'Een cyberleger vergt geld en lef'

Landen vallen elkaar steeds vaker 'onzichtbaar' aan: met computer-virussen en door elkaars systemen te hacken. Digitale beveiliging zou dus de hoogste prioriteit moeten hebben, zegt Ronald Prins, maar politici denken nog heel conventioneel. 'Met een digitale slag kun je een land harder raken dan met tanks.'

Eind juni maakte de Britse veiligheidsdienst MI5 bekend dat 'een' Brits bedrijf - vermoedelijk British Aerospace - 1 miljard euro schade lijdt als gevolg van Chinese digitale spionage. Vorig jaar liet Iran het Nederlandse Diginotar hacken om zijn dissidenten te kunnen monitoren. In 2010 hadden Israël en de VS één usb-stick nodig om een deel van het Iraanse nucleaireverrijkingsprogramma te vernietigen. In 2008 legden Russen met een digitale aanval het militaire communicatiesysteem in Georgië plat.


Cyberaanvallen tussen landen rukken op. Ronald Prins, mededirecteur van het internetbeveiligingsbedrijf Fox-IT, sprak erover op een congres voor militairen aan de Koninklijke Militaire Academie. 'Politici op het hoogste niveau begrijpen het nauwelijks.'


Hoe reëel is een cyberoorlog?

'Dat hangt ervan af hoe je het definieert; daar is geen eenduidigheid over. Als je het hebt over digitale aanvallen tussen naties met het doel iets te vernietigen, informatie te stelen door inlichtingendiensten of het overnemen van andermans besturingssystemen, dan is daarvan allang sprake.'


Een Derde Wereldoorlog is volgens u een digitale.

'Als er weer een grote oorlog komt, zal die ook met tanks en vliegtuigen zijn, maar het verschil wordt gemaakt op het digitale slagveld. Met een digitale slag kun je een land harder raken dan met tanks. Denk je maar eens in wat er gebeurt als een land twee dagen geen stroom heeft, niet kan internetbankieren of handelen op de beurs. Dan ontwricht je de hele economie. Vooral westerse landen die zichzelf enorm afhankelijk hebben gemaakt van digitale systemen, zijn het meest kwetsbaar. Digitale en conventionele oorlogvoering zijn complementair; je besmet iemands radarsysteem met een virus, waarna je F-16's ongezien een land kunnen binnenvliegen, zoals Israël in Syrië heeft gedaan.'


Zijn er landen waarvoor we op dat gebied moeten oppassen?

'Israël, China, Rusland, Iran. Aan Rusland en Amerika heeft Fox-IT geavanceerde beveiligingsapparatuur verkocht. Die hebben door hoe krachtig en dreigend cyberwapens zijn. Juist de landen die zich heel goed beveiligen, zijn offensieve cybercapaciteit aan het opbouwen. Die hebben een cyberleger.'


Ict'ers in een militair pak.

'Ja. Rusland, China, Iran en sommige Europese landen hebben al cyberlegers gebouwd. In de VS is internet na land, lucht, zee en ruimte verklaard tot fifth domain of warfare. Nederland heeft een cyberkolonel en 50 miljoen euro vrijgemaakt om voor 2014 een cyberleger te gaan bouwen.'


Is dat genoeg?

'Het is niet veel. Nederland wil 87 JSF's bestellen. Ik heb uitgerekend dat je voor de kosten van één JSF-toestel een cyberleger van duizend man kunt financieren.'


En daar hebben we meer aan dan aan de JSF?

'Dat hoor je mij niet zeggen. Wat ik wel weet, is dat je voor de kosten van een JSF-vleugel al het mooiste cyberleger krijgt dat je wilt hebben. Maar de discussie daarover ligt gevoelig - politici op het hoogste niveau zijn er nog niet aan toe, ze zien de urgentie er nog niet van in. Omdat ze het nauwelijks begrijpen.'


Een cyberleger moet bewerkstelligen dat het militaire apparaat blijft functioneren als Nederland digitaal wordt aangevallen. In Frankrijk hebben jets aan de grond gestaan omdat er virussen aan boord waren gedetecteerd. Hackers hebben aangetoond dat ze de besturing van Nederlandse sluizen kunnen overnemen en daarmee eventueel delen van Nederland onder water kunnen zetten. De OESO, de organisatie voor economische samenwerking en ontwikkeling, schrijft in een rapport dat cyberwapens 'binnenkort alomtegenwoordig zullen zijn'. Het bekendste voorbeeld is Stuxnet, waarmee 344 centrifuges in de uraniumopwerkingsfabriek in het Iraanse Natanz werden vernietigd. En in mei werd Flame ontdekt, een spionagevirus dat in beeld brengt hoe bijvoorbeeld zo'n fabriek er van binnen uitziet.


Cyberwapens, zegt Prins, zijn vaak samenraapsels van tools die hackers online zetten. 'Je maakt ze zelf. Ze zijn relatief goedkoop, je hoeft ze niet in grote fabrieken te bouwen. Wat je nodig hebt is een paar nerds, laptops en een zolderkamertje. Vijf jaar geleden vloog Israël nog naar Syrië om daar een opwerkingsfabriek te bombarderen. Nu programmeer je een virus, laat het los op internet en het doet z'n werk. Dat is de realiteit geworden.'


Stuxnet ging zwerven op internet en nestelde zich - collateral damage - in systemen waar dat niet moest. Als zo'n virus in een ziekenhuissysteem of kerncentrale zit, heb je geen idee of de metertjes op je apparatuur nog betrouwbaar zijn, zegt Prins. 'Het levert indirecte schade op: mensen raken in paniek, ze vertrouwen hun netwerken niet meer en schakelen de boel maar uit. En als je een raffinaderij een uur uitschakelt of een nucleaire omgeving, ben je al gauw een maand bezig voordat je weer kunt opstarten. Dus dat is gigantische schade.'


De internetveiligheidsexpert verbaast zich erover dat Stuxnet nauwelijks politieke commotie heeft opgeleverd. Het heeft vorig jaar in tachtig computers in een Japanse fabriek rondgezworven en is ook in een Nederlands bedrijf gesignaleerd. Prins: 'Een Amerikaans wapen heeft hier rondgewaard. Als een raket, onderweg naar Iran, hier een onderdeel had laten vallen, was de herrie niet te overzien geweest. Maar heeft Rosenthal over Stuxnet met mevrouw Clinton aan de lijn gehangen en gezegd 'joh, wat flik jij nou?' Ook die discussie vindt niet plaats, omdat het vage, onzichtbare wapens zijn waarvan de dreiging nog niet voldoende wordt ingezien. Er dolen misschien wel dertig cyberwapens door Nederland. Wie monitort dat? Wij doen het bij onze klanten, maar wij bedienen maar een heel klein stukje van Nederland. Daar heb je dus een cyberleger voor nodig.'


Hoe veilig is Nederland?

Stellig: 'Niet. Veel overheden en bedrijven zijn niet in staat om veiligheid in te kopen. Dat moet altijd zo goedkoop mogelijk, via aanbestedingen. Onze beste klanten komen preventief, maar we krijgen ook veel grote, incidentgedreven klanten. Eerst zijn ze niet geïnteresseerd omdat je te duur bent, maar als de shit uitbreekt, smeken ze of je wilt komen.'


Nederland is kwetsbaar, stelt Prins. Misschien zelfs het kwetsbaarst van Europa, omdat het meer dan andere landen afhankelijk is van een digitale omgeving. 'Er is waarschijnlijk geen enkel ander land waar een hack als die bij Diginotar zoveel effect zou hebben gehad, puur omdat onze ict-infrastructuur zo ver is gevorderd. Omdat onze overheid zo graag wil dat we het beste ict-jongetje van de klas zijn, en dat zijn we ook. Van de Nederlanders bankiert 98 procent digitaal. We hebben heel snel DigiD gekregen. Als nu je kind geboren wordt, hebben ze liever dat je via een app aangifte doet, met een fotootje erbij, dan dat je naar het gemeentehuis gaat.


'Ook Defensie is heel afhankelijk van ict. Van hoog tot laag lopen militairen met Blackberry's rond. Als die worden platgelegd, hoe worden zij dan opgeroepen als er oorlog is? Vroeger hadden we gewoon zenders en radio's. Die zijn veel lastiger te verstoren dan software. We hebben het meegemaakt: als er brand uitbreekt naast een centrale van Vodafone, ligt Vodafone er een week uit. Je kunt je afvragen: in hoeverre moeten we zo'n e-overheid willen zijn? Of moeten we daar misschien nog even mee wachten?'


Die vraag komt te laat.

'Ja, maar dit schrijdt voort. Je ziet de wens om de samenleving nog digitaler te maken. Kijk naar het patiëntendossier.'


Minister Hillen van Defensie zegt dat een cyberleger offensief met digitale wapens bezig moeten zijn.

'Hij heeft gelijk. Soldaten moeten oefenen en al helemaal in de digitale wereld. Als je drie maanden niet hackt, loop je hopeloos achter. Dat is heel anders dan wanneer je scherpschutter bent; dat kun je over twee jaar ook nog wel. De digitale techniek verandert continu, hackers zitten dagelijks te hacken. Een van de aanwezigen op het KMA-congres stelde voor Nederlandse cybersoldaten continu te laten testen of gemeentelijke websites veilig zijn, door te proberen daar in te breken. Dan blijven zij vaardig en de gemeenten scherp. Ik vond het een goed idee. Maar dan is er meteen iemand die roept: inbreken mag niet; jullie moeten oefenen in een laboratoriumsituatie. Dat is precies waar het misgaat: het lukt niet om een lab te bouwen dat de werkelijkheid van het internet simuleert. De continue veranderingen zou je dan zelf moeten introduceren.'


U heeft geen vertrouwen in het cyberleger dat er moet komen?

'Die quote krijg je niet.'


Dat zegt genoeg.

'Nou ... nee hoor. Als ik word uitgenodigd bij de KMA voor 400 man, dan denk ik: ze doen dus wel die deur open voor mensen vanuit de praktijk. Die militairen snappen het wel. Alleen de vraag is: wie zijn de sterksten? Gaan de juristen het winnen of de enthousiaste pioniers achter het toetsenbord? De juristen willen alles in regels vangen. Dat zie je steeds. Internet wordt met de fysieke wereld vergeleken. Er worden dezelfde wetten op toegepast, maar ze zijn niet te vergelijken. Ik vind dat een typisch reflex van uit angst redeneren. Het internet vergt een fundamenteel andere benaderingswijze dan de manier waarop Defensie normaliter met de maatschappij omgaat.


Defensie is een top-down-organisatie, maar Hillen zou moeten zeggen: ik heb dertig van die cyberjongens nodig, ik haal er vijf bij Defensie, vijf bij de politie, ik koop er vijf van Fox en ik werf er nog vijftien, laat ze maar een jaar gaan aanmodderen. Dat is hoe het bij de politie is gegaan. Daar is het Team High Tech Crime van onderaf opgebouwd, door een jonge hond met lef en een potje geld. Dat werkt uitstekend. Ongeorganiseerd is een woord dat bij internet past. Je moet in die wereld leven om hem te kunnen begrijpen. Top-down gaat dat niet werken.'


Ook de oude industrie heeft het nakijken als het om cyberoorlog gaat, zegt Prins. 'De Lockheed-Martins, de Raytheons en de Boeings proberen wat op digitaal gebied te doen, maar ze zijn te traag en te log voor de snelle internetwereld. De winst zit in Silicon Valley en bij jongens als Vupen in Frankrijk, hackers die gaten in software opsporen en die informatie verkopen aan inlichtingendiensten, voor offensieve doeleinden. De techneuten bij Boeing zijn mega-ingenieurs, heel slim, goed in raketten bouwen, maar ze zitten niet diep genoeg in het internet. Maar het zijn wel mensen met miljardencontracten, dus die kunnen met de minister in gesprek. Zo'n minister zegt: ik wil in cyber investeren en zo'n bedrijf zegt: dat gaan we regelen. Maar ze kunnen het niet. Daar zijn de laatste vijf jaar heel wat miljardjes mee weggegooid.'


Fox-IT: Digitale beveiliging

Ronald Prins is directeur en mede-oprichter van Fox-IT in Delft, het grootste Europese bedrijf gespecialiseerd in internetbeveiliging en digitaal rechercheonderzoek.


Het bureau werkt samen met de Nederlandse overheid in de opsporing van cybercriminaliteit en -spionage. Het ondersteunt de politie bij het doorbreken van digitale versleutelde informatie van cybercriminelen.


Fox-IT verzorgt de digitale beveiliging van staatsgeheime producten en rekent de vitale infrastructuur (energiesector, telecombedrijven), multinationals en alle Nederlandse banken tot zijn klantenkring.


Bij Fox werken 160 beveiligingsexperts. Het bedrijf exporteert zijn kennis en beveiligingsproducten over de hele wereld.


CV


1969 Geboren in Den Haag


1988-1995 Studie technische wiskunde


1995-1999 Cryptoanalist bij het Nederlands Forensisch Instituut


1999-heden Medeoprichter en -directeur van Fox-IT


Ronald Prins woont samen en heeft twee kinderen


Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden