Nieuw elan in digitalisering

Politieke partijen (met D66 als uitzondering) hadden tot voor kort weinig aandacht voor digitalisering en de gevolgen daarvan voor samenleving en economie. Dat zag je dan ook terug in de bescheiden aandacht voor digitalisering in de kabinetsplannen. Het regeerakkoord van Rutte3 kwam niet verder dan het voornemen een ‘ambitieuze, brede agenda voor de verdere digitalisering van het openbaar bestuur op verschillende niveaus’ te ontwikkelen. Het huidige coalitieakkoord vormt daarmee een tredbreuk: geen visies en plannen meer, maar concrete ambities.

De paragraaf digitalisering van het akkoord opent met  een passage over de huidige digitale revolutie die geweldige kansen biedt voor samenleving en economie: ‘die kansen gaan we benutten met uitstekende digitale vaardigheden, een sterke Europese digitale markt, hoogstaande digitale infrastructuur en ambitieuze samenwerking in technologische innovatie. Tegelijkertijd zorgt digitalisering voor een digitale kloof en groeiende ongelijkheid in onze samenleving. Ook onze veiligheid, rechtsstaat, democratie, mensen- en grondrechten en concurrentievermogen staan onder druk. Dat vraagt om solide spelregels, toezicht en strategische autonomie.’ De beleidsvoornemens geven blijk van evenwicht tussen benutten van de kansen en wapenen tegen de bedreigingen van digitalisering.

Nieuwe digitale technologieën zoals 5G, kunstmatige intelligentie en robotisering zorgen voor snelle veranderingen in de wereld om ons heen. Door digitalisering en samenwerking tussen overheid, wetenschap en private partijen kunnen we zaken anders organiseren en nieuwe diensten in het leven roepen. Daardoor kan economische groei worden versneld en onze samenleving gezonder, slimmer, veiliger en duurzamer worden gemaakt. De mogelijkheden zijn legio, bijvoorbeeld aan toepassingen in de gezondheidszorg en mobiliteit.

Tegenover kansen van de digitale revolutie staan ook bedreigingen. Europa wordt in toenemende mate overspoeld met ransomware, desinformatie en diefstal van intellectueel eigendom vanuit China en Rusland. De omvang van cybercriminaliteit lijkt jaarlijks te verdubbelen, waarbij Nederland verhoudingsgewijs vaker wordt getroffen door ransomware dan andere landen. Daarbij komt dat cybercriminelen veel gebruik van onze infrastructuur, omdat die van hoge kwaliteit is. De Onderzoeksraad voor Veiligheid adviseerde recent een fundamenteel andere aanpak om te voorkomen dat de maatschappij ontwricht raakt door cyberaanvallen. De coalitie kiest daarom voor een gecentraliseerde aanpak waarbij gecoördineerd en structureel wordt samengewerkt en investeert in een brede meerjarige cybersecurity aanpak en in cyberexpertise bij de Politie, Rechtspraak, Openbaar Ministerie en Defensie.

De digitaliseringsparagraaf suggereert een gecoördineerde aanpak op het gebied van digitalisering. Dat wordt nog een hele opgave, want het beleidsterrein is verdeeld over meerdere ministeries. Zo gaat Binnenlandse Zaken over het bevorderen van digitalisering op Rijksniveau, cybersecurity valt onder Justitie en Veiligheid, Economische Zaken gaat over digitale mededinging en de inlichtingendiensten vallen onder Binnenlandse Zaken en Defensie. Dat roept de vraag op met welk mandaat een nieuw bewindspersoon inhoud gaat geven aan de digitaliseringsambities van het nieuwe kabinet. Bovenal ben ik nieuwsgiering wie de coalitie daarvoor naar voren schuift. Wordt het weer een politicus uit de Haagse kringen die zich bezig gaat houden met de Rijks-ICT? Of krijgen we deze keer een cyberexpert als nieuwe Staatssecretaris, die nieuw elan toevoegt door de uitdagingen in Europees verband aan te gaan?

Gehackt

Het is oorlog maar niemand die het ziet. Dat is de titel van het boek van onderzoeksjournalist Huib Modderkolk over de schaduwkanten van het internet en voortschrijdende digitalisering. Het boek geeft een inkijk in operaties van veiligheidsdiensten, die veelal via digitale kwetsbaarheden infiltreren in netwerken van overheden en bedrijven. De verhalen zijn spannend en toegankelijk beschreven. Vertellingen over hackers en cybercriminelen geven internetcriminaliteit een gezicht.

Ik werd geraakt door het verhaal van hacker Edwin Robbe uit Rotterdam. Als zeventienjarige lukt het Edwin om diep door te dringen in het netwerk van KPN. Hij pronkt daarmee in hackerskringen en loopt uiteindelijk tegen de lamp. De politie komt hem op het spoor en betrapt Edwin op heterdaad achter zijn computer. De ouders zijn tot dan toe nog onwetend van de werkelijke computeractiviteiten van hun zoon en worden volledig verrast door zijn arrestatie in hun huis. ‘Waar de computer voor zijn ouders puur een gebruiksartikel is, is het voor Edwin de toegangspoort naar avontuur, begrip en vooral erkenning’, schrijft Modderkolk. Voor ouders van computerverslaafde jeugd is het verhaal van de jonge hacker een waarschuwing.

Edwin Robbe had geen kwade bedoelingen en betaalde toch een hoge prijs voor zijn avontuur in de digitale wereld. Echte cybercriminelen opereren vanuit het buitenland en zijn ongrijpbaar. Afgelopen jaar wisten ze toe te slaan bij een toenemend aantal bedrijven en overheidsinstellingen. Door het massale thuiswerken verschoof de aandacht van cybercriminelen naar thuiswerkomgevingen. Via phishingmails of door gebruik te maken van kwetsbaarheden in de IT-systemen proberen ze de inloggegevens van medewerkers te stelen om zichzelf toegang tot het bedrijfsnetwerk te verschaffen. Daarna zetten ze gijzelsoftware in die bestanden en systemen versleutelt en beloven deze vrij te geven als het slachtoffer een bedrag overmaakt.

Organisaties moeten hun medewerkers digitaal weerbaar maken. Door het testen van klikgedrag en training worden medewerkers geleerd de gevaren via mail en sociale media te herkennen. Regelmatig ontvang ik gesimuleerde phishingmail in mijn mailbox. Die moet ik vervolgens rapporteren als phishingmail, waarna ik een berichtje ontvang met een bedankje voor mijn alertheid. Meestal zie je alleen aan het emailadres al dat het bericht niet deugt, maar toch ging ik laatst in de fout. Ik wilde me aanmelden voor een Zoom-vergadering. Normaal ontvang ik direct daarna een bevestiging per mail dat ik ben toegelaten. Dit keer lukt het aanmelden niet, maar ik ontving wel een mail met de ‘correcte’ link. Ik klikte daarop en bleek gezakt voor de phishingtest. Binnen een week moest ik een training inhalen over spearphishing. Dit is een aanval gericht op een persoon, waarbij gebruik wordt gemaakt van gerichte en persoonlijke informatie. Spearphishing is veel effectiever is dan een grootschalige phishingaanval. Naar schatting openen slachtoffers 30 procent van de spearphishingmails, vergeleken met minder dan 3 procent van de gebruikelijke phishingmails.

Cybercriminelen gaan steeds gerichter te werk. Zij onderzoeken hun doelwit en sturen dan bijvoorbeeld namens een collega een mail met een kwaadaardige link of bestand. In toenemende mate worden we niet direct door cybercriminelen geraakt, maar via onze leveranciers. Afgelopen zomer ging de Garmin-dienst Connect meerdere dagen offline, als gevolg van serveronderhoud volgens de sporthorlogemaker. Later werd bekend dat het bedrijf was getroffen door een digitale gijzeling en 10 miljoen dollar had betaald om de gijzeling te beëindigen. Het is niet duidelijk of cybercriminelen daarbij ook gebruikersgegevens hebben gestolen. Via website haveibeenpwned kun je eenvoudig controleren of jouw gegevens zijn gelekt. Het gaat daarbij bijvoorbeeld om datalekken bij Adobe (153 miljoen accountgegevens) in oktober 2013, LinkedIn (164 miljoen e-mailadressen en wachtwoorden) in mei 2016 en MyFitnessPal (144 miljoen e-mailadressen en wachtwoorden) in februari 2018. Het is dus essentieel om voor iedere onlinedienst een uniek en sterk wachtwoord te gebruiken.

‘In 2018 werden volgens beveiligingsbedrijf Symantec 3,3 miljoen Nederlanders slachtoffer van cybercriminaliteit. De zwakke plekken waar criminelen toeslaan, ontstaan vaak door gemakzucht.’ concludeert Modderkolk in zijn boek.

Apocalyps of ondergang van internet

Hackers, die het netwerk van de Amerikaanse overheidsdiensten wisten te kraken, blijken de gegevens van minstens 21,5 miljoen mensen te hebben gestolen. In Duitsland moeten mogelijk 20.000 computers worden vervangen na een cyberaanval op het Duitse parlement. Afgelopen maanden werden ook Sony en het Franse tv-station TV5 geteisterd door cyberaanvallen. Deze maand werd Hacking Team, een Italiaans bedrijf dat hack-software ontwikkelt voor onder meer overheden, zelf gehackt. Het hacken van complete bedrijfsnetwerken is kinderspel en de pakkans is minder dan 0,001 procent. Dit brengt bij mij een visioen naar boven van het doemscenario, waarvan ik hoop dat het nooit werkelijkheid zal worden.

Triomfantelijk macht
Wij genieten van onze vrijheid, de grootst mogelijke vrijheid. Er zijn geen grenzen meer. Het internet maakt het mogelijk dat wij op ieder moment, vanaf iedere plek, met ieder communicatiemiddel direct kunnen communiceren. Wij kunnen videoverbindingen leggen met mensen over de hele wereld en met elkaar spreken alsof we bij elkaar in de huiskamer zitten. Bedrijven en overheden verplaatsen hun rekencentra naar de Cloud. Daardoor kunnen zij flexibel inspelen op een veranderende behoefte en kosten verlagen. Dingen en installaties worden automatisch herkend en aangestuurd via het web. Technologie zorgt voor innovatie.

Aardse kracht
Met de groei van het internet neemt ook de kwetsbaarheid van het web toe. Er ontstaan spanningen over het beheer van de Cloud. Bedrijven leiden schade door storingen en onrechtmatig gebruik van data. Overheden maken onderling afspraken en proberen de gaten te dichten in hun regelgeving. Criminelen hebben vrij spel op het internet. Zij leggen vitale netwerken plat en verschaffen zich toegang tot vitale bedrijfsgegevens. Bedrijven en overheden worden daarmee onder druk gezet. Bankrekeningen van particulieren worden geplunderd. Opsporingsdiensten speuren op het web naar de daders. Deze slaan terug met aanvallen op banken en overheid. Het is oorlog op het internet. De daders zijn moeilijk te traceren. Iedere poging tot opsporing en verdediging lokt weer een nieuwe onverwachte aanval uit.

Armoede
Overheid en bedrijven verscherpen de verdedigingslinies tegen de cyberaanvallen. Het aantal aanvallen op het web stijgt dramatisch. Banken kunnen gedupeerde rekeninghouders niet meer vergoeden. Bedrijven die zich niet kunnen wapenen gaan failliet. De pakkans voor criminele groeperingen daalt. De sterkste bedrijven profiteren van het omvallen van hun concurrenten en gaan een verbond aan met criminele groeperingen. De werkeloosheid stijgt sterk. En de beurzen kelderen.

Slachtoffers
De overheid staat machteloos. Het bevolkingsregister wordt gestolen. De identiteit van burgers ligt op straat. Criminelen voeren hun aanvallen uit in naam van onschuldige burgers. Energiecentrales worden aangevallen. Er wordt ingebroken in besturingssystemen van de waterkeringen. De infrastructuur raakt ontwricht. Een deel van het land loopt onder water. Mensen komen om van de kou en verdrinken.

Gerechtigheid
De samenleving keert zich af van de technologische vooruitgang. In ogen van velen heeft deze alleen maar tegenspoed, dood en verderf gebracht. Het verzet groeit tegen het alsmaar groter en almachtiger internet. Sommige bedrijven en burgers keren zich helemaal af van internet. Actiegroepen roepen op het web te ontmantelen en de mensen te beschermen tegen de gevaren ervan.

Aardbeving
Het internet is lange tijd met veel inspanning in de lucht gehouden. Met het opraken van de IPv4 adressen is het web met technische lapmiddelen overeind gehouden. Door een aardbeving in de Middellandse Zee breekt een vitale internetkabel. De één na de andere internetvoorziening valt uit. Als een kaartenhuis stort het wereldwijde web in elkaar. Voor de tweede keer spat de internetzeepbel uiteen. Deze keer is het definitief.

Stilte
Het alomvattende internet wordt niet opnieuw opgebouwd. De budgetten daarvoor zijn niet beschikbaar en het draagvlak ontbreekt. Bedrijven zien het internet ook niet langer als een volwaardig bedrijfsnetwerk. Er worden nog wel specifieke private netwerken opgebouwd. Maar de vrijheid van een wereldwijd omvattend netwerk is definitief voorbij.

Deltaplan digitale veiligheid

In de nacht van 1 februari 1953 beukt een harde noordwesterstorm op de Nederlandse kust. De dijken breken door en groot deel van Zeeland, West Brabant en de Zuid Hollandse eilanden overstroomt. De storm kost 1.800 mensen het leven en duizenden mensen verliezen huis en bezittingen. De dijken in het deltagebied zijn te laag en te zwak om een watersnoodramp te voorkomen. De ramp is het startsein voor de Deltawerken, een ambitieus plan om de kustlijn met 700 kilometer te verkorten. Meer dan 4,5 miljard euro wordt geïnvesteerd om een bijna volmaakte graad van fysieke veiligheid voor Nederland te bereiken.

Het is 9 november 2032. Verschillende rampen voltrekken zich over de hele wereld. Het computersysteem van de luchtverkeersleiding van het John F. Kennedy vliegveld in New York valt uit. Het luchtverkeer is direct een chaos en er zijn verschillende ongelukken met honderden slachtoffers. In Rusland kan het controlecentrum van staatsbedrijf Gazprom de afsluiters niet meer bedienen. Miljoenen kubieke meters gas ontsnapt en er ontstaan ontploffingen met duizenden slachtoffers. Op het internet worden miljoenen biometrische gegevens verspreid van Europese burgers. Medische- en bankgegevens zijn nu vrij toegankelijk voor iedereen. Overheden staan met de handen in het haar en vermoeden aanslagen van cybercriminelen. Dat doemscenario is minder onwaarschijnlijk dan het misschien lijkt. In 2001 lukte het hackers al om het controlecentrum van Gazprom binnen te dringen en naar believen pompen en afsluiters te bedienen. Via internet drongen hackers binnen bij afstandsbedieningen van stuwdammen en sluizen.

Een beveiligingsbedrijf raamt de jaarlijkse economische schade ten gevolge van cybercriminaliteit voor Nederland op 8,8 miljard euro. Die schade neemt ieder jaar verder toe. De investeringen in beveiliging groeien veel minder snel. Databestanden zijn kwetsbaar voor diefstal en vernietiging van data. Onze vitale netwerken, zoals de infrastructuur voor energie, transport en water staan bloot aan techno-aanvallen. Die kwetsbaarheid wordt vergroot door de toenemende afhankelijkheid van de netwerken onderling en ontsluiting via het internet.

Bedrijven en overheden zullen komende jaren fors moeten investeren om hun digitale kwetsbaarheid te beperken. De nadruk moet daarbij liggen op preventieve maatregelen. De handhaving is namelijk niet eenvoudig, omdat de aanvallen anoniem zijn en vanuit landen komen die wij moeilijk kunnen aanpakken. Het is zaak tijdig te investeren in digitale veiligheid en het niet te laten aankomen op rampen zoals in 1953. Zandzakken gaan ons niet helpen bij het beschermen van onze vitale infrastructuur en het voorkomen van diefstal van data. Het wordt tijd voor een grensoverschrijdend deltaplan voor het waarborgen van onze digitale veiligheid.