We must ensure that the Netherlands is well prepared for socially disruptive cyber incidents:

Het huidige dreigingsbeeld
De grootste dreigingen zijn spionage en sabotage vanuit statelijke actoren en verstoring van vitale systemen. Waar de motivatie van niet-statelijke actoren vaak gericht is op financiële- en reputatieschade, is de motivatie van statelijke actoren specifiek gefocust op het bereiken van geopolitieke en economische doelstellingen ten koste van Nederlandse belangen. Door spionage worden politieke inlichtingen ingewonnen, (bedrijfs)geheimen gestolen en (dissidente) groeperingen of individuen gevolgd. Om binnen te dringen bij het doelwit wordt vaak gebruik gemaakt van leveranciers die op legitieme wijze toegang hebben tot een infrastructuur. Hierdoor is het ecosysteem zo sterk als de zwakste schakel en kleinere leveranciers hebben niet altijd het budget of de skills om de organisatie weerbaar te houden.

Storing en uitval van (informatie)systemen zijn daarnaast een dreiging door de potentiële impact. De uitval van één systeem of netwerk kan voor storing of uitval op andere plekken zorgen. Dit geldt zeker wanneer het plaatsvindt op een centraal informatieknooppunt of bij vitale processen. Denk bijvoorbeeld aan de 112-storing in juni 2019. Het noodnummer was urenlang onbereikbaar door een storing op het netwerk van KPN.

Daarnaast is er nog digitale sabotage waarbij (vitale) systemen en processen opzettelijk worden beschadigd, verstoord of vernietigd. Aanvallen op bedrijven en instellingen gebeuren bijna wekelijks6, maar in de meeste gevallen blijft het buiten het nieuws. Een voorbeeld is de NotPetya aanval van 2017. Deze aanval legde heel Oekraïne plat en trof ook de haven in Rotterdam. Twee grote containerterminals in de haven werden twee weken platgelegd en de schade was enorm. Deze hack heeft gezorgd voor een reality check: één zwakke plek kan de maatschappij al ontwrichten en er zijn hackgroepen die niet alleen deze potentie kennen, maar ook bereid zijn om hun tegenstander daar te raken.

Hoe reageert Nederland?
De reactie op grootschalige incidenten wordt gekenmerkt door improvisatie, met name op het gebied van mandaat en samenwerking: de overheid heeft geen duidelijke bevoegdheden om in te grijpen en daarnaast hebben overheden, organisaties en bedrijven vaak geen goed beeld van de partijen van wie ze afhankelijk zijn. Omdat systemen die bijvoorbeeld telefoonverkeer, betalingen, beveiliging en transport regelen volledig geautomatiseerd zijn, onderling verbonden en opereren in een web met allerlei leveranciers en tussenbedrijven, is er amper overzicht. Een bijkomend probleem is dat als de digitale ramp uitbreekt het vaak te lang duurt voordat hulptroepen aan de slag kunnen. Toen met de NotPetya aanval de systemen in de Rotterdamse haven lam waren gelegd, kon de veiligheidsregio eerst niets doen toen ze informatie wilden. Ondanks dat er veel lessen zijn getrokken uit deze incidenten, bestaan er geen duidelijke en voldoende ingekaderde bevoegdheden om cyberincidenten te bestrijden. De focus ligt nu op het adviseren en ondersteunen van organisaties binnen de vitale infrastructuur. Maar wanneer organisaties weigeren mee te werken, “is het onduidelijk welke middelen de overheid heeft om in te grijpen en op welke gronden dat dient te gebeuren"", aldus de Wetenschappelijk Raad voor het Regeringsbeleid.
En het Nationale Cyber Security Centrum (NCSC) dan? Het NCSC heeft de wettelijke taak om vitale aanbieders en onderdelen van Nederland te informeren, adviseren en bij te staan bij dreigingen en incidenten. Echter, veel organisaties in de semipublieke- en private sector vallen niet onder de wettelijke taakstelling van het NCSC. Hierdoor kan het nauwelijks invloed uitoefenen op bijvoorbeeld organisaties zoals zorg- en onderwijsinstellingen.

De digitale dreiging neemt toe
Gezien de sterke groei in digitalisering van de wereldwijde samenleving zal de dreiging alleen maar toenemen. Tegenwoordig zijn niet alleen PCs, laptops en mobiele telefoons aangesloten op het internet, maar ook onderdelen van onze vitale infrastructuur, hele fabrieken, systemen in het openbaar vervoer, medische apparaten en energienetwerken. Dit in samenloop met het 5G-netwerk dat naar verwachting in 2020 wordt uitgerold. Volgens KPN maakt 5G het mogelijk om vrijwel de gehele samenleving onderling te verbinden8. De toenemende complexiteit en connectiviteit kunnen negatieve effecten hebben op de weerbaarheid en het vermogen van hackers om schade aan te richten neemt toe. Het is evident dat 5G de wijze waarop wij problemen met cyberbeveiliging aanpakken in de toekomst zal veranderen.

Daarnaast zullen we ook rekening moeten houden met de oplopende geopolitieke spanningen tussen met name de VS, de EU-lidstaten, Rusland, China, Iran en Noord-Korea. Dit is te merken aan de recent geëscaleerde situatie tussen de VS en Iran, de toenemende assertiviteit van China en Rusland en de toenemende nucleaire onzekerheid en verslechterde trans- atlantische relaties. Deze oplopende spanningen beïnvloeden cybersecurity.
Het zal een uitdaging blijven om de weerbaarheid dusdanig op peil te houden dat we de toenemende afhankelijkheid en veranderende dreiging het hoofd kunnen bieden. Er zijn essentiële maatregelen die getroffen moeten worden om ons voor te bereiden op een cyberaanval. Er staat immers teveel op het spel om de voorbereiding op en aanpak van digitale ontwrichting op zijn beloop te laten.

De digitale brandoefening
Voorkomen is beter dan genezen. Cybersecurity-maatregelen binnen de overheid zijn dan ook met name gericht op het voorkomen van cyberincidenten. Echter, in het digitale domein valt een incident nooit 100% uit te sluiten. Daarbij komt het feit dat cybercriminelen altijd voorop zullen lopen op de overheid en veel andere organisaties.

Er zijn stappen te ondernemen bij het voorkomen van een cyberincident: uitwijkmogelijkheden of terugvalopties zijn bijvoorbeeld vaak onvoldoende aanwezig. Daarnaast zijn veel maatschappelijke kernprocessen sterk afhankelijk van het doen en laten van grote, monopolistische, buitenlandse aanbieders van digitale voorzieningen. Dit maakt onze maatschappij kwetsbaar voor wisselende intenties van deze aanbieders en landen.
Aangezien het onmogelijk is om alle cyberaanvallen te voorkomen, is het noodzakelijk dat organisaties zich meer gaan focussen op oefenen: door gesimuleerde cyberaanvallen daadwerkelijk te ervaren, is het voor organisaties mogelijk om zich beter voor te bereiden. Een digitale brandoefening.

Hierbij staan ons inziens drie onderdelen centraal:
1. Incident response: een term die wordt gebruikt om het proces te beschrijven waarmee een organisatie een cyberincident afhandelt (zowel technisch als met betrekking
tot bedrijfsprocessen). Dit heeft als doel om de schade, hersteltijd en -kosten zoveel mogelijk te beperken. Naast het oefenen op de bedrijfsprocessen is het tegenwoordig ook steeds beter mogelijk om te oefenen op technische componenten. Dit is uitermate belangrijk voor het trainen van de technische capaciteiten van medewerkers.
2. Samenwerking: bij een grootschalig cyberincident is het onvermijdelijk dat verschillende organisaties met elkaar moeten samenwerken op nationaal niveau. Niet alleen heeft de overheid geen duidelijke, gecentraliseerde bevoegdheden om in te grijpen. Ook is er vaak samenwerking nodig tussen verschillende sectoren voor de uitwisseling van de juiste (technische) expertise. Daarbij komt dat er samenwerking vereist is op Europees en internationaal niveau: het digitale domein kent geen nationale grenzen.
3. Communicatie: besluitvorming ligt bij het management. Bij cyberincidenten moet het niet-technische management echter vaak de technische expertise inschakelen van specialisten. Het oefenen op communicatie binnen een organisatie is daarom ook fundamenteel: hoe lopen de communicatielijnen? Is het management voldoende op de hoogte van de ernst van een cyberincident en de te nemen stappen? Daarnaast is het oefenen op externe communicatie ook van belang. Hoe communiceren we naar onze stakeholders? Hoe gaan we om met media, zonder onze reputatie te schaden?

Een succesvolle cybersimulatie-oefening kent bovenstaande aspecten en oefent enerzijds op managementniveau en anderzijds de technische experts binnen de organisatie. Door crisissituaties na te spelen, wordt de gehele organisatie zich bewust van de digitale dreigingen, de eigen rol, verantwoordelijkheden en risico’s/consequenties van het eigen handelen.

Conclusie
Door de hierboven genoemde ontwikkelingen is het niet de vraag óf er een grootschalig cyberincident met nog ongekende gevolgen voor maatschappelijke ontwrichting zal plaatsvinden, maar wanneer. Juist omdat een cyberincident nooit volledig te voorkomen is, is het noodzakelijk dat niet slechts de focus wordt gelegd op preventieve maatregelen maar dat organisaties zich gaan bezighouden met welke stappen er gezet moeten worden wanneer er een cyberincident plaatsvindt. Door een gesimuleerd cyberincident te oefenen en te ervaren, kunnen we werken aan een betere voorbereiding. Kortom, we moeten ons voldoende bewust zijn van hoe we de volgende grote ‘digitale brand’ kunnen bestrijden.