Cybercrime? Niets van gemerkt

Digitale veiligheid

Veel bedrijven hebben niets in de gaten, als ze gehackt worden. Herna Verhagen onderzocht cybercrime. Ze pleit voor meer regie.

Iedereen snapt dat dijkbewaking belangrijk is, maar digitale veiligheid vinden veel Nederlanders vooral ingewikkeld. Terwijl deze ‘digitale dijkbewaking’ even belangrijk is, zegt Herna Verhagen, bestuursvoorzitter van PostNL. „Het Openbaar Ministerie verwacht dat de helft van zijn zaken over vijf jaar te maken heeft met digitale criminaliteit. Dat is veelzeggend. Er is meer digitale dijkbewaking nodig.”

Verhagen maakte een rapport over digitale veiligheid in opdracht van de Cyber Security Raad, een adviesorgaan van het kabinet. Ze sprak met allerlei deskundigen en betrokkenen. Geheime diensten, cyberrechercheurs, bedrijven en overheidsfunctionarissen in binnen- en buitenland. Haar conclusie: het Nederlandse overheidsbeleid is te versnipperd, het mist duidelijke samenhang en sturing. Maar ook in het bedrijfsleven moet er meer gebeuren. Donderdag overhandigde ze haar rapport aan premier Mark Rutte en werkgeversvoorman Hans de Boer.

Nederlandse bedrijven worden structureel bespioneerd. Vooral de meest innovatieve bedrijven, die in de top-25 staan van grootste uitgaven aan onderzoek. Bij een op de drie bedrijven uit die ranglijst heeft inlichtingendienst AIVD al eens digitale spionage ontdekt. Verhagen: „Een groot deel van het intellectuele eigendom van Nederland bevindt zich dus ook elders. Waar jij uniek in bent, is dan niet uniek meer.”

‘Dreiging die we niet zien’

Het grootste deel van de getroffen bedrijven had die spionage niet eens in de gaten. Als de AIVD contact met hen opnam, had tweederde niks gemerkt. „Van veel criminaliteit en spionage weten we niet eens dat het gebeurt”, zegt Verhagen. „Er is dreiging die we niet zien.” Bij de diefstal van vijfhonderd miljoen Yahoo-accounts door hackers speelde hetzelfde. „Die hack vond plaats in 2014, maar werd pas in de zomer van 2016 ontdekt.”

Nederland lijdt jaarlijks zeker 10 miljard euro economische schade door cybercrime, becijferde het ministerie van Economische Zaken eerder dit jaar – 1,5 procent van het bbp. Daar bovenop is er nog zo’n 5 miljard euro schade die nooit ontdekt wordt, zo schat adviesbureau Deloitte. „Bijvoorbeeld schade als gevolg van criminaliteit”, zegt Verhagen. „Zoals burgers en bedrijven die op een link klikken die ransomware installeert.” Met die schadelijke software wordt je computer vergrendeld. Je kunt pas weer bij je gegevens nadat je geld hebt betaald aan de hackers. Vooral bedrijven moeten hoge bedragen betalen.

Overheden en bedrijven zouden 10 procent van hun IT-budget moeten besteden aan digitale veiligheid. Dat is de investering echt waard, volgens Verhagen. „Kijk naar het voorbeeld van Yahoo. Als er bij jou vijfhonderd miljoen gebruikersaccounts gehackt worden, doet dat heel veel met je reputatie.” Haalt haar eigen PostNL de 10-procentnorm? „We zijn een heel eind op weg.”

De overheid zou een topambtenaar moeten aanstellen die al het digitale beleid coördineert. „Digitale veiligheid zit nu bij vijf ministeries en is verdeeld over allerlei gelieerde instituties. Er loopt geen rode draad doorheen: waar wil ik naartoe? Hoe kom ik daar? Hoe verdeel ik het geld? Er is veel meer sturing nodig en een langjarig programma.”

Een speciaal ministerie optuigen voor cybersecurity vindt Verhagen onverstandig. „Het is lastig om alles bijeen te brengen omdat sommige aspecten echt bij bestaande ministeries horen. Digitale veiligheid hoort bij Veiligheid en Justitie. Er zijn veel economische aspecten die bij Economische Zaken horen. Ook voor Defensie is cyber belangrijk. Maar er moet wel iemand zijn die het overzicht heeft. En die weet: hier gaan we heen.”

Wachten op de overheid

Woensdag zei cyberspecialist Inge Philips in NRC dat het bedrijfsleven meer kan doen tegen cybercrime dan de overheid. Philips, die na een loopbaan bij de AIVD en de landelijke recherche overstapte naar Deloitte, zei dat veel getroffen bedrijven al lang geen aangifte meer doen. Die hebben een lek te dichten en wachten niet op de overheid.

Verhagen vindt dat de overheid wel degelijk een belangrijke rol heeft. „Ook al heb je altijd samenwerking nodig met bedrijven.” Bedrijven moeten juist wél aangifte doen. Zelfs al is de kans klein dat de daders gepakt worden. „Het is lastig om te achterhalen wie er achter zit, maar het delen van informatie kan helpen voorkomen dat het bij een ander bedrijf opnieuw gebeurt.”

Uiteindelijk begint alles bij het besef dat onze digitale dijkbewaking net zo belangrijk is als onze zeewering. Daarom wil Verhagen dat kinderen al van jongs af aan digitale vaardigheden leren op school, inclusief programmeren. „Digitale geletterdheid is net zo belangrijk als taal en rekenen. Dan snap je wat er allemaal op internet gebeurt met je gegevens.” Bijkomend voordeel: je maakt jongeren enthousiast voor ICT. Ook dat is belangrijk, zegt Verhagen: „Bedrijven hebben grote behoefte aan nieuw talent.”