De digitale dreiging voor de nationale veiligheid is permanent. Vrijwel alle vitale processen en systemen in Nederland zijn deels of volledig gedigitaliseerd.
Er zijn nauwelijks terugvalopties of analoge alternatieven. Deze factoren gecombineerd met het achterblijven van de weerbaarheid, maken Nederland kwetsbaar voor digitale aanvallen.
Dit blijkt uit het Cybersecuritybeeld Nederland (CSBN) 2019 van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Minister van Justitie en Veiligheid Ferd Grapperhaus intensiveert daarom de Cybersecurity aanpak. Hij neemt aanvullende maatregelen om de weerbaarheid te verhogen.
Rusland
De grootste digitale dreiging komt van landen als China, Iran en Rusland. Het gaat om spionage, verstoring en sabotage. Dat blijkt ook uit de afgelopen jaarverslagen van de diensten.
Verreweg de grootste dreiging van economische spionage komt uit China. Voor Rusland is ons land een interessant doelwit van spionage vanwege onder andere MH17. Nederland is afhankelijk van een beperkt aantal aanbieders en landen. Dit maakt ons kwetsbaar voor hun (veranderende) intenties.
Zo wordt het overgrote deel van de hard- en software ontworpen danwel geproduceerd in China en de Verenigde Staten. Ook kunnen andere landen bepaalde wetgeving hanteren die afwijkt van onze privacy-eisen. Soms kan dat ook leiden tot het verkrijgen van toegang tot data van Nederlandse gebruikers of bedrijven.
Onverminderd
Daarnaast blijft de dreiging van cybercriminaliteit onverminderd. De aanvalsmiddelen zijn vaak laagdrempelig beschikbaar. Er is weinig kennis nodig om een cyberaanval uit te voeren. Daarom is de verwachting dat dit de komende jaren een probleem zal blijven.
De vrijwel volledige afhankelijkheid van digitalisering heeft digitale veiligheid essentieel gemaakt voor het functioneren van onze maatschappij en economie. Een incident in een netwerk kan leiden tot een keten van incidenten en uiteindelijk uitval van bijvoorbeeld gas, water of elektra.
Door het bijna volledig verdwijnen van analoge alternatieven en afwezigheid van terugvalopties is de afhankelijkheid zo groot geworden dat aantasting kan leiden tot maatschappij ontwrichtende schade. Dit hoeft niet altijd het gevolg te zijn van een cyberaanval. Een simpele fout kan al forse gevolgen hebben.
Weerbaarheid
Weerbaarheid is het belangrijkste instrument om risico’s te verminderen. Dit aangezien het beïnvloeden van dreiging en afhankelijkheid te complex is. Organisaties worden nog steeds succesvol aangevallen met eenvoudige methoden. Incidenten hadden voorkomen kunnen worden en schade had beperkter kunnen zijn door het nemen van basismaatregelen.
De komende jaren zal het een uitdaging blijven om de weerbaarheid op peil te houden. De effecten van de forse investeringen van overheid en bedrijfsleven, meldplicht cybersecurity en strengere wet- en regelgeving zullen de komende jaren zichtbaar moeten worden.
Toezicht
Grapperhaus : “Het maatschappelijke belang van cybersecurity is voor zowel de overheid als het bedrijfsleven zo groot dat er structureel toezicht moet zijn op de weerbaarheid van vitale organisaties. Met het oog op de nationale veiligheid moeten we een extra stap zetten om Nederland te beschermen tegen kwaadwillende landen of cybercriminelen”, aldus Grapperhaus. “Onze vitale voorzieningen zoals water, elektriciteit en gas vereisen een hoge mate van weerbaarheid tegen digitale dreigingen.”
Onder regie van de NCTV gaan de ministeries opnieuw beoordelen welke kritieke onderdelen beschermd moeten worden. Verder onderzoeken ze of organisaties voldoende bewust zijn van kwetsbaarheden.
Toezichthouders moeten kunnen beoordelen of de vitale processen voldoende weerbaar zijn tegen de actuele dreigingen. Om dit toezicht te helpen opbouwen worden beveiligingsdoelen opgesteld. Deze worden gemaakt op basis van het meest actuele dreigingsbeeld.
Structureel oefenen
De weerbarstigheid van cybersecurity maakt dat risico’s nooit volledig kunnen worden weggenomen. Daarom komt er een breed oefen- en testprogramma, zodat organisaties zich goed kunnen voorbereiden op incidenten en er beter zicht komt op staat van de weerbaarheid.
Samen met de vakdepartementen wordt toegezien op het versterken van de weerbaarheid van organisaties. Als dit onvoldoende gebeurt zal op basis van de nieuwe Cybersecuritywet (Wbni) melding worden gemaakt bij de vakminister of toezichthouder. De overheid kan dan maatregelen opleggen.
De voorgestelde extra maatregelen komen bovenop de aanpak die het kabinet vorig jaar met de Nederlandse Cyber Security Agenda (NCSA) heeft gelanceerd en de structurele aanvullende investering van 95 miljoen euro voor cybersecurity uit het Regeerakkoord.
Hiermee zijn bijvoorbeeld flink meer cybersecurityspecialisten aangetrokken bij het Nationaal Cyber Security Centrum (NCSC), Defensie, opsporings-, inlichtingen- en veiligheidsdiensten. Door deze aanpak ontstaat steeds beter zicht op de aard en omvang van de dreiging.
