Fotoverslagen

Net als andere landen kampt Nederland met nieuwe dreigingen. Vooral als gevolg van de steeds verdergaande digitalisering van de samenleving. ‘Traditionele’ vormen van criminaliteit nemen volgens de cijfers af, maar daar komen misdrijven voor in de plaats die ontwrichtend werken voor burgers, bedrijven en soms zelfs voor de gehele maatschappij. Dat bleek tijdens de op 8 maart gehouden Security Summit 2018.

De Security Summit 2018 was een initiatief van de Vereniging Beveiligingsprofessionals Nederland om 250 beveiligingsspecialisten te informeren over de nieuwe dreigingen en hen te vragen mee te denken over mogelijke oplossingen. Sprekers waren afkomstig uit respectievelijk de wetenschap, de overheid, het bedrijfsleven en de politiek.
Het gaat om maatschappelijk zeer relevante onderwerpen, benadrukte VBN-voorzitter Pieter-Christiaan van Oranje-Nassau. “We hebben te maken met ondermijnende criminaliteit, waarbij de onderwereld steeds verder in de bovenwereld integreert. We kampen met cybercrime, dat steeds meer een kat-en-muis-spel wordt tussen criminelen en beveiligers en waarbij tegenwoordig ook banken en complete containerterminals het doelwit zijn. En het risico voor economische en politieke spionage wordt steeds groter. Het gaat hier om problemen die vergaande samenwerking vereisen tussen bedrijfsleven, overheid en wetenschap. Reden om deze disciplines vandaag bijeen te brengen.”

Inlichtingenpositie
Namens de wetenschap sprak professor Beatrice de Graaf van de Universiteit van Utrecht, die gespecialiseerd is in het werk van inlichtingendiensten. Als historica vertelde zij hoe bedrijfsspionage en inlichtingendiensten zich door de eeuwen hebben ontwikkeld en hoe belangrijk een sterke inlichtingenpositie is om macht te verkrijgen en te behouden. Vroeger hielden alleen staten zich daarmee bezig, maar deze krijgen in toenemende mate ‘concurrentie’ van ‘techreuzen’ als Google, Microsoft en Facebook. Dit proces voltrekt zich volgens De Graaf in inlichtingenrevoluties. De eerste vond plaats tijdens Napoleon en zorgde voor centralisering van het inlichtingenwerk door de staat. De tweede was het gevolg van het ontstaan van professionele inlichtingendiensten, zoals de CIA. Recent vond de derde inlichtingenrevolutie plaats. Ditmaal door de techreuzen, waarvan de macht volgens De Graaf sterk wordt onderschat. Zij benadrukte dat het belangrijk is bedrijven als Google aan banden te leggen, zoals in Duitsland gebeurt. De techbedrijven zijn daar verplicht om zelf actief de privacy van gebruikers te beschermen op straffe van zeer hoge boetes. Een uitgebreid interview met professor De Graaf staat in de februari-editie van het vakblad BEVEILIGING.

Hybride conflictvoering
Patricia Zorko is plaatsvervangend Nationaal Coördinator Terrorismebeveiliging en Veiligheid. Zij vertelde dat de val van het kalifaat van IS nog niet betekent dat we weer rustig kunnen gaan slapen. “Jihadisten hebben een sterke motivatie en die kan nog sterker worden nu ze hun grondgebied zijn kwijtgeraakt. Wij verwachten dat er een hergroepering zal plaatsvinden en dat de strijd wordt voortgezet buiten het Midden-Oosten. Ook hier is de digitalisering van de samenleving van invloed. Naïviteit maakt burgers en bedrijven kwetsbaar. Voor de overheid betekent het dat sneller gereageerd moet worden op een crisis. Er is geen tijd meer om duiding te geven aan wat gebeurd is, want dan gaat het nieuws al een eigen leven leiden via de sociale media.” Zorko vertelde ook over de toenemende hybride conflictvoering. “Rusland valt Oekraïne aan met ransomware en in Rotterdam valt een containerterminal voor meerdere dagen stil. Dit is een van de drie belangrijkste dreigingen die wij zien naast aanslagen en radicalisering.” De uitdaging is het herkennen van hybride dreigingen. Wat is normaal internetverkeer en wanneer heb je gevaarlijke afwijkingen? Er zijn daarbij heel wat dilemma’s te overwinnen, zoals wel of geen meldplicht bij datalekken, privacy en de verplichting aan fabrikanten om producten in het ontwerp al veilig te maken voor online-gebruik. “Het zijn onderwerpen voor de bestuurskamers van bedrijven, maar ik weet niet of veiligheidsspecialisten in staat zijn het onderwerp op dat niveau voldoende onder de aandacht te brengen.” Op de vraag van Pieter-Christiaan van Oranje-Nassau of de NCTV de kennis van bedrijven gebruikt om tot beter beveiligingsbeleid te komen, antwoordde Zorko: “Zeker op digitaal gebied gebeurt dat, omdat de kennis daarover vooral van bedrijven afkomstig is. Maar op het gebied van fysieke beveiliging is nog wel een inhaalslag te maken.”

Moeilijk
Erik de Jong van het bekende cybersecuritybedrijf Fox-IT waarschuwde dat mensen risico’s onderschatten, terwijl zij hun eigen kunnen juist overschatten. “Ook MKB-bedrijven worden meer en meer het doelwit van bedrijfsspionage, terwijl deze geen geld hebben voor adequate beveiliging. Hetzelfde geldt voor politieke partijen. Het kan voor bepaalde landen erg interessant zijn die te hacken.” Volgens De Jong vindt spionage al op grote schaal plaats. “Mensen worden er ziek van als ze er achter komen. Het is net alsof je merkt dat je al jaren een indringer in je huis hebt, die overal bij kan. Bedrijven kennen het risico, maar beschikken niet over technologie om spionage te ontdekken. Dat is ook erg moeilijk, want er verandert niets aan de informatie die gestolen wordt.” Beveiliging tegen aanvallen is al net zo moeilijk. De Graaf: “De Amerikaanse NSA gebruikten jarenlang software waarmee je de controle over computers kunt overnemen, zonder dat de gebruiker daar iets voor hoeft te doen. Dat ging goed, totdat de software gestolen werd en openbaar werd gemaakt. Op deze technologie waren de recente ransomware-aanvallen gebaseerd. Microsoft heeft er nu een oplossing voor ontwikkeld, maar wie installeert die nu?” Een ander risico vormen Internet-of-Things-apparaten, zoals bewakingscamera’s. “Dat zijn kleine computers met vaak al sterk verouderde besturingssystemen, omdat dat goedkoper is. Updaten gebeurt niet en intussen gebruiken cybercriminelen ze om aanvallen op banken en overheidswebsites uit te voeren.” Niet alleen de mens, maar vaak ook de techniek vormt de zwakke schakel, aldus De Jong. “Slechts met een sterke combinatie van beide is het probleem aan te pakken.”

Politieke oplossingen
Als laatste sprak Kamerlid Kees Verhoeven van D66. Hij heeft onder andere cyber in portefeuille en was een van de initiatiefnemers van de omstreden cookiewet. “Door de digitalisering is het veel makkelijker geworden om aan informatie te komen en te communiceren. Handig, maar er kan ook misbruik van worden gemaakt. Veel ICT-problemen vragen daarom om een politieke oplossing, maar dan valt het verwijt dat de politiek er geen verstand van heeft en zich er daarom niet mee moet bemoeien. Daar ben ik het niet mee eens. Het is aan de politiek om kaders te stellen, zodat de samenleving op de juiste manier met de vernieuwingen kan omgaan. Soms met wetten, zoals de Algemene Verordening Persoonsgegevens, en soms met voorlichting, zoals met roken. Het is niet verboden om te roken, maar we hebben mensen wel bewust gemaakt van de risico’s. Dat willen we op cybergebied ook bereiken. We gaan dan wel verder, omdat onze hele maatschappij afhankelijk is van cyber. We kunnen niet accepteren dat vitale bedrijven hun beveiliging niet op orde hebben, waardoor Nederland na een cyberaanval zonder transport of zonder water komt te zitten. Maar bewustwording blijft het belangrijkste. Mensen moeten weten dat zij zelf 90 procent van alle ellende kunnen voorkomen. Bijvoorbeeld door niet onbeschermd een openbaar netwerk te gebruiken, sterke wachtwoorden te kiezen of een VPN te gebruiken.” Verhoeven pleit voor een Europees verbod op Internet-of-Things-producten die niet goed beveiligd zijn. Ook wil hij dat cybersecurity een vast onderdeel in het onderwijs wordt, zodat mensen van kinds af al de risico’s kennen. Verder benadrukte hij het belang van publiek-private samenwerking en riep hij bedrijven op om zich vaker te laten horen in Den Haag. “Je kan klagen over de politiek, maar als je ons niet vertelt wat er aan de hand is, kunnen wij er ook weinig aan doen!”

Nieuwe aandachtspunten
Tijdens workshops werd ingegaan op specifieke nieuwe aandachtspunten, zoals Internet-of-Things en Cybersecurity, Drones, Insider Threat en Travel Security. De inleiders vertelden over het onderwerp, waarna de deelnemers werd gevraagd mee te denken om zo tot nieuwe ideeën en inzichten te komen. Deze zullen op termijn worden verwerkt tot nieuwe richtlijnen voor de betreffende gebieden. Tijdens de workshop over Travel Security werd bijvoorbeeld het belang van bewustzijn naar voren gebracht. Volgens inleider Bart Brands is het vooral noodzakelijk dat risico’s tijdens het reizen als vanzelfsprekend worden beschouwd en dat men te allen tijde is voorbereid op de gevolgen. Voor drones zijn volgens inleider Dick Bouwhuis dringend nieuwe regels nodig, zodat de toestellen effectief ingezet kunnen worden voor beveiligingsdoeleinden. Hij pleitte voor professionalisering van certificering van piloten tot een niveau dat binnen de luchtvaart gebruikelijk is. Robert van der Haas, een van de inleiders van Insider Threat, stelde vast dat mensen in de organisatie de grootste dreiging vormen en dat daarom een door alle organisaties hanteerbare richtlijn voor screening noodzakelijk is. Screening van bestaande medewerkers blijkt daarbij minstens zo belangrijk als screening van sollicitanten. Erik Remmerzwaal vertelde ten aanzien van cybersecurity dat ook de beveiliging bij ketenpartners in orde behoort te zijn en dat een goed systeem van certificatie daarin de noodzakelijke transparantie kan bieden.

De Security Summit 2018 kon na afloop als een groot succes worden beschouwd. De komende tijd worden de gegenereerde ideeën en inzichten verder uitgewerkt, om uiteindelijk te resulteren in documenten die gaan bijdragen aan een Nederland dat ook in de toekomst veilig en veerkrachtig blijft.