Let's talk about hacks 4: Voorbereiden op de toekomst
Voor verstoringen in de fysieke wereld bestaan professionele crisisorganisaties en uitgebreide wet- en regelgeving. De voorbereiding op een digitale ontwrichting krijgt echter nog te weinig aandacht. Hoe kunnen we ons voorbereiden, hoe kunnen we escalatie voorkomen en wat kunnen we verwachten van de ontwikkelingen in de toekomst?
Let's talk about hacks 4: Voorbereiden op de toekomst
SCHRIJVERS: Als er iets uitviel, was het een ICT-afdeling,
of een klein deel van een bedrijf.
Nu zie je dat dat echt het hart van de samenleving raakt.
Het gaat over ziekenhuizen die uitvallen, bedrijven hebben problemen.
Het gaat over verkiezingen die onder druk komen.
ROTMAN: Welkom bij 'Let's talk about hacks'.
Ik ben Robin Rotman
en in dit programma praat ik met deskundigen en betrokkenen over hacken.
Hoe voorkom je het? Wat moet je doen als het gebeurt?
En waar zitten de risico's?
VAN LIER: Dat begint merkbaar te worden dat wij, zeker in Nederland,
erg afhankelijk zijn van dat soort techreuzen.
De enige mogelijkheid om daaraan te ontsnappen is meer Europese coördinatie.
Dat betekent dat je iets van je eigen soevereiniteit moet inleveren
om in het grote totaal een grotere veiligheid te krijgen.
ROTMAN: Deze serie van Binnenlandse Zaken
is in het kader van de overheidsbrede cyberoefening.
Ik praat met twee toppers uit de wetenschap:
Erik Schrijvers van de Wetenschappelijke Raad voor het Regeringsbeleid.
Hij is medeauteur van het rapport 'Voorbereiden op digitale ontwrichting'.
Ben van Lier, lector Industrial Internet of Things aan de Hogeschool Rotterdam,
hoogleraar aan de Steinbeis Universiteit in Berlijn,
en directeur strategie en innovatie bij Centric.
Leuk dat jullie er zijn, fijn dat jullie er zijn. Ik heb veel vragen voor jullie.
Erik, eerst jij.
Jij schreef het rapport, of medeschreef het rapport
'Voorbereiden op de digitale ontwrichting'.
Ik heb dat door zitten spitten, dat rapport.
Ik moest een beetje denken aan Ab Osterhaus, de viroloog.
Die heb ik 20 jaar geleden een keer geïnterviewd voor het AD.
Die zei toen: Het is niet de vraag of er een pandemie komt,
maar wanneer ie komt.
Iedereen lachte dat een beetje weg: Dat zal wel, pandemie... whatever.
Geldt dat ook eigenlijk voor digitale ontwrichting?
Het is niet de vraag of ie komt, maar wanneer?
SCHRIJVERS: Als je terugkijkt naar allerlei lijstjes met risico's,
internationaal ook,
dan zie je dat het risico van ontwrichting langzaam
op die lijstjes verschijnt, zo'n 10 jaar geleden.
Je ziet ook dat het steeds hoger op die lijstjes terechtkomt.
De impact ervan, de waarschijnlijkheid ervan, wordt steeds groter geacht.
Dat was voor ons aanleiding om dit rapport te schrijven.
Dat was er eigenlijk één: dus het risico groeit.
Dus inderdaad, het is niet de vraag of er iets gaat gebeuren.
Er gebeurt iets.
Ik moet wel zeggen, de omvang daarvan is nog niet helemaal duidelijk.
ROTMAN: Die omvang gaat ze overvallen. Dat merken we vanzelf.
SCHRIJVERS: Die groeit. Twee was dat we zagen:
Die incidenten, als er iets uitviel, was het een ICT-afdeling,
die wegviel, of een klein onderdeel van een bedrijf.
Nu zie je dat dat echt het hart van de samenleving raakt.
Het gaat over ziekenhuizen,
het gaat over grote bedrijven die problemen hebben,
het gaat over verkiezingen die onder druk komen te staan.
Het zijn echt grote processen.
Ook voor de maatschappij, samenleving, belangrijke processen
die onder druk komen te staan.
ROTMAN: Eens, Ben? VAN LIER: Ik ben het ermee eens.
ROTMAN: Dus die digitale ontwrichting komt er?
VAN LIER: Je kunt zelfs de vraag stellen of ie niet al plaatsvindt.
ROTMAN: Ach jeetje, ben je er zo eentje? VAN LIER: Ja, ik ben er zo eentje.
Kijk naar de Oekraïne. Dat is een levend lab
voor aanvallen op een universiteitsnetwerk.
Dan kunnen we zeggen: Dat is ver weg.
Maar laten we er ook bij vaststellen dat dat wat daar gebeurt
in de elektriciteitsnetwerken door een statelijke actor
in Nederland ook kan gebeuren.
Dat betekent dus dat het wel ver weg gebeurt,
dat het wordt getest en hier kan worden toegepast.
Het is volgens mij de MIVD, de AIVD en ook de NCTV geweest
die dit jaar hebben gewaarschuwd dat dit soort statelijke actoren
zeer duidelijk aanwezig zijn in onze vitale infrastructuren.
ROTMAN: Jij bent onder andere deskundige op het gebied van Internet of Things.
We hangen alles aan het internet.
Ik heb thuis een hangmat, die nog net niet,
maar die komt misschien ook nog eens op het internet.
Dat maakt ons kwetsbaar, maar dat is misschien wel de basis voor het gevaar?
VAN LIER: Absoluut, zeker met alle spullen...
Kijk, wij produceren in Nederland weinig dingen.
Nauwelijks elementen, en zeker niet voor de consumentenmarkt.
Er zijn bedrijven die dat wel doen,
maar we kopen veel spullen uit het buitenland.
Dat betekent dat wat uit het buitenland komt,
dus ook een bepaald risico kan betekenen in de samenleving.
Misschien nog niet op dit moment op grote schaal
maar elke dag worden er duizenden apparaten aan netwerken gehangen.
Er hangen binnen de industrie apparaten aan netwerken.
Die komen niet allemaal uit Europa. We weten niet altijd waar ze vandaan komen.
ROTMAN: Maakt dat uit? VAN LIER: Dat maakt iets uit, ja.
Op het moment dat je veel Chinese sensoren ergens in hangt...
Ik heb studenten die zeggen dat ze tien sensoren kopen
en twee doen het niet, die gebruiken ze omdat ze goedkoop zijn.
Waar ze ze in prikken weet ik niet. We weten niet wat die sensoren doen.
We weten wel dat in China andere wet- en regelgeving actief is voor apparaten
en dat de Chinese overheid en samenleving een andere visie hebben
op dit soort netwerken en het beheer ervan dan wij in Europa.
ROTMAN: En het meekijken naar het gebruik van die spulletjes.
VAN LIER: Absoluut. Daar kan geen twijfel over zijn.
ROTMAN: Erik, die digitale ontwrichting. Wat is dat dan, digitale ontwrichting?
SCHRIJVERS: In onze definitie is het een vorm van maatschappelijke ontwrichting
zoals we dat kennen van covid-19,
ontwrichting van maatschappelijke processen.
Maar het verschil zit hem hier in dat de oorsprong ervan
zit in een verstoring van digitale infrastructuur.
Dus inderdaad uitval daarvan, een hack, ransomware.
Het kan ook een stomme menselijke fout zijn geweest. Dat hebben we ook gezien.
Een programmeerfout, systemen die vreemd op elkaar reageren,
waardoor bijvoorbeeld allerlei aandelen verkocht gaan worden.
Dus de hele automatisering van de samenleving draagt er ook aan bij.
Het belangrijke onderscheidende kenmerk van digitale ontwrichting,
daarom noemen we het zo,
is dat het dus z'n oorsprong vindt in de digitale wereld.
Die is dus intussen, Ben zegt het denk ik heel mooi, bijna overal.
ROTMAN: Eerder sprak ik in deze serie de gemeentesecretaris van Hof van Twente.
Die zijn gehackt, heel het systeem op z'n gat,
financiële gegeven, alles, kapot.
Dat is ontwrichtend, maar Ben schetst ook een soort beeld
dat de digitale ontwrichting niet altijd per se met een hack of klap gebeurt,
maar dat misschien sluimenderwijs de ontwrichting er al een beetje is.
SCHRIJVERS: Ja, klopt. Ik vind dat wat Ben noemt...
Belangrijk is dat het niet alleen om hacks gaat.
Het gaat eigenlijk om twee andere zaken.
Het gaat om een soort geopolitieke spanningen,
waardoor dus actoren uit het buitenland
hier in Nederland dingen kunnen doen.
Dat wordt mogelijk gemaakt door digitale infrastructuur.
Het hoeft niet te gebeuren, maar dat is een reden waarom het gebeurt.
Een andere reden is dat we met een aantal grote partijen te maken hebben
in die wereld, die een enorme schaal hebben
waardoor als er iets misgaat, je ook meteen die schaal binnen hebt.
Waar wij in het onderzoek van geschrokken zijn
is het feit dat sommige markten voor 80-90 procent
in handen zijn van één enkele partij.
Dat is ook iets wat an sich al kwetsbaar maakt.
ROTMAN: Heb je het dan over techreuzen?
SCHRIJVERS: Dan heb je het onder andere over techreuzen in de wereld van cloud,
maar ook in de wereld die Ben beschrijft, van de industriële systemen,
zijn er een paar partijen.
Het gaat ook over het forensisch onderzoek in Nederland.
Als er iets misgaat, heb je ook een beperkte set partijen.
Er zijn op allerlei terreinen op heel rap tempo afhankelijkheden ontstaan,
die heel lastig te keren zijn.
Ik denk dat dat wel nodig is als je als overheid hier iets aan wil veranderen.
ROTMAN: Zie jij dat ook? Dat er weinig spelers zijn met veel impact?
VAN LIER: Er zijn weinig spelers, met veel impact.
Dat heeft te maken met het feit dat wij steeds meer gebruikers worden.
Wij zijn niet geïnteresseerd in de technologie.
Op het moment dat we iets kunnen krijgen, kopen,
iets kunnen gebruiken, zullen we dat niet nalaten.
Dat begint langzaam maar zeker wel merkbaar te worden.
Dat wij, zeker in Nederland afhankelijk zijn van dat soort techreuzen.
De enige mogelijkheid om eraan te ontsnappen
is komen tot meer Europese coördinatie op dat vlak.
Maar dat betekent dat je iets van je eigen soevereiniteit moet inleveren
om in het grote totaal een grotere vorm van veiligheid te krijgen.
Door ook de spanningen die erin zitten, en forensisch onderzoek bijvoorbeeld...
Wat we op dit moment zien, is dat met name bij 'industrial internet of things'
een grijs gebied begint te ontstaan
tussen de IT van de organisatie, waar de administratie wordt gedaan,
en aan de andere kant de OT van de systemen, de operationele technologie,
die worden aan elkaar geknoopt. Dat wordt op een moment gedaan.
Daar wordt niet veel meer aan gedaan.
Tot het moment dat duidelijk wordt dat het misgaat.
Daar weten we zelfs niet van hoeveel er daarvan zijn.
Wat we wel zien, is dat als er op de wereld iets gebeurt,
kan dat consequenties hebben, niet alleen waar het gebeurt,
maar ook op plaatsen waar het mogelijk aan de orde kan zijn.
Om er een voorbeeld bij te geven:
Als bij de Aramco-raffinaderij in Saoedie-Arabië,
de grootste ter wereld, aanvallen plaatsvinden, op soms kleine dingen,
betekent dat dat dat ding een risicofactor vormt,
maar je kan niet ontkennen dat olieraffinaderijen elders op de wereld,
zoals Rotterdam, die onderdelen aanwezig kunnen zijn.
ROTMAN: Jij noemde net Europese samenwerking.
Zo praten we in het kader van oplossingen over Europa.
We hebben een leuke vraag van Hester Somsen, plaatsvervangend NCTV.
Ik wil toch even neerzetten: Waar hebben we het nou over?
Alles is dus verknoopt. We zijn junkies geworden van de technologie.
We willen het spul in huis hebben.
Jij omschrijft: In de industrie zijn ook...
Er zijn allemaal technologische oplossingen voor problemen.
We willen er ook meer en meer van, dus we halen het gevaar binnen.
Wat zijn nou, als je het hebt over de gevaren, Erik, in dat rapport?
Zijn dat landen? Jullie noemen dat natuurlijk statelijke actoren.
Als het over hacken gaat, waar zitten dan de gevaren?
Dat zijn geen puisterige pubers die aan het klooien zijn, maar landen.
SCHRIJVERS: Nou, in de begintijd waren het zeker ook die paar klooiende pubers.
Ik denk dat die nog een rol spelen, maar ik denk dat wat we nu zien,
veel meer een samenspel van actoren wordt.
Het zijn én de pubers én de criminelen én de staten.
Die werken in sommige gevallen samen, doen dingen voor elkaar.
Wat die staten wel apart zet, is dat die gerichter te werk gaan
en ook een heel lange adem hebben
en meer middelen tot hun beschikking hebben om dingen voor elkaar te krijgen.
De crimineel gaat naar de plek waar het meeste geld te halen valt.
Of de meeste waardevolle gegevens.
Dus die kijkt naar de zorg en naar de financiële instellingen.
ROTMAN: Gaat het dan over ransomware? Of gaat het over jatwerk?
SCHRIJVERS: Het gaat ook over ordinair jatwerk.
Ik vind een van de verontrustende dingen dat het heel veel kruimelwerk is.
We hebben het allemaal over al die hoogstaande hacks,
maar als je kijkt naar wat er bij de GGD is gebeurd, de diefstal van gegevens,
het is vaak ontzettend knullig.
Ook het hele bewustzijn over hoe je hiermee moet omgaan,
hoe je het moet beveiligen, denk ook aan de notarissen de afgelopen weken.
Het speelt echt op alle niveaus en in alle gedaanten doet het zich voor.
ROTMAN: Oké, dus het is kruimelwerk, het zijn pubers, criminelen, landen,
die willen informatie, ze willen geld, ze willen onze geheimen pikken.
Nu lees ik in het rapport van Erik iets
over instabiele, slecht beveiligde software en hardware,
complexe en grensoverschrijdende toeleverings- en productieketens.
Kwaadwillenden hebben zo mogelijkheid
om maatschappelijke processen te verstoren of stil te leggen.
Is dat een analyse die jij wel deelt? Het is troep, het is connected
en het is grensoverschrijdend. Dat gaat door de keten.
VAN LIER: Even terug naar de pandemie... ROTMAN: Lekker, Ben.
VAN LIER: Even terug naar de pandemie.
Waar we achter zijn gekomen, is dat de supply chains...
Wij halen grondstoffen voor medicijnen uit India,
die bewerken we in Nederland, worden verpakt in Amerika,
en dan komen ze misschien terug.
Je ziet dat we tot aan mondkapjes aan toe
afhankelijk zijn van het buitenland en ons dat nauwelijks realiseren.
Zeker in zulke crisissituaties, dat we daar erg van afhankelijk zijn.
Als je ziet waar de grotere hacks plaatsvinden...
Kijk, er wordt vaak heel moreel naar gekeken.
We moeten ons wel realiseren dat de ontwikkeling van de IT,
die is nu 75 jaar oud, daar hebben we in de jaren 80 veel aan gedaan,
Daar is geld in gestoken, want het was makkelijk.
Het haalde allerlei administratief werk eruit, routinetaken.
We gingen verder in de stroom der ontwikkelingen.
Zo bouw je langzaam maar zeker dingen op.
Maar in de situatie waar we uit voortkomen,
was veiligheid eigenlijk geen issue.
Tot aan 2008, 2009 stond het idee
dat je grootschalig zulke ontwrichtingen kon laten plaatsvinden,
ja, dat was niet aan de orde.
De eerste hacks vonden wel plaats in 1988, 1989.
Op het internet dat er toen was, met name in e-mailverkeer.
Maar goed, dat doe je toch niet in zo'n ontwikkeling?
Dus ons hele bewustzijn na die digitalisering
heeft nooit rekening gehouden met het feit dat naarmate je meer digitaliseert
er anderen zullen komen die dat op een andere manier zullen gebruiken.
Daar heb ik in de discussie over cyber security vaak kritiek op.
In de zin van dat wij als een...
Ja, je hebt aardige mensen die je helpen,
maar ook niet aardige mensen die niet helpen.
By the way, in China zijn meer dan 50.000 security experts actief,
die volgens de wet allerlei dingen uitvoeren,
die langzaam maar zeker in de richting van Nederland en andere staten gaan.
ROTMAN: Ben omschrijft hier een zekere mate van naïviteit, eigenlijk.
Ik heb toch het gevoel dat we de laatste tijd toch die naïviteit...
We zijn slordig, zeker, maar we zijn dat toch wel een beetje kwijt?
Ben ik dan weer naïef nu?
SCHRIJVERS: Ik denk dat we er naïef zijn ingestapt.
Maar daarbij is het natuurlijk ook een ontwikkeling
die ook wel zo complex is dat we eigenlijk nog steeds bezig zijn
om hem te duiden.
Naïviteit inderdaad. Ben refereert
aan de productie van medische hulpmiddelen in het buitenland.
Dat hebben we bewust gedaan uit allerlei kostenbesparende overwegingen.
Hetzelfde argument speelt ook bij de inzet van ICT.
Ik vind dus nog steeds het bewustzijn...
Ik heb het zelfs weleens over dat we een nieuwe kaart nodig hebben
om te navigeren in dit landschap.
Ik vind daar nog steeds een groot gemis aan,
maar ik zie dat ook wel als een lopende ontwikkeling
die je hoe dan ook bij elk nieuw risico doormaakt.
ROTMAN: Ik sprak eerder met Hester Somsen,
plaatsvervangend nationaal coördinator terrorismebestrijding en veiligheid.
Zij heeft een vraag voor jullie, de wetenschap. Luister even mee.
SOMSEN: Als jij een auto koopt, weet je zeker
dat ie aan alle veiligheidseisen en -normen voldoet.
Ik denk dus dat het heel belangrijk is om in Europa te komen tot een markt
waar ICT-producten op komen die veilig zijn
en waarbij je dus ook heel veel meer het spanningsveld opzoekt
met de bedrijven die het produceren,
hen op die verantwoordelijkheid aanspreekt. Vanuit de wetenschap ook:
Hoe kunnen zij een rol spelen in het stimuleren hiervan?
In het aangeven hoe je dat dan zou moeten doen?
Waar dan die noodzaak zit.
ROTMAN: Europese veiligheidseisen voor IT-producten.
Wat vinden jullie van deze analyse van haar?
VAN LIER: Nou, m'n eerste opmerking daarbij is:
Er wordt onderscheid gemaakt tussen IT en auto's.
Als je naar de huidige Tesla kijkt die in Nederland rondrijdt,
die bestaat voor 45-50 procent uit IT. ROTMAN: Dat is IT.
VAN LIER: Dat is IT, alles wat erin zit, wat ie doet, alles met de auto pilot.
Je kunt van alles bedenken en je tekent bij het contract
dat alle data van de auto en de hele besturing van de IT
door Tesla en de Verenigde Staten wordt uitgevoerd.
Daar hoor je zelden iemand over.
Dus alle Tesla's die in Nederland rondrijden,
zouden een probleem kunnen krijgen, of die in Europa rondrijden of in China.
Maar dat is dus een ander perspectief rondom die vraag van die IT.
ROTMAN: Jouw reactie, Erik? SCHRIJVERS: Ik heb van alles te zeggen,
maar ik vind dat beeld van die auto wel een aardige,
omdat het een soort universele technologie is.
De verbrandingsmotor. Dat ding rijdt wereldwijd rond.
Er is een heel complex van wetgeving omheen ontstaan
in de vorm van veiligheidseisen, autogordels.
De overheid heeft een wegennet aangelegd om dat ding te kunnen laten rijden.
Dus ik vind dat beeld wel aardig, maar de oplossingen die ze schetst
door zich vooral op Europa te richten vind ik te beperkt,
want we hebben mondiaal internet, dus je zult mondiaal
afspraken moeten maken om dat veiliger te maken.
Ik heb ook echt twijfels bij haar oproep om aan te sluiten bij marktpartijen.
Ik denk echt dat de overheid hier veel meer het voortouw in...
ROTMAN: Wij als democratie moeten hier wat van vinden. Punt.
Maar zij zegt volgens mij, als ik het een beetje beluister:
'Joh, al dat spul komt misschien uit China, Amerika.
Al die technologie, die hardware, die software.
Misschien moeten we gewoon in Europa bedenken wat we ervan vinden.
Wij stellen bepaalde eisen.
De Duitsers doen dat misschien, wij doen dat.
Maar moeten we niet op Europees niveau eisen stellen en ons daaraan houden?
Desnoods maken we het zelf.' Dat klinkt toch op zich wel slim?
VAN LIER: Er zijn voor mij wel stappen. Ik denk dat Europa dat moet doen.
Je ziet op dit moment ook ontwikkelingen
rondom de industrialisering en internet of things.
Daar zie je die stappen nu plaatsvinden.
Niet op grond van het feit dat het een democratisch element is.
In Duitsland en Frankrijk lopen grote initiatieven
omdat die in hun industrieel belang worden geraakt.
Dus zij willen dat in Europa daar nu maatregelen op genomen worden.
Dat is heel goed.
Daar zit wel de consequentie aan dat wij moeten accepteren
dat als de grote landen dat willen, wij volgen. Dat bepalen wij niet.
Dat vind ik dan wel vaak een makke erin. Wij maken geen auto's in Nederland.
In Duitsland en Frankrijk wel.
Dat betekent dat wij luid kunnen roepen wat ze moeten doen, ook met de data,
maar dat Frankrijk, Duitsland en Italië bepalen hoe dat gaat.
Dat is ook een vorm van discussie, een bewustzijn,
dat wij hierin heel weinig te vertellen hebben.
SCHRIJVERS: Eens. Nou kijk, eens.
Ik ben heel blij dat deze discussie intussen op gang komt.
Over onder welke noemer, strategische autonomie,
digitale soevereiniteit, er zijn allerlei labels voor.
Er wordt nu wel over nagedacht. Dat vind ik een heel goede zaak.
Ik weet niet wat de beste oplossing precies is,
want er zijn ook voorstellen om eigen cloudvoorzieningen te realiseren.
Er zijn ideeën over eigen supercomputers in Europa.
Ik denk dat je ook echt naar het beheer van het mondiale internet moet kijken.
ROTMAN: Als we het hebben over het Tesla-voorbeeld.
Jij zegt het een beetje smalend.
Wij halen die Tesla's naar Europa en naar Nederland.
Vergis je niet, al je rijbewegingen, alles wat je doet met dat ding,
al die informatie gaat naar de computers van Elon Musk in Amerika.
Die regelgeving is van toepassing wellicht.
Realiseer je je dat wel?
Dan is toch het idee dat wij vanuit Europa zeggen:
Wij bepalen wat er met die gegevens gebeurt, niet jullie.
VAN LIER: Dat is ook de juiste constatering.
Dan moet dus Europa tegen de Verenigde Staten zeggen,
dan wel Europa tegen Tesla: Dit mag wel en dit mag niet.
In Europa loopt ook een aantal megadiscussies op dit vlak
die niets met een auto te maken hebben maar met een tractor,
omdat je bij John Deere dezelfde ontwikkeling ziet als bij Tesla.
Die tractor kan autonoom over het land beter rijden dan de Tesla over de weg.
Dat betekent wel dat alle data van de nieuwe John Deere-tractors
naar de Verenigde Staten gaan. Dat niet alleen,
maar ook alle data bij het voortbewegen en de machines die erachter hangen.
Dat betekent dat John Deere in de Verenigde Staten
een interessant beeld aan het opbouwen is van de Europese landbouw.
Inclusief de bewerking van de Europese landbouwgrond.
De vraag is: Wat gaat dat in de toekomst binnen tien jaar economisch betekenen?
ROTMAN: Oké, nu gaan we ook een beetje naar economische belangen.
Als we teruggaan naar het hacken,
het idee dat Europa daar wat meer grip op krijgt,
worden we dan ook minder gevoelig voor hacks?
VAN LIER: Nee, ik verwacht niet dat er ooit een systeem zal zijn
dat veilig zal zijn voor hacks.
Maar je kunt wel proberen om de gevolgen van de hacks te beperken.
ROTMAN: Oké, dus hacks zijn een gegeven.
VAN LIER: Daar moeten we rekening mee houden. Al was het maar
dat er staten beter in zijn dan wij.
ROTMAN: Alles is dus meer verknoopt. De data gaat de hele wereld over.
Wat kunnen we nou doen? Wat kan de overheid doen in Europa of Nederland
om de gevolgen te minimaliseren? Dat is kennelijk waar we op inzetten.
SCHRIJVERS: Ja, kijk, ons punt is geweest: Je erop voorbereiden.
Dat punt van het voorbereiden is wel heel belangrijk.
We hebben het idee dat we het kunnen voorkomen.
Dat met het beter beveiligen van de systemen uiteindelijk
die hacks niet meer zullen optreden.
Voorbereiden is voor ons heel basaal informatie uitwisselen over hacks.
Dat is eigenlijk toch wel het middel om ze te beperken.
Dat gebeurt echt nog niet goed genoeg. ROTMAN: Dat moet de overheid afdwingen?
Dat er informatie wordt uitgewisseld. SCHRIJVERS: Daar is wetgeving over.
We hebben daar ook instanties over, maar het blijft ingewikkeld onder...
ROTMAN: Het moet nageleefd, afgedwongen worden.
SCHRIJVERS: Bedrijven moeten dat willen, daar ook het belang van inzien.
We hebben in Nederland een soort hek gezet eigenlijk,
niet de hack, maar... ROTMAN: Een hek, ja.
SCHRIJVERS: Om wat we de vitale infrastructuur noemen.
Een bepaalde club organisaties waarvan we zeggen: Die zijn vitaal.
Die krijgen die informatie wel.
Daarbinnen is het al heel lastig om dat te delen. Andere krijgen dat niet.
Dat is een onhoudbare situatie aan het worden.
Daar wordt ook nu door de Europese Commissie
en het Europees Parlement opnieuw over nagedacht.
Die zien dat ook. Die zien dat grote bedrijven worden aangevallen.
Daar verdwijnt allerlei informatie.
Die worden niet beschermd, krijgen ook geen assistentie van de overheid.
Formeel althans. Dus daar zie je een probleem ontstaan.
Dus, informatie delen. En de andere is oefenen.
Simuleer dit nou eens even. Kijk dan wat er gebeurt.
ROTMAN: Een brandweeroefening, maar cyber.
SCHRIJVERS: Dat is wat we bepleiten. Die gebeuren ook wel,
maar die zijn vaak heel groot, heel abstract en sommige organisaties zeggen:
Wij oefenen liever niet, want dan valt de boel om.
Dus oefenen, en dan niet alleen maar een cyberoefening,
maar juist op het punt van de verwevenheid van ICT en kernprocessen.
Dus bij een ziekenhuis, als er een hack is,
welke processen kun je dan niet meer uitvoeren?
Zijn dat operaties, zijn je gegevensbestanden niet meer beschikbaar?
Om daarover na te denken, op een soort boardroomniveau.
ROTMAN: En daar kan de overheid een faciliterende rol spelen?
VAN LIER: Ja, maar ik wil nog terug naar de overheid in z'n algemeenheid.
Er kwam iets van democratie erin.
Ook daar zit de mondiale benadering in van de IT...
Als we het even in drie heel grote blokken opdelen.
We hebben een Chinese kant waarin de overheid alles bepaalt
en voor alles verantwoordelijk is en ook alles ter beschikking heeft.
We hebben de Amerikaanse kant
waarin de markt alles bepaalt en ter beschikking heeft.
Daarnaast een overheid die dat voor zichzelf regelt.
Laten we niet vergeten dat de meeste openheid op dit vlak in de VS zit.
Je kunt daar bij de FBI, de CISA, bij de MNIST...
Je kunt alle informatie over dit soort hacks vinden
en ze zijn daar ook in de pers vrij open over wat er gebeurt.
En je hebt natuurlijk Europa met 27 landen erin.
ROTMAN: Wat is onze positie daarin?
VAN LIER: Er begint dus iets te komen, wat Erik ook zegt,
maar waar dan heel sterk naar gekeken wordt,
is dat er Europese waarden en normen in die ontwikkeling
en kijken naar de veiligheid moeten worden ingebracht.
Dan komen we op een interessant vlak.
Wat zijn dan de Europese waarden en normen die we daarin brengen?
En wat ik er ook interessant in vind, is dat wij, zeker in Nederland,
wij zijn in Europa denk ik het land
met de meest uitgesproken moralistische opvatting op zulke vlakken.
Wat ons mogelijkerwijs in conflict kan brengen met andere landen in Europa
die er een ander idee over hebben.
Dus we moeten opnieuw, ook vanuit de Nederlandse overheid
ons gaan bezinnen op de vraag:
Welke rol spelen wij nou eigenlijk in die mondiale wereld?
In die mondiale ontwikkeling van IT, de grensoverschrijdende mogelijkheden,
de verbindingen, netwerken.
ROTMAN: Oké Erik, Ben schetst drie blokken.
China, de Amerikanen en de Europeanen met allemaal hun eigen rollen.
Ik proef een beetje dat er in Europa nog ruimte is om na te denken
hoe we dat dus gaan doen.
En ik signaleer ook dat wij in Nederland dus daar iets van moeten vinden,
hoe wij ons gaan opstellen in Europa. Dat is wat Ben schetst.
Vind jij dat ook en wat zouden we dan moeten doen?
Wat vind jij dat onze houding moet zijn?
SCHRIJVERS: Dat van die blokken deel ik in grote lijnen wel,
maar ik ben het niet eens met dat Nederland een afwijkende rol in speelt.
Nederland is een voortrekker geweest
op het terrein van onder meer netneutraliteit,
vrijheid op het internet is ook een van de...
Nederland is ook eigenlijk een land geweest dat vroeg gedigitaliseerd is.
Dus ik denk dat we daar een goede positie hebben
om dat debat te voeren over hoe je dat brede internet...
dan maak ik 'm heel breed, hoe je zo'n digitale ruimte zou willen vormgeven.
ROTMAN: Dat kan onze rol blijven.
Hoe gaan we om met de datahonger van die bedrijven? Daar mogen we wat van vinden,
en dan kunnen wij onze ministers naar Brussel sturen
om dat woord te verkondigen, toch?
VAN LIER: Maar even volgend op Erik: Als wij als Europa dat zeggen,
en wij zeggen: Wij bouwen een muur om Europa heen,
om dat wat uit Europa komt, in Europa te houden,
dan is dat niet heel anders dan wat de Chinezen, Amerikanen en Russen doen.
ROTMAN: Is dat erg dat wij voor onze infrastructuur, hardware en software...
zelf bepalen aan welke eisen het voldoet?
VAN LIER: Je kunt dingen kopen, maar je moet er op een zekere manier mee omgaan.
Het denken in die factoren,
het plaatsen van een datamuur rondom Europa,
betekent dus ook dat wij net zo gesloten worden als de Chinezen en Amerikanen.
SCHRIJVERS: Daar ben ik het niet helemaal mee eens.
Dat hebben we natuurlijk gedaan met de AVG.
Dat is ook een belangrijk exportproduct geworden.
Daar wordt nog heel erg, deels omdat de Europese markt een grote markt is,
het is een soort rijk gebied,
je kunt daar veel producten afzetten, dus je gaat je aanbod daarop richten.
ROTMAN: Is AVG niet... Sorry, ik onderbreek je.
Merk je bij de AVG niet dat de Facebooks van deze wereld
zich gaan houden aan onze privacywetgeving
en dat dat dan ook gewoon voor Amerika gaat gelden?
Dan bepalen wij de norm, toch?
Je kan op de AVG van alles aanmerken, dat weet ik ook wel.
SCHRIJVERS: Ik zou zeggen: Was het maar zo dat ze zich eraan hielden.
We doen ons best om daarvoor te zorgen.
Maar goed, je ziet nu ook in de VS dat er steeds strenger wordt gekeken
naar dit soort partijen.
Er is een aantal staten dat wetgeving heeft geïntroduceerd,
heel erg geïnspireerd op de AVG.
Dat zie je in Zuid-Amerika volgens mij ook gebeuren.
Het wordt een soort 'Brussel's effect' genoemd of het Straatsburg-effect,
een beetje afhankelijk van of je denkt dat de Commissie voorloper is
of de Raad van Ministers, maar het heeft een wereldwijd effect.
Dus het idee dat je een muur bouwt om Europa, ben ik het niet mee eens.
Je zet ook een soort standaard voor de rest van de wereld.
VAN LIER: Daarop aanhakend, zeker rondom natuurlijke personen,
want dat is een gegeven wat wij in Europa heel belangrijk vinden,
zie ik nog een aantal... Ik denk dat we daar goede stappen in hebben gemaakt.
De meeste data voor de komende tien jaar zit niet bij natuurlijke personen.
De meeste data zit uiteindelijk bij de niet natuurlijke persoon, het apparaat.
Een interessante vraag daarbij is,
want dat is een discussie waar over gesproken zal moeten worden,
wat betekent dat dan?
30 procent van de productie van zulke apparaten komt uit China.
Die hebben een speciale vorm van privacy op dat vlak.
Dus we kunnen niet, ook op dat vlak, alleen maar voortborduren
op dat wat we weten, dat wat we kennen, de tradities die we daarin hebben,
omdat dat apparaat eigenlijk nooit is erkend
als zijnde iets wat je in z'n onafhankelijkheid moet beschouwen.
ROTMAN: Dan heb je het over die datahonger.
Die data verzamelende en genererende machines.
VAN LIER: Ook daar zit goed en fout in. We hadden het over de gezondheidszorg.
We zouden daar een aantal dingen niet meer kunnen doen
als we geen digitale mogelijkheden hadden. Dan nog even over de patiënt.
Zo'n patiëntendossier, dat vind ik ook minder interessant,
mind even de opmerking,
maar de data van de MRI-scanner is van de producent van de MRI-scanner.
Daar kunnen we wat van vinden, maar er bestaat geen andere regelgeving...
ROTMAN: Waarom is de data van de MRI-scanner
niet van de eigenaar van de MRI-scanner, het ziekenhuis?
SCHRIJVERS: Dat is hetzelfde als bij de Tesla.
ROTMAN: Is dat een naïeve vraag? SCHRIJVERS: Ja.
Want het is internationaal zo dat een producent van een apparaat
onder z'n IP- en auteursrechtwetgeving
het recht heeft om mogelijkheden in te bouwen
om data te halen voor het functioneren van het apparaat uit het apparaat.
Of je het nou over een televisie hebt of over een MRI,
je hebt het over een vrachtwagen, over een Tesla, dat zijn allemaal apparaten.
ROTMAN: Kun je dat aan banden leggen? Kun je daar wat van vinden?
SCHRIJVERS: Je kunt beperkingen aanbrengen, maar dan heb je het
over grote economische bepalingen die je dan moet doen.
ROTMAN: Vroeger bepaalde ik toch zelf of ik informatie over m'n analoge auto
met m'n garage of producent deelde?
Als er iets mis mee was, koos ik ervoor om die informatie te delen.
Dan gingen ze ermee aan de slag. Nu is het al ingebouwd.
VAN LIER: Ik wil op die auto ingaan. Elke dealer heeft een computer.
Die diagnosticeert hoe je auto een probleem heeft.
Die computer is niet van hen, maar die huurt hij bij de producent.
ROTMAN: Hier moeten we over nadenken. Dit gaan we nu niet oplossen.
Hier moeten we iets mee. Iets anders, Erik.
Alles is meer en meer connected.
Ben vertelt over de industrie, dat is zijn ding.
Dus daar is alles connected, daar zitten de gevaren voor de ontwrichting.
Maar dat is niet het hele verhaal. We zijn allemaal connected.
We hebben allemaal tientallen apparaten die aan het internet zitten.
Het raakt ons allemaal.
Wat kunnen we nou doen om ervoor te zorgen dat het bij iedereen prio 1...
dat het bij ons allemaal een soort intuïtie wordt
dat het potentiële gevaren zijn.
Wat kunnen we nou doen? Moeten we dat er op de scholen in pompen bij iedereen?
Wat moeten we doen? SCHRIJVERS: Dat zou je kunnen doen.
Ik denk niet dat dat heel zinvol is. Ik denk dat je echt
op het niveau van wet- en regelgeving eisen moet stellen aan producten,
zaken moet regelen rondom de veiligheid van het internet.
Ik denk dat de overheid sommige dingen misschien niet moet doen.
Die heeft zelf ook die datahonger
en heeft er belang bij dat niet alles even veilig en goed geregeld is.
Dus er zit een soort spanning in waar we het met z'n allen over moeten hebben.
Ik heb na de presentatie van het rapport ook vaak deze vraag gekregen.
Wat kunnen we zelf doen?
Toen zei ik: Je kunt wat geld op zak houden,
nu met het contactloze betalen schiet dat ook niet meer op,
dat wil niemand meer aannemen. Ik heb daar het antwoord niet,
maar ik denk ook dat je het niet op dat niveau moet zoeken.
De vraagstukken rondom die digitalisering zijn zo groot geworden
dat we dat uitgangspunt dat je dat bij het individu kunt leggen,
dat het individu zeggenschap moet hebben over z'n data, toestemming moet geven...
ROTMAN: Dat probeert de AVG te regelen.
-Dat kan eigenlijk niet meer.
Het is zo complex geworden dat je die bewijslast moet opschuiven.
Laat bedrijven maar aantonen... ROTMAN: Maar toch.
We koppelen alles aan het internet en producenten weten hoe ik dat gebruik.
Even m'n hangmat, dat is een superanaloog ding.
Stel nou dat dat ding ook gekoppeld wordt,
omdat ze dan dat ding beter kunnen ontwikkelen. Whatever.
Ongetwijfeld gaat dat gebeuren.
Waarom is het niet in te bouwen dat ik kies of die informatie
van hoe ik lig, met wie ik erin lig en wat ik erin doe,
dat ik zelf bepaal...
SCHRIJVERS: Het kan natuurlijk, maar we hebben een aantal wissels omgezet
in de hele vormgeving van de digitale wereld
waarvan ik niet zie dat ze heel makkelijk weer zijn terug te draaien.
Een van die dingen is dat bedrijven hun verdienmodel hierop hebben gebouwd.
De tractor kwam langs, de auto kwam langs.
De auto is niet het product. Dat zijn de diensten die erop gebaseerd zijn.
Met de tractor en al die apparatuur idem dito.
Die haalt data op. Die worden geanalyseerd op een slimme manier.
Daar worden weer nieuwe producten aan gekoppeld
en die worden weer opnieuw aangeboden.
Het product krijg je er eigenlijk gratis bij. Het gaat om de data.
VAN LIER: Om ook nog op je vraag verder te gaan en dat wat Erik zegt:
In principe moeten we ons ook realiseren dat in het product dat wij kopen,
Wij hebben de intentie om een product te kopen.
Als wij een akkoord sluiten dat wij het product willen hebben
zouden wij ons bewust mogen zijn dat daar meer of minder risico's aan zitten.
Op het moment dat wij onze smarttelevisie thuis aansluiten
is het eerste wat de smarttelevisie vraagt: Mag ik toegang tot uw netwerk?
Je kunt 'm vijf keer uit willen zetten, maar dan doet ie het niet.
De zesde keer geef je toegang tot het netwerk.
Wat ie dan zegt is: Gaat u akkoord dat ik contact maak en dat ik updates draai?
Dat moet je doen, want anders doet ie het niet.
Daarmee stuur je wel al je informatie in de richting van de tv-leverancier.
Het bewust zijn daarvan betekent dus ook dat je anders met het apparaat omgaat.
Het bewustzijn moet omhoog, dat is een maatregel die we kunnen nemen.
Dan voorkomen we nog niks, maar weten we dat we dat risico lopen.
En we hebben geen kennis.
ROTMAN: Erik, kunnen de overheid, maatschappelijke organisaties
en de wetenschap met wie ik hier aan tafel zit, beter samenwerken?
SCHRIJVERS: Het punt zit heel erg op de implementatie.
Er is gewoon mooi onderzoek over hoe je wel veilige apparaten kunt bouwen,
hoe je het internet wel veiliger kunt maken,
hoe je wel veilig kunt inloggen zonder al je gegevens te geven.
Er is ook onderzoek... Je hoeft niet al die gegevens...
Het kan een default positie zijn in je telefoon
dat die signalen niet automatisch worden gestuurd.
Technisch is het mogelijk, maar het punt zit op:
Hoe implementeer je het vervolgens?
Ik denk dat daar nieuwe samenwerkingen tot stand moeten komen.
Er is onlangs ook een rapport van universiteiten uitgekomen
die ook signaleren dat ze afhankelijk zijn van onder andere Microsoft,
en die hebben nu besloten:
We gaan samen met SURF een aantal van die diensten opnieuw bekijken.
We gaan kijken of we dat samen kunnen doen.
Dus ik denk dat er ook nieuwe allianties moeten komen.
Ook industrie waarin je met zelfgekozen partners
de zaken opnieuw vormgeeft,
op een manier die meer in lijn is met de waarden die je belangrijk vindt.
Het onderzoek is er voor een deel wel, de kennis is er wel.
We weten het wel, maar het is zaak om het te doen.
Dat is een veel ingewikkelder proces.
ROTMAN: Er komt een overheidsbrede cyberoefening.
Dat is brandweeroefening, maar dan voor een hackscenario.
Ik vraag al m'n gasten die ik voor m'n neus heb
om concrete, kleine, misschien niet zo alledaagse tips
voor overheden, bedrijven en burgers om een hackscenario te voorkomen.
Gewoon kort en krachtig.
Wat zijn wat jullie betreft nou de tips
die iedereen met een apparaat aan het internet zou moeten opvolgen?
Te beginnen met overheden.
VAN LIER: Dat is afhankelijk van het soort apparaat wat erin zit.
Als je een leverancier neemt voor koffiezetapparaten in je gebouw,
die toegang willen hebben tot het koffiezetapparaat
omdat ie 24/7 up to date moet zijn,
zou ik toch kijken hoe ik die aan het netwerk hang
en of ie tot het basisnetwerk moet behoren
of dat er een apart netwerk moet zijn. ROTMAN: Jij, voor overheden.
SCHRIJVERS: Voor overheden. Ik zou trainen.
Ik vind het interessante aan oefenen dat er ineens...
als je een oefening goed wil doen, moet je eerst trainen.
ROTMAN: Trainen, oké, trainen. De bedrijven.
VAN LIER: Ik denk dat bedrijven op dit moment...
dan moet je een onderscheid maken tussen de grotere en kleinere.
Bij kleinere is het bewustzijn nauwelijks of weinig aanwezig.
Daar moet het omhoog.
Bij de grotere, dat merk ik ook wel, daar zijn heel veel kennisvragen.
SCHRIJVERS: Ik zou zeggen: breng je afhankelijkheden eens in kaart.
Welke partijtjes zitten er allemaal
in die toeleveringsketens en netwerken waar je mee te maken hebt?
ROTMAN: Oké, burgers zoals ik. Simpele mensen die een hack willen voorkomen.
Wat moet ik doen? VAN LIER: Nadenken.
ROTMAN: Nadenken?
VAN LIER: Ja, het is toch het bewustzijn waarmee je ermee omgaat.
ROTMAN: Het wachtwoord Welkom2020 niet meer, hè?
VAN LIER: Nee, maar ook na downloaden, want dat zien we steeds meer.
Apps downloaden op een smartphone, daar kun je beperkingen instellen.
Je kunt ook aangeven waarom je dat moet doen.
Maar als je niet nadenkt over wat ermee kan gebeuren, los je dus niks op.
ROTMAN: Erik? SCHRIJVERS: Zet af en toe eens wat uit.
ROTMAN: Zet eens wat uit. Dat is m'n laatste vraag.
Even kort: als we nou dingen echt belangrijk vinden,
bijvoorbeeld onze waterwerken of onze elektriciteitsvoorziening,
of de spulletjes die ik thuis heb, als ik die dingen nou echt belangrijk vind,
en ik wil absoluut niet dat dat spul gehackt wordt,
dan koppelen we het toch niet aan het internet? Doen we het toch analoog?
Wat is er mis mee om de waterwerken een monteur erheen te laten rijden
en om hem open te draaien als het nodig is?
VAN LIER: Interessant, dan kunnen we stoppen
met het omzetten van de energie-elementen,
want geen zonnepaneel of windturbine is niet aan het internet gekoppeld.
SCHRIJVERS: Waar je naar moet kijken, is dat je terugvalopties hebt.
Dus bij de waterwerken is nog steeds de handmatige bediening mogelijk.
Maar bij andere zaken: je moet gewoon één, twee of drie terugvalopties hebben
en als je ze niet hebt, heb je een plan nodig wat je gaat doen als het uitvalt.
Dus altijd een plan B.
ROTMAN: Dank jullie wel. Ben van Lier, Erik Schrijvers.
Luister ook de andere afleveringen van 'Let's talk about hacks'.
Ga hiervoor naar weerbaredigitaleoverheid.nl.