‘We’ zijn ons in Nederland onvoldoende bewust van de continue cyberdreiging waaraan overheden, (kennis)instellingen, bedrijven en burgers bloot staan. ‘We’ moeten daarom zorgen dat onze verdediging veel beter wordt. Dat is de boodschap van Erik Akerboom, directeur-generaal van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD). 'Het regent incidenten.'
Akerboom stelt dat cybersecurity een ‘hoofdzaak van de leiding’ moet zijn, ergo: hoog op de bestuurlijke agenda moet staan, juist op het thema digitale weerbaarheid. Hij pleit bovendien voor aangepaste wet- en regelgeving die het de AIVD mogelijk maakt sneller te kunnen handelen en nationale belangen beter te beschermen. ‘De digitale wereld is nu eenmaal fluïde, beweegt snel over grenzen heen.’
Vlucht
Akerboom was tussen 1998 en 2003 al directeur Democratische Rechtsorde bij de AIVD. Om maar met de deur in huis te vallen: wat is er in die kleine twintig jaar veranderd? Cyberdreiging heeft een vlucht genomen, nietwaar? De AIVD-topman knikt bevestigend: ‘Het regent incidenten. Er is een permanente stroom aan digitale aanvallen op burgers, op bedrijven, op ministeries, op ambassades. Het is voortdurend zoeken naar wie ons aanvalt. Het is echt een nieuwe wereld waarin we zitten, kijk ook naar de recente ontwikkelingen in Oekraïne. Onze teams zijn daar vanzelfsprekend druk mee bezig. Ontwikkelingen houden we scherp in de gaten en waar nodig acteren we. Het is vooralsnog vooral een fysieke oorlog om grondgebied, maar dat laat onverlet dat zich ook cyberdreigingen kunnen voordoen. Daar zijn we als dienst zeer alert op. Tegelijkertijd vind ik het belangrijk om rust en overzicht te bewaren. Rust is in situaties als deze een goede raadgever en vergeet niet: we hebben als dienst ook te maken met andere langer lopende cyberdreigingen om ons heen. Het is dus van belang om ook daar zicht op te hebben en niet alle aandacht alleen op de situatie rond Oekraïne te vestigen.’
Digitale dreiging
De landen van waaruit de meeste digitale dreigingen komen zijn Rusland en China, gevolgd door Noord-Korea en Iran. Rusland is op vele terreinen actief. De AIVD haalde eerder het nieuws met het oprollen van een Russisch spionagenetwerk waarbij twee inlichtingenofficieren non grata werden verklaard. Akerboom vertelt dat het om een groot netwerk ging, toegespitst op technologie en wetenschap. De aanname was dat onderzoek in het netwerk onder betrokkenen zeer waarschijnlijk niet onder de radar zou blijven en dus koos de AIVD er zelf voor om ‘in the lead’ te zijn en het nieuws naar buiten te brengen. Ook om de Russen duidelijk te maken dat zulke activiteiten hier niet worden getolereerd.
Het is ook geen hogere wiskunde om te stellen dat de aanvaller in het voordeel is, weet Akerboom. ‘Daarom moeten we zorgen dat onze verdediging beter wordt. We moeten niet met z’n allen in het doel gaan staan, want dan win je ook geen wedstrijd. Maar we moeten écht onze verdediging beter op orde brengen en daarnaast ook heel snel kunnen reageren op dreigingen – en zeker digitale dreigingen – die op ons afkomen. De situatie in Nederland is dat onze digitale infrastructuur wordt misbruikt door andere landen om weer andere landen aan te vallen. Dat is een schending van onze soevereiniteit.’
Dat onderzoek richt zich altijd op een viertal vragen: wie is de aanvallende partij, op wie zijn ze gericht, welke methode gebruiken ze, en wat kan eraan gedaan worden? ‘Wat opvalt in vergelijking met twintig jaar geleden is dat die digitale dreiging als een rode draad door alle veiligheidsonderwerpen heen is gaan lopen. Waar vroeger mensen een rol hadden in spioneren, inbreken of angst aanjagen, gebeurt dit tegenwoordig vrijwel allemaal digitaal’, aldus Akerboom.
Hij stelt dat digitaal veiligheidsbeleid onderdeel moet worden van de normale bedrijfsvoering. ‘Je moet als ceo op de hoogte zijn van de risico’s die je loopt, wat de belangrijkste parels zijn van de organisatie om te beschermen, dat je weet welke medewerker bij welke informatie kan, dat je je afvraagt waar je data staan en wanneer de laatste update is gedaan.’
‘Dat is geen rocket science maar heel basaal. Er is een kans dat je data ergens in de cloud in China staan, of ergens in de VS. Het is belangrijk dat bestuurders zich dat realiseren en maatregelen nemen: niet alleen als onderdeel van de normale bedrijfsvoering om je deuren dicht te doen, maar ook door de digitale deuren dicht te doen.’
Economische spionage
Met de interventie bij het Russische spionagenetwerk gaf de AIVD daarom een belangrijk signaal uit: economische spionage is een realiteit. Nederland is een aantrekkelijk doelwit voor statelijke actoren die kennis en technologie willen stelen, stelt Akerboom. ‘We zien nog te vaak dat bedrijven die hoogtechnologisch zijn, vaak niet zijn ingericht op het beschermen van hun intellectuele eigendom, en dat raakt hun verdienvermogen. Voor landen die zijn geïnteresseerd in kennis en technologie zijn onze top tien sectoren een shopping list. Wij zijn heel goed in halfgeleiders, in de agricultuur, ons land is op maritiem gebied toonaangevend… In al die sectoren beschikken wij over hoogwaardige en unieke kennis. China wil de machtigste economie worden en bouwt daar heel gestructureerd aan, via zowel de achter- als de voordeur zullen we maar zeggen. Het afgelopen jaar zijn er een aantal grote incidenten geweest. Op zichzelf niet een ‘digitale 9/11’ maar wel met een potentiële impact op de stabiliteit van Nederland. We zien dat veel aanvallen niet meer rechtstreeks zijn gericht op bijvoorbeeld energiecentrales maar op de supply chain. Het is dus belangrijk dat bedrijven ook op hun toeleveranciers letten. En ook dat softwarebedrijven kritisch naar de kwaliteit van hun eigen software kijken. ‘
Akerboom geeft aan dat er wat de AIVD betreft snel een slag gemaakt moet worden. In dit verband wordt door onder andere de AIVD ook gepleit voor het aanpassen van de Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv).
‘Een onafhankelijke evaluatiecommissie heeft geconstateerd dat de wet voor een belangrijk deel goed werkt, maar voor een substantieel deel niet aansluit bij de praktijk van ons. En die praktijk is vooral: snel kunnen inspelen op iets wat we zien.’
Akerboom geeft een voorbeeld: ‘Als we vaststellen dat een server is misbruikt, dan moet je meteen kunnen terugslaan en uitzoeken wie erachter zit. Daarvoor heb je soms maar een uur de tijd. Dat lukt niet als je allerlei protocollen moet volgen en rapportages moet maken, dat ga je gewoon niet redden. Dat is door die commissie vastgesteld en de Algemene Rekenkamer heeft daarop nog aanvullend onderzoek gedaan en geconcludeerd dat onze slagvaardigheid onder druk staat vanwege die wettelijke beperking. Dus het is echt hoog tijd dat die wet wordt aangepast, liever vandaag dan morgen.’
Vraag is dan of de AIVD daarop zelf invloed heeft. ‘Onze invloed is aankaarten waar we tegenaan lopen en de wetsvoorstellen te toetsen op uitvoerbaarheid. Dus in die zin zijn we betrokken bij die wet. Hier tekent zich voor een geheime dienst als de onze natuurlijk ook een dilemma af. Want je kunt niet aan iedereen vertellen wat je doet en dus gebeuren er twee dingen: sommige mensen denken ‘wat doen die diensten allemaal?’ en andere mensen denken ‘we hopen dat ze toch wel alles goed controleren’. Die twee gaan tegelijkertijd op. En dus moet je ruimte krijgen, maar ook goed gecontroleerd worden. Wij hebben een belangrijke beschermende taak naar de samenleving, zeker als het gaat om cyberdreiging. En bij die taak kunnen burgers erop rekenen dat wij niet alleen heel goed worden gecontroleerd, maar dat wij ook medewerkers hebben die heel duidelijk weten wat ze doen. We hebben heel goede hackers en die hacken terug als we worden aangevallen. We hebben heel goede analisten; gewetensvolle mensen die echt goed nadenken voordat ze iets doen. Maar ook assertief zijn als het gaat om het beschermen van ons intellectueel eigendom of onze staatsgeheimen.’
Grote urgentie
En daarin schuilt zijn grote urgentie, benadrukt Akerboom: ‘De digitale dreiging neemt exponentieel toe. De wet is in die zin gedateerd dat ze uitgaat van statische momenten. Dus we schrijven een rapport en dan krijgen we toestemming. Maar de cyberwereld is iteratief. Een aanvaller hopt van server naar server om steeds zijn sporen uit te wissen. Dat tempo en die dynamiek volgen, daar moet de wetswijziging op gericht zijn. Ik ben niet voor minder toezicht, maar voor dynamischer toezicht, noem het ‘real-time’. Dat is in het belang van de Nederlandse veiligheid. Ik leg verantwoording af voor wat we kunnen doen en moeten doen. Dat is ook het wezen van een veiligheidsdienst in deze tijd. Die heeft niet alleen te maken met terrorisme en met spionage en met sabotage, maar heeft ook te maken met cyberaanvallen die onze economie, onze veiligheid en onze privacy permanent onder druk zetten. En het is aan ons dat we doorhebben wie dat doet en dat we ook de juiste instanties inlichten, op basis waarvan zij kunnen handelen. Ik pleit voor een breed front; dus niet alleen de AIVD, de MIVD en de NCTV, maar dat juist ook burgers, bedrijven, overheden, kennisinstellingen, dat wij allemaal een stap maken naar verhoogde alertheid en weerbaarheid en die nieuwe mindset. Ik zei al: het is echt een nieuwe wereld waarin we zitten.’
Het is de taak van de AIVD om de Nederlandse overheid van onafhankelijke informatie te voorzien over internationale politieke ontwikkelingen en mogelijke intenties van andere naties. ‘Waarvoor we beducht zijn, is dat buitenlandse diensten zich bemoeien met onze politieke situatie door informatie op een bepaalde manier in te brengen of verkiezingen te beïnvloeden’, zegt Akerboom. Hij geeft aan dat op dit terrein intensief wordt samengewerkt met de MIVD. ‘Vaak zit je in een grijze zone. Dan is er geen sprake van oorlog of vrede, maar een soort tussengebied waarin landen vijandelijke dingen aan het doen zijn en daar moet je dus ook samen op reageren. Dan brengen we mensen en middelen bij elkaar. We kunnen vaststellen dat we op een aantal terreinen écht verbeteringen en slagkracht ontwikkelen.’
Onderwater
Waar in de fysieke wereld vijandelijke stellingname over het algemeen goed traceerbaar is (‘Je ziet bijvoorbeeld dat er wapens worden gekocht en er bewegingen of incidenten langs de grens plaatsvinden’) gebeuren in het digitale domein ‘veel zaken onderwater en zijn dus niet publiek zichtbaar. Naast spioneren willen vijandelijke staten ook malware plaatsen in vitale infrastructuur, zoals luchthavens en energiecentrales. Dat geldt ook voor bedrijven die economisch vitaal zijn. Elektriciteit, water, betaalverkeer, de bevoorrading van supermarkten, het is allemaal verweven in digitale processen. Niet altijd om direct te saboteren, maar vooral om een sterke positie te creëren, een onderhandelingsvoordeel.’
‘Wij zijn primair ingericht op het voorkomen van aanvallen. Wij zitten in de wereld van leads, zoals dat heet, van tips en signalen die we onderzoeken. Dat gebeurt op basis van vermoedens en aanwijzingen. Daarvoor hebben wij de inlichtingenmix, die ons bij wet is gegeven. We willen graag meer snelheid en slagkracht ontwikkelen om die inlichtingenmix ook volledig te kunnen uitnutten. Sporen van mogelijke aanvallers bevinden zich op verschillende media. Soms zitten die op sociale media, soms op forums, soms op de kabel, soms in de satellietwereld en soms ook ‘gewoon’ bij mensen die van bepaalde dingen weet hebben. Het is niet één ding. Het slim combineren van die bronnen, dat is het echte inlichtingenwerk.’
Aan dat intensieve speurwerk zou Akerboom via wetsaanpassing graag meer assertiviteit toevoegen. ‘Ik zie, ook in deze tijd, de grote waarde van inlichtingen. Soms kunnen we een burger of bedrijf beschermen, soms spionage of ict-sabotage voorkomen, soms kunnen we levens redden. Dat maakt het inlichtingenwerk zo bijzonder.’
(Dit artikel is ook te lezen in GOV-magazine #19 van Atos.)