Let's talk about hacks 3: Strategische keuzes rondom cybersecurity
Welke strategische keuzes maakt de NCTV om Nederland digitaal veilig te maken en te houden? En welke maatregelen moeten er worden genomen om cyberdreigingen het hoofd bieden? Welke noodzakelijke stappen moeten we zetten om de vitale belangen van Nederland en de Nederlandse economie te beschermen?
Op deze en vele andere vragen geeft Hester Somsen, plaatsvervangend NCTV, antwoord tijdens de 3e podcast aflevering van ‘Let’s talk about hacks’
Let's talk about hacks 3: Strategische keuzes rondom cybersecurity
SOMSEN: Juist omdat ik in het buitenland heb gezeten,
in Libanon, Tanzania en Hongarije,
waardeer ik des te meer wat voor een fijn land we hebben.
Ik vind het dus ook heel belangrijk dat we dat zo houden.
ROTMAN: Welkom bij 'Let's talk about hacks'. Ik ben Robin Rotman.
In dit programma praat ik met deskundigen en betrokkenen over hacken.
Hoe voorkom je het? Wat moet je doen als het je overkomt?
En waar zitten de risico's?
Dit is een podcast van het ministerie van Binnenlandse Zaken
in het kader van de overheidsbrede cyberoefening.
SOMSEN: Als je ziet hoeveel er bezuinigd is in de afgelopen periode
en waar bezuinigen we dan op?
Vaak niet op nieuwe plannen, want dat vindt iedereen belangrijk.
Het zit ook vaak in krakkemikkige ICT.
ROTMAN: Vandaag mag ik praten met Hester Somsen,
plaatsvervangend Coördinator Terrorismebestrijding en Veiligheid
en directeur Cybersecurity en statelijke dreigingen.
Dat is nogal wat. SOMSEN: Dat is een mond vol, hè.
ROTMAN: Dat is een mond vol. Jij loopt voorop bij terrorismebestrijding
en de bestrijding van cybercriminaliteit.
Dus jij loopt rond met geheimen.
Jij weet allemaal dingen van Nederland, de wereld, van veiligheid.
Ik kan me zo voorstellen dat je sommige dingen niet kan delen,
omdat dat misschien de veiligheid in gevaar brengt.
Heb je altijd twee verhalen paraat? Eentje voor de feesten en partijen
voor de mensen die nieuwsgierig zijn wat je doet
en eentje voor dat kleine selecte groepje mensen dat wel alles mag weten?
Hoe werkt dat bij jou?
SOMSEN: Vooropgesteld, het is inderdaad belangrijk om het onderscheid te weten.
Ook in je eigen hoofd verschillende verhalen te hebben
en te weten welke informatie je met wie mag delen.
Dat is absoluut belangrijk.
Maar eigenlijk is het belangrijkste voor ons hier bij de NCTV
dat je zoveel mogelijk informatie kan delen met anderen.
Als je Nederland veilig wil houden,
is het ook de bedoeling dat anderen weten dat er dreigingen zijn
en dat je je moet voorbereiden.
Je kunt niet als vadertje Staat iedereen veilig houden.
Dat is hetzelfde als dat mensen zich bewust zijn
van het feit dat er inbrekers in je huis zouden kunnen komen.
Dat betekent dat je een slot op je deur zet en je deur op slot doet.
Zolang mensen weten van een dreiging, kunnen ze zich erop voorbereiden.
Dat is voor ons het belangrijkste.
ROTMAN: Daar gaan we het over hebben.
Je wil de boef ook niet wijzer maken dan ze al zijn.
SOMSEN: Nee, dat is ook waar. Je moet je ook goed realiseren
wat voor informatie je wel en niet kan delen.
We hebben een aantal producten bij de NCTV,
bijvoorbeeld het dreigingsbeeld voor cybersecurity.
Daarin delen we de informatie die we kunnen delen met het bredere publiek.
Dat is absoluut op basis van informatie
die we vanuit de AIVD en de MIVD krijgen.
Het is ook op basis van wetenschappelijke artikelen,
op basis van discussie in het veld, op basis van informatie van de politie.
Dat komt samen en brengt een rijk beeld van waar dreigingen zitten
en voor wie die van belang zijn.
ROTMAN: Ik heb erdoorheen gegrasduind. Vertel. Zijn we een veilig land of niet?
SOMSEN: Dat is moeilijk om echt zo te duiden.
Ik denk wel dat de dreigingen groter worden, laat ik daarmee beginnen.
De dreigingen worden groter, omdat we bij bepaalde statelijke actoren zien
dat er meer focus is op... ROTMAN: Statelijke actoren?
SOMSEN: Dat klinkt spannend, hè? ROTMAN: Wat is een statelijke...
Dat zijn toch landen? Spionage heb je het toch over?
SOMSEN: Onder andere. We hebben ook als NCTV met de AIVD en MIVD recent
een dreigingsbeeld statelijke actoren uitgebracht.
Ook daar hebben we geprobeerd
om alles wat we weten van landen als Rusland, Iran of China
waarvan je toch vaak het idee hebt: dat kunnen we niet allemaal delen,
het erover te hebben: wat kunnen we delen?
Hoe kunnen bedrijven, kennisinstellingen, maar ook burgers,
zich voorbereiden of in ieder geval weten dat er een bepaalde interesse is,
of dat ze zelfs doelwit kunnen zijn van statelijke actoren?
We noemen het actoren, omdat er vaak ook tussenclubjes zitten.
Dus het is moeilijker om het direct op het land vast te pinnen.
ROTMAN: Digitale dreiging is permanent, lees ik dan.
Dan denk ik nog steeds: is het nou veilig hier of niet? Help me een beetje.
SOMSEN: Nou ja, inderdaad, als je kijkt naar dingen waar we op gefocust zijn
vanuit het ministerie van Justitie en Veiligheid, drugscriminaliteit.
Je ziet in de cijfers dat cybercrime nu meer oplevert dan drugscriminaliteit
en dat dat progressief toeneemt.
ROTMAN: Het is een miljardenbusiness.
-Ja.
En dat kan van heel kleine cybercriminelen zijn
tot aan grote syndicaten die zich hierin specialiseren.
Dus ja, de dreiging is er en wordt groter.
Aan de andere kant worden we ook kwetsbaarder
omdat we er zo van afhankelijk zijn.
ROTMAN: Dat wordt meer. We koppelen alles aan internet.
Eventjes voor m'n idee nog steeds:
Terreur en bedreigingen is een veelkoppig monster.
Vandaag hebben we het over de cyberdreigingen.
Hoe groot is het aandeel van hackers in de veiligheidsbusiness?
Als je het bijvoorbeeld afzet tegen andere meer analoge dreigingen.
Hoe groot is het nou? Waar hebben we het nou over?
SOMSEN: Ja, ik vind het moeilijk om nog te spreken van twee aparte werelden.
Alsof je Planet Earth hebt en Planet Cyber.
Dat loopt ontzettend door elkaar heen op dit moment,
omdat bijna alle aspecten van ons leven,
daar zit digitalisering in, onder, bij, hoe je het wil noemen.
Dat betekent dus ook dat er altijd dat soort kwetsbaarheden kunnen zijn
in de digitale wereld die dan vervolgens ook heel duidelijk in je fysieke wereld
ook hun impact kunnen hebben. Als er iets zou gebeuren
met een elektriciteitscentrale op het gebied van cyber,
een computerprogramma wat stilvalt...
Dat heeft direct consequenties voor je elektriciteitsvoorziening.
Op het moment dat er iets met je watersanitatie niet goed is,
heeft dat ook direct consequenties in je fysieke wereld als je de kraan openzet.
Dus wat dat betreft, zie je dat daar eigenlijk een heel duidelijk verband is
tussen die verschillende werelden.
Het terrorisme is een dreiging waar we ons absoluut op voorbereiden.
Vandaag, deze week, komt het Dreigingsbeeld Terrorisme ook uit.
Er is een voorstelbare dreiging.
Bij cyber kun je zeggen: die dreiging is er permanent en dagelijks.
ROTMAN: Ook even voor mijn idee, de NCTV, hoe verhoudt die zich
tot opsporingsdiensten, justitie, geheime diensten?
Kun je een beetje schetsen: waar zit je in dat hele spectrum?
SOMSEN: Ja, nou, het staat voor de Nationale Coördinator.
Dus coördinatie is een van de belangrijkste dingen die we doen.
We zijn gefocust op terrorismebestrijding,
Nederland digitaal veilig.
Dus ook om ervoor te zorgen dat dat meer op de kaart komt te staan.
Een andere prioriteit is ook de statelijke dreigingen.
We houden ons ook bezig met crisisbeheersing,
dus als Nederland getroffen wordt door een nationale crisis,
kijk waar we nu in zitten, de covid-crisis,
hebben we een duidelijke faciliterende rol om iedereen bij elkaar te brengen
en dat proces zo goed mogelijk te doorlopen.
ROTMAN: En ook zorgen dat de verschillende diensten
niet tegelijkertijd dezelfde dingen doen? Die werken vaak in het geheim.
Die weten misschien niet wat ze doen. Zorg jij er dan voor dat dat samenwerkt?
Is dat ook coördineren? SOMSEN: Deels wel.
Wat heel belangrijk is, en dat is misschien typisch Nederlands,
maar ik hecht daar zelf heel veel waarde aan dat je dingen samendoet.
Wij zien ontwikkelingen. Bijvoorbeeld zo'n dreigingsbeeld geeft ook aan:
Jongens, daar moeten we op letten. Om je een voorbeeld te geven:
economische spionage, digitaal of in een fysieke wereld, dat zien we.
We zien ook dat de Nederlandse topsectoren doelwit zijn.
Dan moet je ook met elkaar kijken, inclusief die topsectoren zelf,
want die bedrijven moeten eerst
voor hun eigen cybersecurity en weerbaarheid zorgen.
Maar ook kijken met een ministerie als Economische Zaken en Klimaat.
Maar ook met Buitenlandse Zaken:
als je dit soort dingen ziet, hoe spreek je andere landen daarop aan?
Maar bijvoorbeeld ook met een Infrastructuur, Verkeer en Waterstaat.
Allerlei ministeries om te kijken: waar zitten de zorgen in de vitale sector?
Hoe kunnen we die adresseren?
Je bent coördinator, je brengt partijen bij elkaar,
je signaleert ook ontwikkelingen waarvan je denkt:
Hier moeten we met z'n allen alert op zijn
en met z'n allen moeten we hier wat aan doen.
Dus dat is vooral je rol.
ROTMAN: Zijn er dingen die je niet weet?
-Vast. Vast.
ROTMAN: Die permanente dreiging, is dat omdat we permanent gevaar lopen
en er altijd ergens poortjes openstaan, of worden we dagelijks aangevallen?
SOMSEN: Ik denk dat je wel kan zeggen dat we dagelijks worden aangevallen.
Het is ook hoe de systematiek werkt.
Het is vaak ook een bepaalde malware die eerst op alle deurtjes klopt,
en als er dan een deurtje opengaat, kan de volgende stap in werking treden.
ROTMAN: Dat is ook wat Dave Maasland vertelde
in een gesprek dat ik voerde over Hof van Twente.
De gemeente is aangevallen door hackers.
Eén grote klerezooi hebben ze ervan gemaakt daar.
Dave schetst een beeld: het is niet zo dat ze bewust kijken bij Hof van Twente.
Nee, die laten gewoon software lopen en die gaat continu op zoek.
Automatisch: waar zitten de kwetsbaarheden?
Dat is ook wat jij bedoelt met: die dreiging is permanent.
Die software loopt gewoon permanent.
Als ze ergens binnen kunnen komen, gaan ze aan de slag.
SOMSEN: Ja, en er zit ook nog een onderscheid tussen.
Ik noemde net dat je ook ziet dat sommige staten
cyber gebruiken voor bewuste spionage.
Dus dan zal het ook doelgerichter ingezet worden.
Dat je wel iets wil weten van een bepaald bedrijf
of van een bepaalde overheidsdienst of wat dan ook.
Dus dat is heel doelgericht.
De methode die daar soms bij gekozen wordt, is dan weer generieker,
dat er generieke malware in bepaalde software komt.
Dat is in ieder geval de aanname vaak.
Daar kunnen weer anderen van profiteren, omdat dan het veld openligt.
Ik denk dat je inderdaad wel kan zeggen als het gaat over cybercriminelen,
die gewoon geld vragen, ransom, en dat is het verdienmodel,
voor hen geldt: daar ziet geen specifieke target of doelwit op.
Waar kan je binnenkomen? ROTMAN: Pakken wat je pakken kan.
SOMSEN: Maar goed, ik heb nog nooit bij hen in de keuken kunnen kijken,
dat zou ik wel een keer graag willen.
Maar dat er nog gekeken wordt: heeft dit zin?
Is dit een instelling, die één: ons gaat betalen,
en twee: een bepaald belang dient
waardoor de grip die wij nu op dat bedrijf of de gemeente hebben
dat dat dusdanig is dat we denken dat we beethebben?
Een dergelijke afweging zou kunnen, maar het is inderdaad vrij random.
Dat betekent dus ook dat iedereen zoveel mogelijk die deurtjes dicht moet hebben.
ROTMAN: Mag ik je stellingen voorleggen?
Bij sommige hacks is het betalen van losgeld simpelweg de beste oplossing.
Waar of niet waar? SOMSEN: Niet waar.
ROTMAN: Nooit betalen?
-Uit m'n tenen, ja.
Je voedt het model.
Je weet ook helemaal niet zeker of je terugkrijgt wat je beloofd is.
Het blijven criminelen, dus afspraken maken met criminelen is ingewikkeld.
ROTMAN: Bij de meeste hacks is er geen sprake van levensgevaarlijke criminelen,
maar van verveelde pubers die net even te handig zijn met een computer.
SOMSEN: Niet waar. 'Das war einmal', denk ik.
Wat dat betreft, zie je toch echt een bepaalde mate van sophistication.
Het is gewoon te lucratief ook.
ROTMAN: Het is georganiseerde misdaad. Laten we niet naïef zijn.
SOMSEN: Het is grotendeels georganiseerde misdaad.
ROTMAN: Oplossingen voor cyberveiligheid zitten meer aan de kant
van onze mentaliteit dan aan de kant van technologische oplossingen.
SOMSEN: Allebei waar, mag dat ook?
-Je moet er eerst eentje kiezen.
SOMSEN: De mens is altijd de kwetsbaarste schakel.
Denk ik. Het is toch het klikken op een phishing mail,
een bepaalde update niet doorvoeren, bepaalde dingen niet doen.
Dat is aan de ene kant, maar ik wil toch ook graag die andere kant.
Het is ook gewoon heel erg ingewikkeld. Je hebt er weinig grip en zicht op.
Maar goed, daar komen we later ook wel op.
Ik denk: weten wat voor spullen je in huis hebt en wat daarmee kan gebeuren,
dat is wel de volgende stap.
ROTMAN: In deze serie sprak ik ethisch hacker Rickey Gevers.
Die ontkrachtte ook meteen het beeld dat het alleen verveelde pubers zijn.
Overigens is hij wel ooit zelf zo begonnen.
Hij beschreef ook zo'n soort beeld dat je als hacker...
Je moet kiezen: voor de dark side of ga je iets goeds doen met je talent?
Hij doet iets goeds met zijn talent, zegt ie en ik geloof hem ook wel.
Volgens hem vormen andere landen, qua hacken, de grootste dreiging.
Je noemde ze net al: Iran, China, Rusland, Noord-Korea.
Is het ook zo dat de statelijke actoren de grote boosdoeners zijn?
SOMSEN: Allereerst: attributie is altijd lastig.
Echt zeggen: het is nu Noord-Korea die dit heeft gedaan, is lastig.
Ook omdat daar groepjes tussen zitten.
Je ziet wel dat er door een aantal landen ontzettend is geïnvesteerd
in de capaciteit om te kunnen hacken. Dus ze kunnen gewoon heel veel.
ROTMAN: Ze hebben verschillende doelen.
Ik heb er een paar benoemd: spionage, ontwrichting, ransomware.
Zijn dat de belangrijkste doelen? SOMSEN: Ik denk dat je ze dan wel hebt.
ROTMAN: Spionage. Oké.
Wat is voor het grote boze buitenland interessant aan Nederland?
SOMSEN: Onder andere dus economische spionage, gericht op bedrijven
en kennisontwikkeling die we hier hebben, ook aan de kennisinstellingen.
Je gaat toe naar een wereld waar je positie wordt bepaald
door waar je zit in technologische ontwikkeling.
En waar je wel of niet kan meekomen.
Natuurlijk kan je proberen zelf in eigen land dat soort dingen te stimuleren,
maar je kunt ook kijken waar het elders goed al bedacht is.
Dus een heel groot gedeelte van spionage is ook economische spionage.
ROTMAN: Dat speelt zich af bij bedrijven?
Kennisinstituten ook? Universiteiten?
SOMSEN: Wat je ziet in dat Dreigingsbeeld Statelijke Actoren,
dat we uit hebben gebracht, is dat inderdaad kennisinstellingen
daarvan de dupe kunnen zijn, universiteiten,
maar ook bedrijven uit de verschillende topsectoren in Nederland,
dat die echt een direct doelwit zijn.
-Hoe gaat dat in z'n werk?
SOMSEN: Het is dus inderdaad de vraag hoe ze binnenkomen,
maar ook daar zal gezocht worden naar kwetsbaarheden
en wordt ook gekeken naar hoe je bepaalde informatie kan aftappen.
Het is niet alleen digitale spionage.
Er zijn ook nog steeds gevallen bekend
die af en toe op het moment dat het zover is ook in de media komen,
van mensen die gerekruteerd worden
om bepaalde informatie door te spelen.
De klassieke vorm van spionage. ROTMAN: Wat kunnen we doen?
Je bent hoogleraar op de technische universiteit.
Je weet dat je allemaal toffe dingen aan het doen bent, al die promovendi ook.
Of je bent een start-up en loopt voorop met kunstmatige intelligentie.
Noem het maar op. Wat moet je doen?
SOMSEN: Ja, ik denk eerst bewustwording.
Je ervan bewust zijn dat jij met iets bezig bent
dat heel belangrijk en informatief kan zijn voor anderen.
Bij de wetenschap heb je vaak ook wel de discussie:
Wetenschap wil natuurlijk vanuit z'n wezen
bijdragen aan wereldwijde verbeteringen.
Je ziet ook dat daar vanuit een heel andere cultuur...
juist heel erg die cultuur, we willen zoveel mogelijk delen en open zijn.
Dus je moet bewust zijn, je moet goed oog hebben voor wie er in je team zit
en wat voor kleine kroonjuwelen je hebt,
en ook daarover het gesprek met elkaar aangaan. Dat is ook belangrijk.
ROTMAN: Niet op linkjes klikken?
-Niet op linkjes klikken.
Dat is de klassieker, maar goed, je zult verbaasd staan
hoe vaak dat dan toch nog gebeurt.
ROTMAN: Dit gebeurt in het geheim, spionage.
Anders dan ransomware, gaan we het zo over hebben.
Dan rolt er een briefje uit de printer waar je geen controle meer over hebt.
Dan komt er een briefje uit: dokken.
Maar wat zijn dan de rode vlaggen?
Wat zijn de signalen van: Hé man, hier kijken ze mee.
Dat lijkt me lastig.
SOMSEN: Ja, dan zit je heel erg in de casuïstiek.
Dat vind ik ook lastig. Dan zit ik in het vakje van:
Wat mag ik wel vertellen en wat niet?
Ik vind het juist ook goed om bijvoorbeeld bij zo'n Hof van Twente,
maar ook universiteit van Maastricht en andere,
daarover te vertellen op het moment dat het ze overkomen is.
Omdat anderen daar heel duidelijk van kunnen leren.
Ik vind het daarom belangrijk dat er aangiftebereidheid is.
Ook bij bedrijven. Soms is dat niet in lijn met wat het bedrijf graag wil.
Het kan ook iets over je cybersecurity en je betrouwbaarheid zeggen.
Als je beursgenoteerd bent, is dat gevoelige informatie.
Er kunnen redenen zijn om dat op een andere manier te doen.
Ik denk wel dat je de bewustwording enorm stimuleert
door het heel concreet te maken: wat kan er gebeuren?
Maar ik ben niet altijd degene die die mate van concreetheid kan bieden.
ROTMAN: Ander doel: ontwrichting. Dat komt weinig voor, het minste, denk ik.
Maar potentieel is de chaos het grootst. Moeilijke kwestie lijkt me dat.
Neem me mee in je wereld.
-Dat is ook lastig.
We hadden het eerder over de vitale sector.
Bijvoorbeeld in de telecom of de energie.
Je kunt je voorstellen dat als daar wat gebeurt
je tot een soort ontwrichtende situatie kan komen.
Als heel Nederland een week lang niet meer kan internetten of bellen,
lig je wel behoorlijk op je gat.
Wat dat betreft hebben we ook wel wat zaken gezien in het verleden.
Met NotPetya, waar Maersk en de haven van Rotterdam onder geleden hebben,
en dan zie je al wat voor impact dat kan hebben.
Er zijn dan altijd een aantal dingen belangrijk: voorbereiding is belangrijk,
dus als je in zo'n vitaal proces zit, stel ook jezelf hogere eisen.
Met je risicoanalyses goed van tevoren doorkijken:
waar zitten m'n kwetsbaarheden?
Maar ook goed oog hebben voor je toeleveranciers.
Kunnen daar kwetsbaarheden in zitten? Dat zit allemaal in de voorbereiding.
ROTMAN: Compartimenteer je systemen.
-Zeker.
ROTMAN: Als het ergens gedoe oplevert, dat het beperkt blijft tot die plek.
SOMSEN: Ja, heel belangrijk. Die voorbereiding moet gewoon goed zijn.
Een deel van die voorbereiding is ook je crisisplan voor als het niet goed gaat.
ROTMAN: Die moet op papier heb ik geleerd.
SOMSEN: Die moet je op papier hebben. Je moet 'm in je hoofd hebben.
Je moet ervan uitgaan dat het niet zo gaat zoals het in je plan staat.
ROTMAN: Moeten organisaties niet een soort digitale bhv'er hebben?
SOMSEN: Ik mag hopen dat ze die hebben. Dat is niet vanzelfsprekend.
De verantwoordelijkheid ligt vaak bij de CISO.
Wij proberen ook heel erg te stimuleren dat bedrijven, maar zeker ook overheden,
nadenken over: wat doe je? Wat is je plan?
We hebben ook het Nationaal Crisisplan Digitaal.
Daar proberen we ook een handreiking te geven aan iedereen:
Denk na over in welke situatie je wat zou moeten doen.
ROTMAN: Die moeten ze lezen. Daar moeten ze in duiken.
Kijk jij ook rond met je medewerkers met een digitaal zaklampje
in de systemen van de kwetsbare of grote organisaties,
de stroommaatschappij, bij de waterclubs.
Hebben jullie je boeltje goed voor elkaar? Hebben jullie daar een rol in?
SOMSEN: We hebben het Nationaal Cyber Security Centrum.
Superbelangrijk denk ik. Het staat ook hoog aangeschreven in de community
wat ze aan kennis en ervaring met zich meebrengen.
Die rol ligt vooral daar. Binnen de constructie van het ministerie van JenV
zijn wij de opdrachtgever van de NCSC.
ROTMAN: Oké, ransomware. We hadden het net over Hof van Twente.
Dan is je systeem gekraakt en dan ligt alles op z'n gat.
Er staan mensen bij de balie, die kunnen geen rijbewijs meer aanvragen.
Je realiseert je dat je financiële administratie weg is.
Er rolt inderdaad een briefje uit de printer,
nog net niet met uitgeknipte krantenkopletters
om daar een soort briefje van te maken, maar het is nog slechter dan een B-film.
En dan staat er gewoon: betalen. Jij zegt: moet je niet doen.
Dat hebben ze ook niet gedaan.
Maar er zijn organisaties die denken: ja, als ik de kosten-batenanalyse maak,
is betalen misschien goedkoper dan de hele boel opnieuw opbouwen.
SOMSEN: Ja, dat kan, maar uiteindelijk: je weet niet wat je terug gaat krijgen.
Je weet niet of ze nieuwe malware verstoppen in wat je terugkrijgt.
Je hebt geen zekerheid.
ROTMAN: Is die ransomware de meest voorkomende manier van hacken?
Is dat de huis-, tuin- en keukenhack?
-Dat denk ik wel.
ROTMAN: En wat kun je doen?
SOMSEN: We hadden het net over je voorbereiding, je plan alvast hebben
op het moment dat er iets zou gebeuren.
En in die voorbereiding zit dan hopelijk compartimentalisering en zulke zaken.
Ik hoop dus ook dat dan in je plan staat:
Oké, dit is nu gebeurd. Wie is m'n ICT-leverancier?
Wat zijn m'n eerste lijntjes die ik nu ga doorlopen?
Je hebt veel cyber-securitybedrijven die daar heel goed in zijn.
Je wil ook niet als overheid in de eerste lijn staan,
want dat hoeft vaak niet, maar tweede lijn is wel belangrijk.
Gemeentes... Misschien moet ik beginnen bij het landelijk dekkend stelsel.
We hebben als Nederland ook bedacht: cyberproblemen, ICT-problemen,
die kun je het beste oplossen in de sectoren die het betreft.
Iedereen heeft toch weer een net andere set-up.
Je kunt ook niet alles nationaal doen.
Dat is een te grote broek om aan te trekken
en die bescherming kan je dan niet geven.
Wat we hebben gedaan en bedacht met elkaar
is dat je bijvoorbeeld het Nationaal Cyber Security Centrum hebt.
Die kijken naar de Rijksoverheid en de vitale sectoren.
Je hebt bijvoorbeeld een Hof van Twente, want een gemeente is heel belangrijk,
en we hebben bij de VNG, Vereniging Nederlandse Gemeenten,
de IBD, dat is de Informatiebeveiligingsdienst.
Dat is het honk, het support system, voor alle gemeentes in Nederland.
ROTMAN: Oké, dat systeem bestaat.
Ik sprak dus Lacroix, gemeentesecretaris Hof van Twente,
samen met Dave Maasland van ESET, een beveiligingsbedrijf,
en zij hebben een vraag voor jou. Luister even mee.
MAASLAND: Ik ben wel heel benieuwd of zij het gevoel heeft
dat ze meer zouden kunnen doen voor dit soort slachtoffers.
Doen ze genoeg? En dan wil ik graag haar persoonlijk gevoel daarbij.
LACROIX: Mijn vraag sluit denk ik aan bij de vraag van Dave.
Ik werk bij de gemeente Hof van Twente en net als bijna 350 andere gemeenten
zijn wij verantwoordelijk voor enorm veel privacygevoelige informatie.
Ik ben benieuwd wat zij in haar rol voor de gemeentelijke overheid kan betekenen,
die niet als vitale sector genoteerd staat,
maar als ik kijk naar de impact van de hack bij ons,
financieel, dienstverlening, maar ook de onrust die het teweegbrengt
als het groter wordt, ben ik benieuwd naar haar rol.
ROTMAN: Ze zouden meer van je willen.
-Ja, dat hoor ik ook.
Ik kan me dat ook heel goed voorstellen, laat ik dat vooropstellen.
In 2018 zijn we begonnen met dit landelijk dekkend stelsel.
Het is ook nog verre van af.
Ik kan me ook voorstellen dat het in z'n totaliteit veel versterking behoeft.
Ook bij de IBD. Er ligt een gigantische klus, een gigantische opdracht
om goed te kunnen uitvoeren.
Dan zitten het NCSC en wij wat meer in de supportrol voor de IBD,
duidelijk samen met het ministerie
van Binnenlandse Zaken en Koninkrijksrelaties.
Maar dat daar een enorme behoefte is bij de gemeenten, zie ik helemaal.
ROTMAN: Maar dan toch concreet. Dennis omschreef een soort...
Ik vroeg hem: stel dat ik je een week voor die 1 december had gevraagd:
Hoe staan de zaken ervoor?
Dan was hij ervan overtuigd dat ie z'n boeltje op orde had.
Je weet dus kennelijk niet wat je niet weet.
SOMSEN: Wat dat betreft, we hebben het gehad over voorbereiding,
we hebben het gehad over een goed plan hebben, zodat je erop kan reageren.
Waar we het nog niet over hebben gehad, dat heet heel mooi 'red teaming'.
ROTMAN: Ik ben bang dat we het er nu over gaan hebben. Vertel.
SOMSEN: Ik denk aan: als kind krijg je bij de tandarts zo'n roze pilletje.
Dan zie je heel duidelijk, ook al denk je dat je goed gepoetst hebt,
waar je niet goed gepoetst hebt.
-Vreselijk was dat.
SOMSEN: Vreselijk, maar iedereen weet het nog.
Je wordt even met de neus op de feiten gedrukt.
Ik denk dat dat echt heel belangrijk is. Dat je door middel van red teaming...
Dan vraag je aan ethische hackers: ga je gang.
Probeer maar aan alle kanten binnen te komen in mijn systeem.
Dan zul je zien hoeveel roze of rode plekken, hoe je het wil noemen,
er in dat systeem nog zitten.
ROTMAN: Dennis zelf had het over een soort digitale accountant.
Bedrijven moeten verplicht een accountantsverklaring.
Hij zei: ja, waarom niet een soort digitale accountant?
Iemand die je systeem doorlicht, een onafhankelijk persoon,
dat klinkt een beetje als wat jij zegt.
SOMSEN: Voor het Rijk zie je vaak dat toezichthouders,
dus de inspecties die bij de verschillende ministeries zitten,
maar ook toezichthouders zoals het Agentschap Telecom,
dat die ook die rol pakken. Dat vind ik ook een goed idee.
Je moet uiteindelijk die checks and balances inbouwen,
je moet controle inbouwen, en je moet ook,
ik denk dat we daar nu zo langzamerhand wel zijn,
op boardroomniveau, op het allerhoogste niveau,
ook bewustzijn creëren dat het belangrijk is.
Als je ziet hoeveel er bezuinigd is in de afgelopen periode,
waar bezuinigen we dan op?
Vaak niet op nieuwe plannen, want dat vindt iedereen belangrijk.
Iemand die herkozen is, wil z'n plannen laten zien.
Ook op gemeentelijk niveau, dat geloof ik direct.
Dus ja, het zit ook heel vaak in krakkemikkige ICT van een tijd geleden.
ROTMAN: Dat is wat ik een beetje proef.
We zijn de naïviteit misschien heus wel een beetje voorbij,
maar het blijft een sluitstuk op de begroting.
Als laatst gaan we dat regelen. Oké.
In de volgende aflevering spreek ik Erik Schrijvers en Ben van Lier.
Erik is van de Wetenschappelijke Raad voor het Regeringsbeleid
en Ben is lector Industrial Internet of Things. Wetenschappers.
Welke vraag zou je bij de wetenschap willen droppen?
SOMSEN: Ik denk vooral... we vragen veel van mensen.
Dat ze dat allemaal zelf zouden moeten kunnen doen. Maar als je een auto koopt,
weet je zeker dat ie aan alle veiligheidseisen en -normen voldoet.
Ik denk dus dat het heel belangrijk is om in Europa te komen
tot een markt waar ICT-producten op komen die veilig zijn
en waarbij je dus ook heel veel meer het spanningsveld opzoekt
met de bedrijven die het produceren, ze op die verantwoordelijkheid aanspreekt.
Dat is buiten mijn terrein, want ik ga er niet over.
Dat is eerder Economische Zaken en Klimaat en die zijn er druk mee bezig.
ROTMAN: Wat is je vraag voor de wetenschappers?
SOMSEN: Hoe kunnen zij een rol spelen in het stimuleren hiervan?
In het aangeven hoe je dat dan zou moeten doen
en waar dan die noodzaak zit.
Ik denk dat zeker ook voor de WRR daar een heel belangrijke rol ligt.
Ik zie dat ook bij anderen, hoor, dat ze het oppakken vanuit de wetenschap,
maar dat is denk ik een heel belangrijke.
Mijn vraag zou zijn: hoe kun je dat beter bevorderen?
ROTMAN: Ik ga het ze voorleggen. Die cyberveiligheid,
de toekomst ervan en de dreigingen, je hebt al iets gezegd aan het begin,
waar gaan we heen? We hangen alles aan het internet straks.
Echt alles is connected. Alles zit op dat internet, alles is cyber.
Waar gaan we heen?
SOMSEN: Reden te meer om dus een beentje bij te trekken
en ervoor te zorgen dat je je cyberveiligheid veel meer op orde hebt.
Maar ook met elkaar voorbereid zijn als er dingen misgaan.
Je moet altijd ook vanuit Buitenlandse Zaken
de statelijke actoren blijven aanspreken op wat je wel of niet acceptabel vindt.
ROTMAN: Zijn er genoeg good guys, genoeg techneuten,
genoeg van die Rickey Gevers-achtige types, ethische hackers,
die al die bedrijven, instellingen, kennisinstituten,
gaan helpen om te checken of ze er goed voor staan?
Is er genoeg talent om dat überhaupt bij te houden?
SOMSEN: Het talent is er wel.
Ik denk wel dat we nog heel goed moeten kijken
naar hoe je ervoor zorgt dat er voldoende aanwas is.
Dus dat je echt kijkt: wat zijn de noden? En die zijn heel hoog.
Niet alleen bij de ICT-afdeling, maar ook veel breder dan dat.
En ook gewoon in het onderwijs, in alle verschillende sectoren.
Dus daar ligt zeker ook een taak dat je daar veel meer...
ROTMAN: Hoe gaan we die jonge honden,
die wilde pubers die veel te handig zijn met computers,
ik snap er zelf helemaal niks van... maar die wel op dat kruispunt komen:
ga ik voor de dark side, want hier is geld te verdienen,
of ga ik iets goeds doen? Hoe ga je die gasten over de streep trekken?
SOMSEN: Ik vind dat we meer van die jonge honden moeten kweken.
Het moet echt in het curriculum van het basisonderwijs zitten.
Meerder facetten. Je moet ook je strik- en fietsdiploma halen.
Dus je moet ook je cyberveiligheidsdiploma halen.
Dat is denk ik een heel belangrijke.
Het andere is gewoon goed je tentakels in die netwerken blijven houden
en aangeven hoe belangrijk het is en hoe wezenlijk dat ze die bijdrage leveren
aan de maatschappij van de toekomst.
ROTMAN: En cyberveiligheid by design?
Moeten we de hardware- en softwarebouwers niet verplichten
om hun zaakjes te regelen?
-Absoluut. Dat is ook wat ik net aangaf.
Dat vind ik echt belangrijk. Je ziet toch dat het vaak als laatst erbij komt.
Dat is net als met een gepantserde auto, ik zat in Libanon op de ambassade
en daar moet je in een gepantserde auto rijden.
Als ie pas gepantserd wordt nadat een gewone auto van de fabrieksband komt
is ie gewoon niet veilig.
Op het moment dat het gelijk wordt ingebouwd wel.
ROTMAN: Tot slot. Er komt dus die overheidsbrede cyberoefening.
Jij bent daar uiteraard bij betrokken.
Dat is een soort brandweeroefening, maar dan voor een hackscenario.
Zeg ik dat goed zo?
-Dat denk ik, ja.
ROTMAN: Ik vraag al m'n gasten om concrete, niet alledaagse tips
voor de overheid, bedrijven en individuele burgers
om hackers buiten de deur te houden. Wat is jouw tip voor de overheden?
SOMSEN: Oefenen en red teaming, dat zijn de twee dingen waarvan ik denk:
daar moeten we veel beter in worden.
-Oefenen en red teaming. Bedrijven.
SOMSEN: Eigenlijk min of meer hetzelfde,
maar misschien nog meer in compartimentaliseren,
two factor authentication en ook:
Kijk naar waar je kroonjuwelen zitten en doe daar wat speciaals voor.
ROTMAN: Burgers, simpele burgers zoals ik. Wat moet ik doen?
SOMSEN: Niet op gekke mailtjes klikken of whatsappjes en dat soort dingen.
Je toch ook bewust zijn dat als iets niks kost,
het misschien dan zeker geen security by design in zich heeft.
En je laten informeren door verschillende bronnen.
Je hebt bijvoorbeeld een website, die heet Veilig Internetten,
supermakkelijk toegankelijk, veiliginternetten.nl. Kijk daar eens op.
ROTMAN: Ben je blij met je baan?
Waarom doe je dit? Waarom vind je het leuk om te doen?
SOMSEN: Ik vind het belangrijk dat Nederland veilig blijft.
Juist omdat ik in het buitenland heb gezeten,
in Libanon, Tanzania en Hongarije,
waardeer ik des te meer wat voor fijn land we hier hebben
en vind ik het dus ook heel belangrijk dat we dat zo houden.
ROTMAN: Hester Somsen, dank je wel. Succes met je mooie werk.
Luister ook de andere afleveringen van 'Let's talk about hacks'.
Ga hiervoor naar weerbaredigitaleoverheid.nl.