de ontwikkelingen in cyberspionage zijn het meest verontrustend. Vooral omdat de publieke focus juist gericht is op jihadisme en migratie. Over jihadisme, migratiestromen en de instabiliteit in omringende landen staat de krant vol. Die ongerustheid delen we al.

Dat geldt niet voor cyberdreiging. Afgelopen jaar was een record aantal cyberaanvallen op Nederlandse overheden door andere staten, zegt de AIVD. Gezien de groei van dit fenomeen in de wereld is het aantal geconstateerde incidenten vermoedelijk ‘een fractie van het totaal’. Van die dreiging merken we juist vrijwel niets. Ook bedrijven zijn het doelwit, in de chemie, energie, het water, de medische technologie, (bio)farmacie en geneeskunde. Doorgaans richt men zich daar op het beveiligen tegen binnendringers, maar wordt er onvoldoende gezocht naar indringers die al binnen zijn. Of slagen digitale inbrekers er, nadat ze zijn verjaagd, relatief snel in om toch weer binnen te komen. Vaak ontdekken bedrijven niet eens dat hun IT systemen zijn geïnfecteerd.

Het Nederlandse glasvezelnetwerk wordt ‘op grote schaal misbruikt’ door buitenlandse mogendheden om andere landen te bespioneren of te saboteren. Dat betekent dus dat ‘wij’ ook een bedreiging voor de omgeving zijn. Dat schept verplichtingen. Zo goed als we onze havens, wegen en luchtruim controleren, geldt dat ook ‘ons’ deel van het internet. Een land dat internationaal meetelt heeft nationaal de plicht de cyberdreiging te keren.