Overheid wil één vuist tegen cybercrime

Het Nationale Cyber Security Center, dat vandaag opent, moet een einde maken aan de versplinterde bestrijding van cybercriminali-teit. Hackers, die willen helpen, hebben er weinig vertrouwen in.

'Het kabinet komt met een integrale aanpak van cybercrime.' Het zijn slechts negen woorden die CDA en VVD vorig jaar september aan het onderwerp cybercrime besteedden in hun regeerakkoord, maar wel veelzeggende woorden. De kritische lezer wist: van enige coördinatie van de aanpak van cybercrime in Nederland is tot op heden geen sprake.


En dat is zorgelijk in tijden waarin cybercriminelen wereldwijd hun pijlen steeds vaker richten op overheden, bedrijven en burgers. Via virtuele open of slecht vergrendelde deuren dringen ze bij hun slachtoffers binnen en stelen er vertrouwelijke informatie, verstoren dienstverlening of leggen - in het ergste geval - kritieke systemen plat.


In 2011 vonden talloze grotere en kleinere incidenten plaats. Zo kon een Iraanse hacker via een lek bij het Beverwijkse bedrijf Diginotar bijvoorbeeld bij de e-mailcorrespondentie van 300 duizend mogelijke Iraanse dissidenten. In eigen land bleken DigiD en websites van tientallen overheden zo lek als een mandje en werd de OV-chipkaart gekraakt. Sony werd in verlegenheid gebracht toen hackers de persoonsgegevens van 77 miljoen Playstationgebruikers ontvreemden.


Hoe groot de totale maatschappelijke schade is, is nauwelijks in kaart te brengen omdat veel incidenten nooit openbaar worden gemaakt. Van de zaken die wel in de publiciteit komen, is bovendien nooit duidelijk hoeveel schade ze hebben veroorzaakt.


Van op zichzelf staande incidenten of onschuldige grappenmakerij is allang geen sprake meer. Internetbeveiligingsbedrijf McAfee waarschuwde in een rapport over 2012 al voor een heuse cyberoorlog. 'Het is goedkoop en zet niet direct mensenlevens op het spel. Bovendien kan het vrij gemakkelijk worden ontkend. En het allerbelangrijkste: het is zeer effectief', aldus het rapport. De oorlog waarvan het bebedrijf rept, kan overigens tussen vele partijen worden uitgevochten: landen vallen andere landen aan, individuele hackers bevechten bedrijven en overheden en regimes kunnen burgers die hun onwelgevallig zijn, digitaal bespioneren.


Slagkracht

Wie in kaart probeert te brengen hoe de Nederlandse overheid cybercrime tot op heden het hoofd biedt, kan niet anders dan concluderen dat sprake is van vergaande fragmentatie. De lappendeken wordt bevolkt door maximaal tweehonderd man en omvat organisaties als de AIVD, de MIVD, het ministerie van Defensie, het Korps Landelijke Politiediensten, het Nationaal Forensisch Instituut (NFI), de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en Govcert, dat namens de overheid dreigingen in kaart brengt.


Daaromheen en -tussendoor zijn partijen actief als het Nationaal Crisis Centrum (NCC), het platform voor cybersecurity CPNI, de ICT Uitvoeringsorganisatie (ICTU) en de Electronic Crime Taskforce (ECTF). Alsof dat allemaal nog niet genoeg is, heeft ook de Nederlandse krijgsmacht sinds 1 januari van dit jaar een eigen cybercrimeonderdeel.


Dat behoefte is aan coördinatie van bovenaf mag een understatement worden genoemd. De integrale aanpak van het kabinet moet vandaag zijn beslag krijgen in de opening van het Nationale Cyber Security Center (NCSC), dat onder auspiciën valt van Erik Akerboom, de Nationaal Coördinator Terrorismebestrijding en Veiligheid. Als belangrijkste missie van het NCSC, dat uiteindelijk uit een man of zestig zal bestaan, noemt hij het verhogen van de weerbaarheid. Akerboom wijst erop dat het centrum weliswaar door de overheid in het leven is geroepen maar dat het in feite gaat om publiek-private samenwerking. 'We gaan problemen samen met het bedrijfsleven, de wetenschap en waar mogelijk ook burgers oplossen.'


Hoewel het initiatief op brede instemming kan rekenen omdat het een poging doet aan de versnippering een eind te maken, zijn er ook al kritische en bezorgde geluiden te beluisteren. Ronald Prins, oprichter en directeur van het Delftse beveiligingsbedrijf Fox-IT, is bang dat het NCSC 'te veel een kennis- en expertisecentrum' wordt. 'Wat je wilt, is een club met operationele slagkracht.' Prins wijst naar het Verenigd Koninkrijk, waar namens de overheid een team van mensen 24 uur per dag, zeven dagen in de week het internet afstruint naar mogelijke lekken, zwakten en aanvallers. Niet alleen voor de overheid zelf, maar ook voor het bedrijfsleven.


Prins wil dat het NCSC vergelijkbare activiteiten gaat ontplooien, maar afgaande op de plannen en het aantal mensen waarmee het wil gaan werken, ziet hij dat niet gebeuren. 'Bedrijven hebben hun eigen verantwoordelijkheid, vinden ze in Den Haag. Maar juist kritieke organisaties zoals water- en elektriciteitsbedrijven zou de overheid moeten monitoren. Dat zijn allemaal commerciële bedrijven geworden die namens hun aandeelhouders op de kosten letten. Die zullen uit zichzelf niet heel snel investeren in dit soort kostbare beveiliging.


Reputatieschade

De ervaring van hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit Nijmegen is dat 'juist die kritieke bedrijven de problematiek vaak al heel scherp op het netvlies hebben'. Ook Akerboom, die volmondig toegeeft dat het NCSC 'geen brandweer wordt die alle digitale branden gaat blussen bij overheden en bedrijven', maakt zich hierover geen zorgen. 'Voor bedrijven staan hun reputatie en continuïteit op het spel. Je kunt dus zeker van hen verwachten dat ze op dit gebied hun verantwoordelijkheid nemen.' Uit talloze recente incidenten, zoals de digitale inbraken bij Sony, Cheaptickets.nl, datingsite Pepper.nl en de website van V&D, blijkt dat dat bij niet-kritieke organisaties nog niet het geval is.


Een ander veelgehoord kritiekpunt (onder meer van de Cyber Security Raad, die sinds juli 2011 gevraagd en ongevraagd advies geeft aan de overheid) is dat niemand in Nederland een duidelijk beeld heeft van de concrete bedreigingen die er zijn. Dan kan je centra oprichten wat je wilt, maar worden de problemen niet opgelost, is de achterliggende gedachte. Akerboom is zich van dat probleem terdege bewust. 'Een groot deel van de infrastructuur is nu eenmaal in handen van private partijen. Van de kwetsbaarheden aan die kant hebben we nog een veel te algemeen beeld, maar juist daarom is de oprichting van de dit centrum zo belangrijk.'


De NCTv verwacht op dat gebied veel van de meldplicht die de Tweede Kamer voorbereidt. 'Bedrijven krijgen de plicht lekken te melden bij het NCSC.' Dat die plicht geen garantie voor succes is, weet Akerboom ook. 'Bedrijven zijn vaak niet happig om lekken te melden vanwege de reputatieschade die dat met zich meebrengt. Wij zullen dus een vertrouwensrelatie met hen moeten opbouwen, maar die zal wat ons betreft niet vrijblijvend zijn.'


Ook de overheidscultuur die zou botsen met de cultuur waarin de typen gedijen die nodig zijn voor dit soort werk baart sommigen zorgen.


'De overheid is natuurlijk een bureaucratische organisatie', zegt Wouter Stol, lector cybersafety van de Noordelijke Hogeschool. 'Dat is een goede omgeving voor stabiele processen, maar de aanpak van cybercriminaliteit vereist veel meer flexibiliteit van je organisatie. Ik zeg niet dat ze dat bij het NCSC niet voor elkaar gaan krijgen, maar het is zeker een punt van zorg.'


En dan is er nog kritiek van de honderden, zo niet duizenden hobbyhackers die in Nederland actief zijn. Veel van hen zijn naar eigen zeggen met louter goede bedoelingen op zoek naar lekken en zwakke plekken. Zij willen bedrijven en overheden helpen bij het verbeteren van hun beveiliging. Probleem is dat ze daarvoor vaak dingen moeten doen die strafbaar zijn. In meerdere gevallen werden zij om die reden aangeklaagd door de bedrijven die ze probeerden te helpen.


Koen Martens, woordvoerder namens een aantal Nederlandse hackergemeenschappen, hoopt dat het NCSC in die situatie verandering kan brengen. Afgaande op ervaringen met de overheid en het bedrijfsleven tot nu toe hebben de hackers daar weinig vertrouwen in.


Wat hoogleraar Jacobs betreft, zou het cybersecuritycenter zeker meer gebruik moeten maken van de kennis en kunde van Nederlandse hackers. 'Hackers kunnen waardevolle informatie leveren.' Akerboom ziet wel iets in die suggestie. 'Als zij op verantwoorde wijze proberen problemen aan de kaak te stellen, vind ik dat wij hen daarin moeten ondersteunen.'


De hackers zelf wachten de actie van het NCSC niet af, zegt Martens. Onafhankelijk van de overheid, maar uiteindelijk ook in samenwerking daarmee, werkt een aantal van hen momenteel aan een eigen platform, aldus de woordvoerder van de hackers. Werktitel: Hackerleaks. De juridische uitdaging blijft voorlopig het grootst, zegt Martens. 'Zolang het verboden is in te breken op iemands computer moeten wij op de een of andere manier voor onszelf garanderen dat we anoniem kunnen werken.'


Het 'inzetten' van de Nederlandse hackergemeenschap is juist een interessante gedachte omdat er volgens vrijwel alle direct betrokkenen een schreeuwend tekort is aan kwalitatief hoogwaardige krachten die het groeiende leger van cyberactivisten, -criminelen en - terroristen tegengas kunnen bieden. De High Tech Crime Unit van de KLPD wil dit jaar groeien van 30 naar 60 werknemers, Defensie is op zoek naar specialisten op dit gebied, private partijen trekken aan talenten op de markt en het NCSC gaat nu ook op zoek naar tientallen goede krachten.


Ook Akerboom kent dat probleem, maar hij is niettemin positief. 'Wij gaan nadrukkelijk geen mensen bij elkaar wegkapen, maar ons gezamenlijk inzetten om dit probleem het hoofd te bieden.'


Erik Akerboom

Bart Jacobs

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden