Het is niet de ideale manier van wakker worden als het Engelse Government Communications Headquarters (GCHQ) je om 04:45 wakker belt met de waarschuwing van een aanstaande cyber-aanval op het Wembley stadion met als doel om de stroom uit te schakelen. Maar al helemaal niet als het 27 juli 2012 is, de dag van de opening van de Olympische Zomerspelen.
De waarschuwing werd opgepakt door het Olympische Cyber Coördinatie Team (OCCT), gezeteld in het hoofdkwartier van MI5, de Engelse veiligheidsdienst. Het OCCT heeft de centrale rol bij alle aangesloten CERT’s (Computer Emergency Response Team) rondom Londen gedurende de Olympische Spelen waaronder die van Atos, verantwoordelijk voor de Cyber Security in de Olympische it-systemen voor tijdwaarneming, tv, pers, en games management. Om 16:37 kreeg de toenmalige website van de Spelen veertig minuten een Distributed-Denial-of-Service (DDoS) aanval te verduren waarbij meer dan tien miljoen geautomatiseerde verzoeken werden gedaan vanuit negentig verschillende ip-adressen uit diverse landen.
Cyberspace als domein
Het is goed afgelopen, maar deze incidenten geven aan dat cyberspace steeds meer een plaats wordt van waaruit kwaadaardige doelen worden nagestreefd die variëren van het duperen van burgers tot het aanvallen van een vitale infrastructuur. Het toont ook aan hoe sectoren als energie, transport en communicatie als een ‘Cyber ecosysteem’, als ware het een zenuwstelsel, alle organisaties en landen aan elkaar verbindt. Beveiliging van dit Cyber ecosysteem is van groot maatschappelijk belang, maar de nauwe afhankelijkheden tussen de sectoren maken het moeilijker om te beslissen wat te beschermen.
Cyberspace wordt door het ministerie van Defensie in de cyber-strategie terecht gedefinieerd als het vijfde domein na land, zee, lucht en ruimte. Maar als cyberspace echt een domein is, zouden er dan ook niet dezelfde regels moeten gelden als in die andere vier domeinen? Ofwel, gaan we op weg naar een Schengen-voor-Data waarbij binnen de EU data vrij mag bewegen, maar niet de EU in of uit mag komen zonder identificatie waar deze data vandaan komt? Vergezocht? Niet volgens Thierry Breton, ceo van Atos, die aan de Duitse Bondskanselier Merkel en Franse president Hollande een brief heeft gestuurd waarin hij oproept tot zo’n Schengen-voor-Data. Het realiseren daarvan kan alleen via publiek-private samenwerking waarbij zowel samenwerking binnen de publieke en private sector als daartussen een belangrijke plaats inneemt. Twee vragen staan daarbij centraal: De eerste vraag is het definiëren van datgene dat precies moet worden beschermd. Pas dan kan aan de tweede vraag invulling worden gegeven: hoe beleg je de verantwoordelijkheden van alle betrokken organisaties?
Afhankelijkheid van IT
De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) heeft hiervoor de vitale infrastructuur ingedeeld in twaalf vitale sectoren met in totaal 31 onmisbare producten of diensten. Dit zijn de bedrijven en delen van de overheid die producten en diensten leveren die van essentieel belang zijn voor het dagelijkse leven van de meeste mensen in Nederland. De sectoren zijn nauw met elkaar verbonden en in veel gevallen van elkaar afhankelijk. Om die reden is het des te opvallender dat de it-sector in dit rijtje ontbreekt terwijl deze afhankelijkheid van overheid en bedrijfsleven door onder meer outsourcing steeds meer toeneemt.
De ‘hack’ in juni 2011 bij Diginotar en de recente DDoS-aanvallen op onder meer de Nederlandse banken en de overheid, maken afhankelijkheid van de beschikbaarheid van it eens te meer duidelijk. Tegelijkertijd is de vraag reëel of vitale infrastructuur wel de juiste definitie is van datgene wat beschermd moet worden. Want hoe past daarin de bescherming van privacy in relatie tot het gebruik van personen en bedrijven van cloud oplossingen in het buitenland? En hoe moet worden omgegaan met de groeiende globalisering en de daarmee samenhangende afhankelijkheid tussen landen? In het publieke debat is daarom de verleiding groot de term vitale infrastructuur uit te breiden tot ‘kritieke infrastructuur’. Maar als alles ‘kritiek’ is, dan is daarmee in feite niets ‘kritiek’. Het zou daarom goed zijn om tot een nieuwe definitie te komen van cyber-kritieke infrastructuur met een specifieke focus op de kwetsbaarheden voor cyber-aanvallen voor de Nederlandse samenleving.
Publiek-private samenwerking
De tweede vraag is vervolgens hoe de verantwoordelijkheden verdeeld moeten worden binnen en tussen de publieke en private sector. De uitdagingen voor de overheid liggen hier op het gebied van personeel, investeringskosten en informatievoorziening. De kennis en ervaring op dit onderwerp is schaars en verdeeld over de publieke en private sector. Publiek-private samenwerking is voor de overheid een middel om, in geval van nationale dreiging, toegang te krijgen tot extra personeel met specialistische expertise. Deze cyber-reservisten kunnen, indien permanent geschoold door zowel overheid en private sector, een cruciale rol vervullen.
Investeringen in cyber defense zijn kostbaar en Nederland heeft in verhouding met omringende landen een beperkt budget beschikbaar. Binnen EU en Navo-verband neemt het aantal projecten waarbij landen gezamenlijk nieuwe cyber capaciteiten ontwikkelen toe. Zo is Atos samen met de TU Delft betrokken bij het EU project Advanced Cyber Defence Center (ACDC). Dit richt zich op het verbinden van diverse Nationale Cyber Security Centers en het delen van informatie binnen de EU.
Identificatie van de juiste cyber-kritieke infrastructuur, het delen van de investeringskosten, het beschikbaar krijgen van voldoende geschoold personeel en een maximale informatiedeling: het zijn geen geringe uitdagingen, maar wil de overheid samen met de private sector invulling kunnen geven aan een betere cyber security voor zijn inwoners via een Schengen-voor-Data, dan is het gezamenlijk aangaan van deze uitdagingen de enige weg naar een veiliger cyberspace in de toekomst.
Dit artikel is ook te lezen in Atos-magazine GOV nummer 5.
Raymond Bierens, global vice president cyber security and defence bij Atos International
