Het Russische leger viel vanmorgen Oekraïne binnen. Tegelijk is er een conflict bezig dat minder zichtbaar is, maar minstens zo ontwrichtend kan zijn: de cyberoorlog. Maar de strijd is veel breder: Rusland en de westerse wereld staan tegenover elkaar. Wat betekent dit voor Nederland? Zijn we voldoende voorbereid op mogelijke digitale aanvallen?

Het is belangrijk te beseffen dat Rusland een offensieve doctrine heeft. Disruptie, sabotage en desinformatie zijn reguliere instrumenten die het inzet bij oorlogsvoering op allerlei niveaus, van economische concurrentie tot diplomatie.

De bestaande veiligheidsstructuren in Nederland zijn juist gebouwd op de premisse dat veiligheid en economie twee verschillende zaken zijn. Dat overheden zich tot overheden verhouden en private partijen tot hun vakbroeders. En dat de tegenpartij zich houdt aan onze ambtelijke indeling van de materie in statelijke en criminele actoren.

Die premisse kan de prullenbak in. Veiligheid en economie zijn nauw verbonden.

Leger met digitale criminelen

Drie kenmerken typeren cyberconflicten. Ze zijn asymmetrisch, hybride en obscuur.

1. Asymmetrische oorlog is een langdurige gewapende strijd tussen ongelijke partijen. De doelwitten zijn belangrijke maatschappelijke objecten, ongeacht of deze publiek of privaat zijn. Dat kunnen objecten met grote maatschappelijke impact zijn, zoals een stormvloedkering. Maar een leger kan ook een crimineel financieren die bijvoorbeeld een bank aanvalt.

Dit wordt hybride genoemd: we weten niet of we worden aangevallen door een crimineel of door een inlichtingendienst van een staat. De obscuriteit van een cyberconflict ligt in het feit dat het zich in de digitale wereld afspeelt waar niet iedereen even goed zicht op heeft. De handelingen spelen zich vaak af op het speelveld van inlichtingendiensten die hun werk, per definitie, heimelijk doen.

2. Rusland beschikt over een fenomenaal inlichtingenapparaat dat deze methoden – disruptie, sabotage en desinformatie – uitgevonden heeft. Het heeft decennia ervaring in de toepassing ervan. Wat nu aan de oppervlakte komt, is vaak maanden of jaren voorbereid. Zo hebben aanvallers uit Rusland twee keer midden in de winter de stroom uitgezet in Kiev, de vrachtscheepvaart wereldwijd stilgelegd, verkiezingen beïnvloed in Frankrijk en de VS en recent de olievoorziening gedwarsboomd in de oostelijke Verenigde Staten. Ze kunnen wat, en dat laten ze graag zien.

3. Conflicthandelingen in cyberspace onttrekken zich aan het publieke zicht en daarmee ook aan het zicht van wetgevers, toezichthouders en rechtspraak. Conflicten zijn verschoven naar een onzichtbaar veld, waar het moeilijk is wetten te handhaven. Wie achter een aanval zit, is niet of nauwelijks vast te stellen. Daarnaast zijn gebruikte middelen (‘aanvalsvectoren’) vaak nieuw of onbekend. Dat maakt het lastig om snel en adequaat te reageren.

Centrale sturing nodig

De beste verdediging is vanzelfsprekend solide IT én gezond verstand. Systemen moeten versterkt, netwerken gesegmenteerd en je moet een verstandig toegangsbeleid hanteren. Organisaties, publiek of privaat, moeten hun monitoring-, detectie- en responscapaciteit op orde hebben. Als je niet ziet dat een aanval plaatsvindt en niet weet wat dit betekent of wat er moet gebeuren, dan heeft de aanvaller zijn doel bereikt.

Dit is allemaal relatief ‘makkelijk’ te realiseren. Om verder te gaan is politieke en ambtelijke wil nodig.

Taken zijn versnipperd over allerlei ministeries. Dit feit, en de doorgeschoten bureaucratie maken het voor het aanwezige talent bij de overheid erg moeilijk om effectief op te treden. Er is geen overheidsorgaan dat waakt over de veiligheid van de publieke digitale ruimte, te beginnen bij normstelling en normhandhaving.

De politie heeft wel de bevoegdheden maar niet de mankracht om effectief cybercrime te bestrijden. De inlichtingendiensten richten zich maar op een deel van het probleem en kunnen hun bevoegdheden amper inzetten omdat het toezicht te log en te eenzijdig is ingericht. Er is zelfs een noodwet nodig om ervoor te zorgen dat de diensten van hun reeds door de wet toegekende bevoegdheden gebruik kunnen maken.

Verschillende overheidsonderdelen doen afzonderlijk van elkaar goede dingen, maar daarmee worden niet alle dreigingen op een coherente manier aangepakt. Er is, kortom, op de kerntaken een diepe reflectie en herschikking nodig. En er is dringende behoefte aan centrale sturing en één toezichtsregime.

De integrale aanpak van digitale veiligheid, van cybercrime tot cybersecurity, is bovendien niet iets voor politie en inlichtingendiensten alleen, het is een zaak van de hele samenleving. Instituten en bedrijven moeten wendbaarder worden. Onderwijs moet vanaf jonge leeftijd aandacht schenken aan de digitale wereld. Niet alleen hoe je je erin gedraagt en of je links of rechts moet swipen, maar ook hoe deze technisch in elkaar zit en wat de implicaties voor de hele maatschappij zijn, inclusief veiligheid.

Onderwijs is de sleutel

Het ministerie van Onderwijs heeft beloofd dat ter hand te nemen, maar niet eerder dan bij de curriculumherziening in 2025. Twee generaties zijn inmiddels verloren en weer schuiven we het op de lange baan. Zo is er een sociale kloof ontstaan tussen digitale ‘haves’ en ‘have nots’. Daarmee creëren we onze eigen onveiligheid. Onderwijs is de sleutel tot een digitaal inclusieve maatschappij waarin veiligheid voor en door iedereen gemaakt en onderhouden wordt.

Een derde vereiste om beter voorbereid te zijn is wat ‘security by design’ genoemd wordt: digitale producten en diensten moeten zo gebouwd worden dat ze intrinsiek bevorderlijk zijn voor veiligheid. Dit geldt ook privacy, onlosmakelijk deel van digitale veiligheid. Dat is af te dwingen door consumenten die zich verenigen en door overheden die hun goedkeuring voor producten moeten geven. De Europese Network Security Directive is een goed begin.

Het gevaar van cyberaanvallen is reëel, dat hebben we de laatste jaren gezien. Ontschotting van de overheid en een effectievere inzet van middelen en inspanningen is noodzakelijk. Wendbare overheden en wendbare private organisaties zijn onontbeerlijk om iedereen volop en met een gerust hart de verworvenheden van de digitale wereld te kunnen blijven bieden.

Dien de samenleving, koester onze democratie en rechtsstaat. Laten we niet het evenbeeld worden van onze aanvallers.

*) Inge Bryan is algemeen directeur van Fox-IT in Delft, en werkte eerder bij de AIVD, de politie en Deloitte. Dit is een iets geactualiseerde versie van een artikel in NRC afgelopen weekend.