Overheid kan de strijd met cybercriminelen niet aan
13
Nu bedrijven dagelijks onder vuur liggen van
cybercriminelen, is het wachten op de dag dat we de
gevolgen van een aanval allemaal voelen. Insiders
waarschuwen: ,,De overheid reageert niet adequaat.''
e ambulance
met een dood
zieke patiënte
moet laat op de
avond onver
wacht doorrij
den naar Til
burg. De digitale systemen van
het Amphia Ziekenhuis in Breda
liggen plat door een cyberaanval.
De vrouw overleeft de twintig
minuten langere rit niet.
Cybercriminelen nemen
een technische dienstver
lener van Albert Heijn te
grazen waardoor kassa's
niet meer werken.
Ruim duizend winkels
in Nederland en België
blijven dagen dicht en
100.000 medewer
kers zitten thuis.
Rijkswater
staat is gehackt
en kan de sluizen
en stuwen in de
Nederrijn en Maas
niet bedienen. Veel vrachtsche
pen kunnen geen brandstof leve
ren. De benzineprijzen stijgen tot
ruim boven de twee euro en er
staan files bij de pompen die nog
werken. Mark Rutte vraagt Ne
derlanders om geen brandstof te
hamsteren.
Verzonnen gebeurtenissen? Ja.
Maar ook niet helemaal. In het
buitenland gebeurde iets derge
lijks namelijk al. In respectievelijk
Duitsland, Zweden en Amerika
waren deze gevolgen van een
ransomware-aanval bittere reali
teit. Ransomware, software waar
mee criminelen computers ver
sleutelen totdat er losgeld is be
taald, groeide in korte tijd uit tot
nationale dreiging.
De 'verzonnen' gebeurtenissen
hierboven zijn nog niet eens de
zwartst denkbare scenario's. Het
cybersecuritybeeld dat de Natio
nale Coördinator Terrorisme en
Veiligheid (NCTV) deze zomer
uitbracht, hangt van de zorgwek
kende termen aaneen. Gijzelsoft-
ware, ziet de NCTV, is 'een be
dreiging voor de nationale veilig
heid'. De criminelen kunnen
ook een ziekenhuis, energie- of
waterbedrijf te grazen nemen.
In het buitenland is dat al ge
lukt, schrijft de NCTV.
En ook Nederland heeft zwakke
plekken: ,,Uit verschillende rap
porten blijkt dat de weerbaarheid
in vitale processen in Nederland
soms tekortschiet."
Daar komt nog bij dat bedrijven
en instellingen tegenwoordig ex
treem afhankelijk zijn van de be
veiliging bij anderen. Heb je zelf
je zaakjes op orde, dan kun je nog
altijd geraakt worden door een
hack bij je leverancier.
Het is 23 september 2021. In een
online talkshow van beveiligings
bedrijf ESET zit zo'n beetje de
hele Nederlandse top van de cy-
bersecurity bijeen. Het onder
werp is gijzelsoftware.
Het lijkt wel crisisover-
hulp moest schieten bij een logis
tiek centrum in een Europees
land. ,,Ik ga de naam niet noemen,
maar dat bedrijf bevoorraadt alle
apothekers." Hij wil maar zeggen:
ook de hack van een ogenschijn
lijk minder belangrijk bedrijf kan
vitale sectoren raken.
Aan de tafel komen allerlei kan
ten voorbij van het razend inge
wikkelde probleem dat ransom-
ware inmiddels is. Iemand pleit
voor wettelijke eisen aan de cy
berbeveiliging van bedrijven. En
het gaat over de rol van de over
heid. Kuijpers, van Eye: ,,Het ri
sico voor een bedrijf op een cy
berincident is een op acht. Het ri
sico op een brand is een op acht
duizend. Om branden te
voorkomen doet de
overheid allerlei
controles, maar
op cybergebied
sta je er als on
dernemer op
dit moment
best wel al
leen voor."
Niet voor
niets advi-
seerde de Cyber Security Raad,
het belangrijkste adviesorgaan dat
het kabinet op dit gebied heeft,
dit voorjaar om premier Rutte
rechtstreeks verantwoordelijk te
maken voor cybersecurity. Er zou
833 miljoen euro in een betere be
scherming en bestrijding moeten
worden gepompt.
Voor Amerika is gijzelsoftware
al serious business. Nadat cyber
criminelen dit jaar in korte tijd
een enorme vleesproducent én
een oliebedrijf te grazen namen
(met omhooggeschoten benzine
prijzen tot gevolg), noemde presi
dent Joe Biden ransomware een
'terreurdaad'.
,,Dat is het ook", zegt Ronald
Prins van Hunt Hackett, een
van de meest vooraanstaande cy-
bersecurity-experts van Neder
land. ,,In Nederland bemoeit de
overheid zich er niet mee", luidt
zijn klacht.
Wie Prins en andere experts
spreekt, hoort voortdurend waar
schuwingen die het kabinet gro
tendeels in de wind lijkt te slaan.
Het is een beetje als met de co
ronacrisis. Deskundigen waar
schuwden al jaren terug, maar
toen het virus kwam waren we
niet voorbereid.
In de Tweede Kamer zitten vrij
wel geen politici die kijk hebben
op cyberveiligheid en in de laatste
verkiezingsprogramma's was er
amper aandacht voor. ,,Ik
ben opgehouden met
waarschuwen voor wat
ik allemaal zie. Het gaat
vanzelf een
keer goed
mis, mis
schien dat
er dan einde
lijk wat
veran
dert", zegt
advocaat en
hoogleraar ict-
recht Lokke
Moerel. ,,De over
heid is nu vooral
reactief, we reage
ren in crisismodus
op incidenten'', al
dus Moerel, tevens lid
van de Cyber Security Raad.
Ronald Prins noemt internet 'een
publieke ruimte', maar in tegen
stelling tot normale openbare ge
legenheden bewaakt de overheid
onze onlinewereld amper. Ook
Inge Bryan, baas van Fox-IT, het
grootste cybersecuritybedrijf van
Nederland, maakt een vergelij
king met de 'echte wereld': ,,Op
straat patrouilleert de politie voor
iedereen. Digitaal gebeurt dat
GO ZATERDAG 2 OKTOBER 2021
'Er moet eerst een ramp
gebeuren, net als corona'
WOUT VAN ARENSBERGEN EN RICHARD CLEVERS
Er zou 833 miljoen moeten komen voor een
betere bescherming en bestrijding van cybercri-
minaliteit, adviseert de Cyber Security Raad.
LEES VERDER OP PAGINA 14