Martijn Slot

Auteur en onderzoeksjournalist Huib Modderkolk richtte zich tot de zaal en zette de wereld waarin wij leven direct stevig neer. "Wie heeft het gevoel dat we in vrede leven? Wie heeft het gevoel dat we niet in vrede leven, in een soort van oorlog?" Een flink aantal handen ging de lucht in. "Het ministerie van Defensie vraagt zich dit elke dag af. Daar hebben ze een kleurenkaart voor. Groen staat voor vrede en rood staat voor oorlog. Nederland staat inmiddels op donkeroranje. Met andere woorden, we zitten dichter bij een oorlog dan bij vrede. De hoogste baas van het ministerie zegt: 'Het gevaar loert overal'."

Strijd in het informatiedomein

Dat gevaar is niet direct zichtbaar, aldus Modderkolk, maar komt voort uit het digitale domein. Hij refereert aan een essay uit 2013 van de hoogste baas van het Russische leger. "Hij zei: 'Moderne conflicten gaan niet meer beslist worden op het slagveld, maar in het informatiedomein.' Dus met niet-militaire wapens. De strijd daar is belangrijker dan uiteindelijk op het slagveld. Dat essay schreef hij net na de Arabische lente, toen autoritaire regimes werden geconfronteerd met jongeren die in opstand kwamen. Mensen die zich gingen verenigen via sociale media werden gezien als een bedreiging, ook voor Rusland. Maar ook als een kans. "Als je succesvol een narratief kunt bepalen, kun je ook succesvol zijn in het veroveren van een land. Of het ondermijnen van een ander land. Dat doe je met niet-militaire wapens. Dat heet hybride oorlogsvoering. Dat valt uiteen in: beïnvloeding, spionage en sabotage."

'Als je succesvol een narratief kunt bepalen, kun je ook succesvol zijn in het veroveren van een land. Of het ondermijnen van een ander land.'

De voorbeelden van beïnvloeding zijn legio, zoals een document opgesteld door de presidentiële administratie van Rusland. Modderkolk: "In aanloop naar de Amerikaanse verkiezingen probeerden zij Republikeinse kiezers aan te moedigen te gaan stemmen. Zij richtten daarvoor een bedrijfje op in Florida met een budget van ongeveer tien miljoen dollar. Daarmee betaalden zij rechtsradicale influencers om pro-Russische standpunten uit te dragen. Die influencers hadden geen idee. Maar op die manier droegen ze bij aan het Russische narratief en ook probeerden ze de democraten zwart te maken."

Het spel is veranderd

Op het gebied van sabotage constateert Modderkolk een flinke toename van incidenten het afgelopen halfjaar. Een brand in het grootste warenhuis in Polen, waar Rusland achter bleek te zitten. Een brand in een munitiefabriek in Berlijn en een poging tot een aanslag in Parijs. Als het om spionage gaat, geeft hij aan dat de spionagewereld de afgelopen 25 jaar radicaal is veranderd. "Nu liggen de interessante data niet meer bij ambassades, maar bij telecompartijen, hotelketens en soms zelfs bij medische instellingen. Daar liggen de data van u en mij." Spionage gaat anno nu vaak over hacken. "En dat raakt iedereen. Hackers van over de hele wereld proberen binnen te dringen in systemen, onder andere door het sturen van phishingmails."

De technologie heeft ons veel gebracht, maar de keerzijden zijn er ook. Modderkolk sprak van een aantal "gemakzuchtige misverstanden, zoals het idee dat privédata altijd zijn beschermd en dat technologie de democratie altijd vooruithelpt". Maar het idee dat technologie neutraal is klopt niet. "Elon Musk heeft bijvoorbeeld laten zien dat X geen neutraal platform is."

Slechter resultaat

Na zijn presentatie schoof Modderkolk aan bij Liesbeth Holterman, strategisch adviseur bij Cyberveilig Nederland, en Frank Groenewegen, cybersecurity-expert en partner bij Deloitte. Zij gingen met presentator Rens de Jong dieper in op het onderwerp cybersecurity. Holterman heeft met Cyberveilig Nederland de doelstelling om de weerbaarheid van Nederland te vergroten door kennis en kunde van de sector over te brengen naar de maatschappij. "De weerbaarheid is toegenomen, alleen de dreigingen ook. Netto is het resultaat slechter."

De zaal werd de vraag voorgelegd: Heeft u ooit een cyberincident meegemaakt? 24 procent gaf aan dat nog nooit meegemaakt te hebben. Volgens Groenewegen had het antwoord anders geformuleerd moeten zijn. "Hier hoort eigenlijk te staan: 'niet dat ik weet'. Het lijkt me namelijk sterk dat mensen dit nog nooit hebben meegemaakt. Van iedereen is inmiddels het e-mailadres, voor- en achternaam of adres via een hack ergens op de wereld wel eens buitgemaakt. We voelen dat niet, omdat we denken dat je systeem niet is gehackt. Je voelt het pas als je inlogt op je bankrekening en ziet dat al je geld weg is."

'De weerbaarheid is toegenomen, alleen de dreigingen ook. Netto is het resultaat slechter.'

Bij wie ligt de verantwoordelijkheid?

De vraag wordt gesteld: bij wie ligt de verantwoordelijkheid om je te beschermen tegen cybergevaar? Modderkolk vindt dat een ongemakkelijke vraag. "In hoeverre kun je die verantwoordelijkheid neerleggen bij de burgers? Overal waar we komen of waar we online inloggen, wordt er gevraagd naar onze gegevens, onze data. Vervolgens hebben we totaal geen controle over wat er daarna mee gebeurt. Bedrijven hebben dat eigenlijk ook niet. Zij zitten bij een softwareprovider die ook kwetsbaar kan zijn. Zij kunnen helemaal niet zeggen: 'Maak je maar geen zorgen.' Dat kunnen ze niet waarmaken."

Dat betekent dus dat je je als individu en ook als organisatie zo goed mogelijk moet beschermen. Holterman: "Waar je altijd als eerste mee begint, is het maken van goede risicoanalyses. Waarvoor ben je op aarde? Als accountantskantoor is dat het controleren van jaarrekeningen en zorgen dat de data van je klanten op een veilige en ordentelijke manier bij jezelf blijven, of naar degene gaan die daar vervolgens wat mee moet doen. Dat betekent dat je rond die data maatregelen moet nemen. Dat zijn gedeeltelijk preventieve maatregelen. Zorgen dat de data op een plaats staan waar niet zomaar iedereen bij kan. Zorgen dat je een goede back-up hebt van je gegevens. Daarnaast moet je ervoor zorgen dat je medewerkers twee-factor-authenticatie gebruiken. Dan moet je ook weten wat er gebeurt in het hier en nu. Als je gebruikmaakt van een slimme deurbel, moet je er ook naar kunnen handelen op het moment dat je ziet dat er een inbreker binnenkomt."

Autosector als voorbeeld

Holterman noemt de autosector als een goed voorbeeld van hoe je je cybersecurity in kunt richten. "We hebben met zijn allen niet voorkomen dat er nooit een ongeluk gebeurt of dat er nooit doden vallen. We zorgen wel voor voldoende voorzorgsmaatregelen. Door regelgeving, zodat er veilige auto's de weg op gaan. Zo moeten er gordels, een kreukelzone en spiegels in een auto zitten. En voordat mensen überhaupt achter het stuur mogen kruipen, moeten ze eerst een rijbewijs halen. Zo lang zijn we nog lang niet binnen cybersecurity. Door schade en schande worden we wijs. Wij moeten mensen en organisaties ook blijven helpen om systemen en onze manier van werken betrouwbaar te maken."

Groenewegen wordt met zijn team door organisaties ingehuurd om te hacken en zo te controleren hoe veilig de systemen van een organisatie zijn en hen weerbaar te maken. Volgens de cybersecurity-expert slagen die hackpogogingen bijna altijd. "Ik zie het spel tussen hackers en cybersecurity als een voetbalwedstrijd. Het is continu aanvallen en verdedigen. Soms is er een wedstrijd waarin niet wordt gescoord, maar in de meeste wedstrijden wel. Het is actie en reactie."

'Wij moeten mensen en organisaties ook blijven helpen om systemen en onze manier van werken betrouwbaar te maken.'

Hij snapt dat organisaties een digitaliseringsdrang hebben en voordelen zien in het gemak dat dat met zich meebrengt. "Maar je moet je ook realiseren dat, zodra je verbonden bent met internet, je een prooi bent voor hackers. Je moet in staat zijn om daarop te reageren. De kans op een hack is vandaag de dag groter dan dat er een brand uitbreekt bij je organisatie. Dat gegeven moet er wel voor zorgen dat je alert bent en je voorzorgsmaatregelen neemt."