Veilig internet? Dan heb je weinig aan de overheid

Cybercrime

Bij de politie leidde ze het cybercrimeteam. Nu pakt Inge Philips bij Deloitte, mét meer mensen, digitale criminaliteit aan.

Nederland ligt zwaar onder vuur. Buitenlandse spionagediensten voeren voortdurend digitale aanvallen uit en cybercriminelen proberen met grof geschut de vitale infrastructuur te raken. Dagelijks zijn bedrijven de klos, honderdduizenden computers zijn geïnfecteerd en een op de tien Nederlanders was afgelopen jaar slachtoffer van internetcriminaliteit.

De recente monitor over cybercriminaliteit van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) staat bol van de waarschuwingen. En ook deze donderdag zal de Cyber Security Raad, een onafhankelijk adviesorgaan, het belang van digitale veiligheid onderstrepen in een rapport aan premier Rutte. Terecht, zegt Inge Philips, hoofd cybersecurity bij accountants- en adviesbureau Deloitte. Maar ze vraagt zich vaak af: wat gaan we eraan dóén? „En dan blijft het stil.”

Ruim twintig jaar hield Inge Philips zich bij de overheid bezig met computercriminaliteit en cyberspionage. Eerst bij veiligheidsdienst AIVD, later in Parijs en de laatste vier jaar als plaatsvervangend hoofd van de Nationale Recherche. Maar in juni nam Philips (47), gezien als een van de meest talentvolle topambtenaren, ontslag. Ze stapte over naar het bedrijfsleven en adviseert sinds vorige maand ondernemingen hoe zich te wapenen tegen cybercrime.

„Ja, de koffie is hier lekkerder”, zegt ze in haar nieuwe kantoortuin zeven hoog op de Amsterdamse Zuidas. Maar de belangrijkste reden om over te stappen: „Ik zat daar op mijn repressieve eilandje de wereld veiliger te maken. Maar ik voelde me onvoldoende effectief.” Hooguit een klein deel van de cyberzaken die ze bij de politie kon aanpakken, eindigde in een rechtszaak. En dat was alleen áls die zaken al strafbaar waren gesteld – cybercrime innoveert rustig door.

Philips is er na vele dienstjaren van overtuigd geraakt dat het bedrijfsleven méér kan doen tegen cybercrime dan de overheid. En dat de overheid anders naar cybercrime moet gaan kijken om wel effectief te zijn.

Is het wel een overheidstaak?

Het begint al met de monitor van de NCTV, zegt Philips. Alsof cybercrime een overheidsprobleem is. „Maar ís het wel een overheidstaak om ons veilig te houden op internet? De NCTV houdt zich vooral bezig met terrorismebestrijding, dáár heeft de overheid een geweldsmonopolie en een informatiemonopolie. De overheid kan terreurverdachten volgen, afluisteren, aanhouden. Maar op cyberspace heeft ze geen monopolie. Daar zijn geen dwangmiddelen in te zetten en het monopolie op informatie ontbreekt er al helemáál.” Online kan iedere burger in feite wat de overheid kan – en soms nog meer.

Cybercrime verandert voortdurend en de overheid haakt met moeite aan. Het is volgens Philips nooit anders geweest. „Internet is per definitie een niet-gereguleerde omgeving en de overheid is een wetshandhaver, die gedijt juist bij regulering.” Maar het creëert onduidelijkheid: waarom is diefstal van creditcardgegevens verboden, maar die voorhanden hebben niet? En kun je aangifte doen van online stalking? Wat ís online stalking?

In Den Haag ziet ze weinig interesse in cybercrime. Het gros van de wetgevers en bestuurders is nu eenmaal digital immigrant en geen digital native. „Ze voelen meer bij diefstal van hun portemonnee dan van gegevens uit hun laptop. Maar die generatiekloof, dat maakt verandering lastig.”

Neem het kabinetsstandpunt over ‘encryptie’, het versleutelen van data. Klaas Dijkhoff (VVD), de verantwoordelijk staatssecretaris, nam er in januari een standpunt over in: „Het kabinet vindt sterke versleuteling van data en communicatie belangrijk voor de privacy en vraagt niet aan softwareproducenten om achterdeurtjes in te bouwen.”

Een baanbrekend standpunt dat haaks staat op de Amerikaanse praktijk. Maar de baas van de AIVD ging daar laatst in de Volkskrant lijnrecht tegenin: die wilde juist wél dat software, met name Whatsapp, aftapbaar wordt, met een achterdeurtje voor de overheid. Philips: „Ik begrijp dat hij dat wil. Maar als deze heel hoge ambtenaar al iets anders wil dan het kabinet, dan zit er iets niet goed.”

Intussen steeg het aantal meldingen met ransomware-infecties, waarbij criminelen computers binnendringen en losgeld vragen, in Nederland tot 124 vorig jaar. Een Duits ziekenhuis moest in februari na een malware-infectie operaties uitstellen en in Los Angeles betaalde een ziekenhuis die maand 17.000 euro losgeld.

Geen aangifte meer

Veel getroffen bedrijven doen volgens Philips al lang geen aangifte meer. Die hebben een lek te dichten, die wachten niet op de overheid. Ze zag de markt voor IT-beveiliging groeien. Elke week zijn er nieuwe ontwikkelingen en bij Deloitte werkt Philips op een afdeling die jonger, diverser én groter is dan het hele cybercrimeteam van de politie dat onder haar leiding viel – 120 mensen. „Met een simpel antivirusprogramma ben je er niet”, zegt ze. „Cybercrime gaat om vraagstukken als: wie neem je aan, wie niet? Wat zijn je kroonjuwelen en hoe kan je daar bij komen? Mogen werknemers een eigen usb-stick gebruiken?”

De zichtbare criminaliteit lijkt afgenomen. Maar Philips kent ook jongens die zijn gestopt met tasjes roven en nu online producten aanbieden die ze niet leveren. En onder de georganiseerden heb je ‘beroeps’ die computers infecteren en geld aftroggelen. „De cocaïneboeren verleggen heus hun werkterrein niet, maar ze gebruiken wel moderne middelen om hun financiële stromen te versluieren.”

En dus, zegt ze, zal de overheid haar taak moeten „herijken” om cybercrime effectief te bestrijden. Wie is ervoor verantwoordelijk? Alleen het ministerie van Veiligheid? Waarom niet ook dat van Buitenlandse of Economische Zaken? En wat stel je strafbaar en wat niet? Waar kun je aangifte doen? „Nu is de overheid op dit vlak als een weifelende ouder die zijn kind geen regels stelt. Daar gaat het kind onder lijden.”