Spionage en naïviteit

Foto Brenno-de-winter

“Over spionage moeten we niet naïef zijn”, roepen politici. Een slimme retorische zet om zonder feiten andersdenkenden aan de kant te zetten. Zo’n houding is niet behulpzaam bij dit complexe beveiligingsvraagstuk.

Digitale spionage is ernstig. Al langer dan een decennium maakt de AIVD van ieder jaarverslag gebruik om ons te wijzen op de digitale interesse die er in ons land bestaat. Nederland speelt politiek een belangrijke rol door de vele internationale organisaties die zich hier hebben gevestigd. Onze innovatie maakt ons een aantrekkelijk doelwit voor economische spionage. Jaarlijks worden terabytes aan waardevolle data gestolen.

Vier Russen werden ons land uitgezet, omdat ze via wifi bij gevoelige documenten van de OPCW wilden komen. Datzelfde viertal werd verdacht van de hack op de mail van de democratische partij tijdens de campagne van Hillary Clinton. De hack op de hotelketen Mariott zou Chinese spionage zijn. De Verenigde Arabische Emiraten hackten iPhones om zo journalisten en dissidenten in de gaten te houden.

Onze inlichtingendiensten hacken webcams en systemen van de Russen. De Britten houden via de hack op Belgacom een oogje in het zeil bij de Belgische regering en de NATO. Amerikaanse inlichtingendiensten hebben toegang tot data van alle cloud-partijen van Amerikaanse origine. Die praktijk is bekend sinds de onthullingen van Snowden. Wikileaks onthulde hoe inlichtingendiensten mee konden luisteren met smart-tv’s.

En dan zijn er nog de bedrijven die elkaar bespioneren. Een Nederlands informatiebeveiligings­bedrijf steelt aanbestedingsinformatie uit Singapore. In 2017 arresteert de FIOD een medewerker van een technologiebedrijf voor diefstal van bedrijfsgeheimen bestemd voor een concurrent. Een ERP-leverancier steelt miljoenen documenten van een concurrent.

Met deze overvloed aan voorbeelden die boven de radar zijn verschenen, wordt ook de politiek wakker. Zij roepen om vooral naar de afkomst van een leverancier te kijken. Zo vrezen politici Chinese spionage bij C2000. Nu is dit systeem bestemd voor operationele, vluchtige informatie en niet voor beleid en strategie. Daarnaast is het nog maar de vraag of zo’n aanval realistisch wel mogelijk is. Er zijn overigens normenkaders die precies dit gevreesde risico behoorlijk inperken. Maar toch…

Het kabinet belooft een Rusland- en China-strategie. Een nogal eenzijdige aanpak als u het mij vraagt. Het gaat bijvoorbeeld volledig voorbij aan spionage uit het Verenigd Koninkrijk, de Verenigde Staten, Verenigde Arabische Emiraten, Iran, Noord Korea enzovoort. En precies daar zit hem de kneep. Dergelijke beloftes illustreren de kortzichtige benadering van de problematiek. Er wordt niet gereageerd op concrete risico’s of feiten, maar door algemene angst te zaaien, wordt de illusie gewekt dat ‘men’ er bovenop zit.

Spionage is van alle tijden en alle landen. We moeten dan ook niet kijken naar de afkomst, maar naar de risico’s. Dat betekent beveiliging op orde brengen, due diligence bij de inkoop en normen hanteren. Daarop moeten we goed toetsen, oftewel: audits uitvoeren. In beveiliging is namelijk weinig ruimte voor lichtgelovigheid, een synoniem voor naïviteit.

 

 

Brenno de Winter

brenno de winter werkt al heel lang in IT

Gerelateerde berichten...