Opinie

Internetveiligheid van Nederland is al veel te lang verwaarloosd

cybersecurity

Commentaar

In een alarmerend rapport dat vorige week naar buiten kwam, waarschuwde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) dat de komende tijd meer agressie te verwachten is van landen als Iran, China en Rusland. „De ontwrichting van de Nederlandse samenleving ligt door cyberaanvallen op de loer.” Tegelijkertijd hebben diverse, niet nader genoemde Nederlandse overheidsinstellingen en bedrijven beveiliging tegen hacks en digitale inbraken nog altijd niet op orde.

En het is niet voor het eerst dat de laatste tijd op dit gebied alarm wordt geslagen. „Echt een tekortkoming waar ik, zeg ik maar heel open, zelf ook van schrok.” Dat zei minister Cora van Nieuwenhuizen (Infrastructuur, VVD) in de Tweede Kamer, inmiddels alweer drie maanden geleden. Ze reageerde op de inderdaad nogal schokkende conclusies van een onderzoek van de Rekenkamer naar de digitale beveiliging van cruciale wegen en waterwerken in Nederland, waaronder de Deltawerken. Het bleek dat door de Rekenkamer ingehuurde hackers twee keer binnen konden dringen bij een om voor de hand liggende redenen niet nader genoemd ‘vitaal object’.

Reden genoeg om nu eens werkelijk tempo te maken met cybersecurity. Dit soort waarschuwingen circuleert nu al enkele jaren waardoor ze bijna sleets klinken. Maar het gaat een keer echt mis als het blijft ontbreken aan gecoördineerde actie. Die blijft namelijk steeds maar uit.

De wereld verkeert al enkele jaren in een bijzonder instabiele situatie met vooral op digitaal vlak veel agressie, sabotage en schendingen van soevereiniteit over en weer: hacks, inbraken, desinformatiecampagnes, vandalisme met behulp van computervirussen. Het angstaanjagende is dat er vrijwel geen internationaal recht is wat betreft digitale aanvallen. Het is volstrekt onduidelijk hoe rechtmatige vergeldingen en afschrikmethodes eruit kunnen zien.

Dat leidt tot een langzame maar zekere escalatie van conflicten. De computers van Poolse energie- en transportbedrijven werden bijvoorbeeld in 2018 geïnfecteerd met malware (GreyEnergy), waarschijnlijk ontwikkeld door Rusland. In december werd met malware van een nog onbekende maker een olieverwerkingsfabriek in Italië aangevallen, waardoor duizenden machines en computers stilvielen. Eerder kwamen ook in Nederland al een complete haventerminal en diverse multinationals waaronder TNT plat te liggen.

Overheid en bedrijfsleven hebben de laatste jaren miljoenen geïnvesteerd in cyberveiligheid, maar de effecten zullen volgens de NCTV pas „de komende jaren zichtbaar moeten worden”. Hetzelfde geldt voor de effecten van de nieuwe meldplicht cybersecurity. Dit gaat te traag.

Internationale afspraken zijn onmisbaar op dit gebied. Er klinkt de laatste tijd vaak een pleidooi voor een soort ‘Geneefse Conventie’ over cyberaanvallen. Die aansporingen verdienen nadere uitwerking.

Ook in Nederland zelf moet meer gebeuren. De Cyber Security Raad, een adviesorgaan van de regering, riep in 2017 al op om een ‘cybercommissaris’ of ‘hoge functionaris’ aan te stellen. Deze persoon moest de regie in Nederland in handen nemen als het gaat om cyberveiligheid. Die is er nog steeds niet. Het creëren van zo’n positie zou door de politiek nu serieus bekeken moeten worden. Het is niet alsof Nederland te weinig is gewaarschuwd. De risico’s zijn te groot om door te blijven gaan met slaapwandelen.