Welke maatregelen kan Nederland ondernemen om zijn cybersecurity te optimaliseren en waar zitten de mogelijke

zwakke punten?

In dit hoofdstuk worden mogelijke maatregelen geanalyseerd betreffende de Nederlandse cybersecurity. Deze stappen worden uitgewerkt op basis van de eerder geanalyseerde bronnen en zijn interpretaties van deze informatie. De voorgestelde opties zijn de mogelijkheden die de Nederlandse overheid heeft – en andere landen evenzeer hebben – om de cybersecurity te optimaliseren. Er zitten serieuze lacunes in elk van de benoemde cyberstrategieën en deze moeten worden weggewerkt wil een land optimale veiligheid kunnen garanderen. Elk land pakt cybersecurity op zijn eigen manier aan en door verschillende strategieën naast elkaar te leggen worden de lacunes ontdekt en waar mogelijk weggewerkt. De opties die zullen worden behandeld zijn voortgekomen uit de gedachtegang van de auteur en zijn gebaseerd op de geanalyseerde bronnen en persoonlijke toekomstvisie. Tot dusver is gebleken dat de Verenigde Staten hun nationale veiligheid beschermen vooral door middel van The Comprehensive National Cybersecurity Initiative en de 12 initiatieven onder leiding van Homeland Security en de NSA. Hun internationale cyberveiligheid trachten de Verenigde Staten primair te beveiligen door te focussen op diplomatie. In het geval van Israël staat de National Information Security Authority aan het roer, samen met het National Cyber Bureau. Het grootste deel van Israëls capaciteiten is bovenal gericht op de nationale veiligheid, daar waar de Verenigde Staten het internationale dilemma van cybersecurity minder eenvoudig kunnen negeren. Nederland heeft de Nationale Cybersecurity Strategie in het leven geroepen om zijn cyberdomein te beveiligen. Daarnaast wordt het Cybersecuritybeeld uitgebracht, waarin ons land de ontwikkelingen en maatregelen bijhoudt voor hetzelfde doel als de NCSS.

Uit de vorige hoofdstukken is gebleken dat de drie landen de cybersecurity op een vergelijkbare manier aanpakken. Zo ligt de focus op de samenwerking tussen de overheid en het particuliere domein om de veiligheid te innoveren en optimaal te houden. Diplomatie en dus internationale coalities spelen een vitale rol. Ook beseffen alle drie de landen dat burgers voldoende cyberbesef moeten ontwikkelen. Dit probleem wordt in elk van de drie landen

gericht aangepakt. Toch zijn er ook punten waar er verschillen zitten tussen Nederland en de andere twee en dit brengt de nodige onderlinge problemen met zich mee.

Een belangrijk punt dat aangekaart moet worden betreft het cyberbudget van de landen ten opzichte van elkaar. Waar de Verenigde Staten in 2015 van plan zijn maar liefst 5,1 miljard dollar101 _{uit te geven aan cyberdefensie, spendeert Nederlandse ministerie van} Defensie ‘maar’ 11,1 miljoen euro, dat is 14,6 miljoen dollar, aan cybersecurity.102 _Precieze cijfers van Israël zijn er niet, maar een budget van 2,5 miljard Israëlische sjekel voor cyberdefensie is goedgekeurd voor 5 jaar en dit zou dus betekenen dat er 500 miljoen Israëlische sjekel per jaar beschikbaar is. Dit is ongeveer 130 miljoen dollar per jaar.103 _Daar staat vanzelfsprekend tegenover dat de landen nogal in grootte verschillen en alleen daarom al uiteenlopen qua budget. Zo tellen de Verenigde Staten ongeveer 314 miljoen inwoners, Nederland 16,8 miljoen inwoners en Israël ongeveer 7,8 miljoen inwoners. Wat gelijk naar voren komt is hoe hoog, relatief gezien, het budget van Israël is ten opzichte van de hoeveelheid burgers die beschermd moet worden.

Alle drie de landen vinden zichzelf voorlopers op het gebied van cybersecurity, maar hoe is dit mogelijk als er zulke grote verschillen zitten in het budget? Is Nederland dan ontzettend efficiënt met een dergelijk beperkt budget of spenderen de Verenigde Staten en Israël hun fondsen dan zo ruimhartig? Door middel van een simpele berekening kan uitgerekend worden hoeveel inwoners er beschermd worden per 1 miljoen dollar.

Verenigde Staten 313,9 / 5,100*= 61,549 inwoners per 1 miljoen dollar Nederland 16,77 / 14,6* = 1,148,630 inwoners per 1 miljoen dollar Israël 7,81 / 130* = 60,077 inwoners per 1 miljoen dollar *Getallen in miljoenen uitgedrukt

Andersom kan er ook uitgerekend worden hoeveel 1 miljoen inwoners dan ‘waard’ zijn qua cyberbescherming.

101 U.S. Department of Defense, Summary of the DOD fiscal 2015 budget proposal,

102 Tweede Kamer der Staten-Generaal, Vaststelling van de begrotingsstaten van het Ministerie van Defensie (X) voor het jaar 2013, p.103

Verenigde Staten 5,100 / 313.9 *= 16,247,212 dollar per 1 miljoen inwoners Nederland 14,6 / 16.77* = 870,602 dollar per 1 miljoen inwoners Israël 130 / 7.81* = 16,645,326 dollar per 1 miljoen inwoners *Getallen in miljoenen uitgedrukt

Een officiële waarde op een ‘cyberleven’ plakken is uiteraard onmogelijk en is ook niet het doel hier. Wat echter meteen opvalt, is dat Israël en de Verenigde Staten ontzettend veel dollars neerleggen om hun burgers te beschermen, al moet niet vergeten worden dat er omstandigheden zijn die moeten worden meegenomen. Zo is Israël al decennia in conflicten verwikkeld en lopen de burgers dag en nacht gevaar. Deze omstandigheden spelen in mindere mate een rol voor de Verenigde Staten, maar een mate van dreiging is altijd present. Een dergelijke dreiging speelt een nog kleinere rol in het geval van Nederland. Mede daarom ligt het bedrag per 1 miljoen inwoners een stuk lager voor Nederland in vergelijking met Israël en de Verenigde Staten.

Tegelijkertijd liggen de aantallen burgers die beschermd worden met 1 miljoen dollar dicht bij elkaar in het geval van de Verenigde Staten en Israël. Het verschil tussen de 61,549 inwoners van de Verenigde Staten, de 60,077 van Israël en de 1,14 burgers-per-miljoen dollar van Nederland roept dan wederom de vraag op: is Nederland zo efficiënt of hebben de Verenigde Staten en Israël een gat in hun hand? Die vraag kan op twee manieren beantwoord worden. De eerste manier is bevestigd: het antwoord is dan inderdaad dat het geld efficiënt besteed wordt. Nederlanders worden vaak ‘spaarzaam’ genoemd maar als het erop aankomt betekend dit vaak dat men het geld wel degelijk efficiënt spendeert. Ook het feit dat de getallen voor Nederland die in beide berekeningswijzen naar voren zijn gekomen veel meer gebalanceerd zijn dan die van de andere twee toont aan dat Nederland het budget goed spendeert. Wel moet de dreiging die Israël en de Verenigde Staten in het achterhoofd meegenomen worden, aangezien Nederland het alleen op deze manier red door de mindere mate van dreiging die het land tegemoet ziet. Het tweede antwoord op de vraag is dat de Verenigde Staten en Israël ruimhartig spenderen, maar op de lange termijn worden wel alle mogelijke opties onderzocht en aangepakt. Nederland mag zich voorlopig bij de leidinggevende cyberlanden voegen, maar naarmate de jaren vorderen zal het met dit

beperkte budget niet alle opties tijdig kunnen aanpakken. Daardoor zal het uiteindelijk achter gaan lopen, mits het budget verhoogd wordt.

De volgende vraag die dan naar voren komt is of de rol die Nederland zichzelf toedicht als voorloper wel klopt. Het antwoord hierop is dat de claim op deze rol – in elk geval voor dit moment – gefundeerd is. Waarom anders zou Singapore een samenwerkingsverband aangaan met Nederland om zijn kennisinfrastructuur en expertise te verhogen terwijl er meerdere landen op de markt zijn. Singapore is een kleine, moderne en zich snel ontwikkelende speler. Uit een studie van de Virginia Economic Development Partnership “prepared under contract with the Commonwealth of Virginia, with financial

support from the Office of Economic Adjustment, Department of Defense”104 _{is gebleken dat} Singapore in de top 5 van landen staat opkomende markten op cyber gebied. In plaats van het kiezen voor de Verenigde Staten, die al exporteren naar Azië, of Israël, kiest Singapore voor Nederland. Niet alleen toont dit aan dat Nederland de goede richting op gaat, ook toont het aan dat de Nederlandse ontwikkeling erkend wordt. Het land ervaart met Nederland als voorbeeld hoe een klein land zich naar de voorgrond kan manoeuvreren. Dit is maar één van de vele voorbeelden van de Nederlandse activiteiten op internationaal gebied; andere zijn bijvoorbeeld de samenwerking in R&D tussen Nederland en de Verenigde Staten, de multi- stakeholderbenadering Freedom Online Coalition105 _{(een door Nederland geïnitieerde lobby} bestaande uit ondertussen 21 landen), de Nederlandse uitbreiding op de Belgische cyber- markt106 _{en “in internationaal verband werkt Defensie onder andere samen binnen de}

NAVO.”107

De Nederlandse handelsgeest zou wel eens een zwak punt kunnen blijken als de expertise en kennis in de verkeerde handen valt. De Rijksdienst voor Ondernemend Nederland is, als gezegd, op 26 mei 2014 een samenwerkingsverband aangegaan met de Singaporese overheid en het bedrijfsleven. Hier vervult de Rijksdienst de taak van ondersteuning bij de ontwikkeling en uitvoering van conceptoplossingen in de security- industrie. Vanuit Nederlands perspectief een deal die ongetwijfeld samenvalt met de handelsaard van de Nederlander, hoewel dit tot problemen met de eigen veiligheid kan

104 Virginia Economic Development Partnership, Cyber Security Export Markets, p. 8 105 Nationale Cybersecurity Strategie, p. 18

106 Dutch IT Channel, Nederlandse ambassade helpt bedrijven naar België uit te breiden 107 33321 Defensie Cyber Strategie, Nr. 2 Brief van de minister van defensie

leiden omdat dit project in samenwerking met de Nederlandse overheid wordt uitgevoerd. Dit betekent dat informatie over het eigen beleid en concrete maatregelen gedeeld en wellicht gestolen en/of misbruikt kan worden. Daarnaast worden er concepten en oplossingen op basis van de Nederlandse systematiek ontwikkeld en dit geeft inzicht in de manier waarop Nederland zijn beveiliging regelt. De participerende bedrijven zijn Fox-IT, Palantir, InfoSecure, Coblue en de TU Delft en deze worden de South East Asian Cyber Resilience genoemd.108 _{Deze vijf zijn belangrijk in de ontwikkeling van de Nederlandse} cybersecurity en bedrijfsspionage kan desastreuze gevolgen hebben. Nederland kan in dit geval twee dingen doen: zo kan het de bedrijven onder toezicht houden en zichzelf op de hoogte stellen van elk stuk informatie dat de bedrijven aan Singapore verstrekken. Op deze manier weet de overheid welke informatie gedeeld wordt, wat er wel en niet gemeld mag worden en kan het een vinger in de pap houden. In het beste geval leidt dit tot vooruitgang voor alle partijen, zo leren Nederland en Singapore van de nieuwe ontwikkelingen terwijl er door Nederland geen gevoelige informatie gedeeld wordt.

De andere aanpak die Nederland als keuze heeft is zich afzijdig te houden en de bedrijven puur als consultancypartners het werk te laten doen. Op deze manier is de kans ook klein dat er gevoelige vragen aan de Nederlandse overheid gesteld worden en hoeft ze geen informatie te delen. In een dergelijk geval staat alleen de cybersecurity van het bedrijfsleven op het spel, maar aangezien Nederland de expertise heeft om de internationale markt te bestrijken kan er vanuit worden gegaan dat de kans klein is dat informatie ongewenst gedeeld gaat worden. De Amerikaanse overheid en het bedrijfsleven van Israël doen beide ook aan het delen van kennis en expertise met anderen; zo vliegen veel vliegmaatschappijen op softwareprogramma’s afkomstig uit de Israëlische cybersecurity- ontwikkeling109 _{en helpt de Amerikaanse overheid bedrijven door “een algemene taal om}

cyber security te bespreken”110 _{te leveren en mede hierdoor de basis voor een cybersecurity-} kader te leggen. Als de Nederlandse overheid dus inderdaad wil zorgen dat er geen gevoelige informatie gedeeld wordt kan het de Amerikaanse overheid en het bedrijfsleven in Israël als voorbeeld nemen.

108 Rijksdienst voor Ondernemend Nederland, Nederlandse cyber security gaat naar Singapore

109 State of Israel Ministry of Economy, Internationale bedrijven vliegen op Israëlisch cyber security, 2014 110 Infosecurity, Amerikaanse overheid helpt bedrijven hun security te verbeteren met raamwerk, 17 februari 2014

Uit deze analyse kan geconcludeerd worden dat de Nederlandse ‘soft power’111 _op het gebied van cybersecurity geloofwaardig is, maar dit betekend niet dat ons land dit altijd zal kunnen toepassen. Daarom moet Nederland de ontwikkeling van ‘hard power’ blijven voorzetten. Dit betekent op dit gebied bijvoorbeeld de eerdere oprichting van de Joint Sigint Cyber Unit van de AIVD en de MIVD en het Defensie Cyber Commando van Defensie. Een land kan dan wel qua hardware en kennis zijn verdediging op orde hebben en de capaciteiten hebben om terug te kunnen slaan, als er geen overkoepelend orgaan is dat alle middelen kan coördineren zal er weinig tot stand komen. Een geschikt orgaan voor bundeling van informatie is in mei 2014 opgezet in de vorm van het Defensie Cyber Expertise Centrum. Hier worden alle voor Defensie en het bedrijfsleven relevante aspecten bij elkaar gebracht en verder ontwikkeld. Dit kan dan weer worden toegepast door het Defensie Cyber Commando om zijn offensieve mogelijkheden verder te ontwikkelen. Net als in de Koude Oorlog geeft het hebben van de capaciteiten om terug te slaan meer zekerheid dan het daadwerkelijk gebruiken van deze wapens. In andere woorden, als Nederland zorgt dat het de ‘hard power’ heeft om de ‘soft power’ te kunnen benutten is het land een stap dichterbij een betere cybersecurity.

Dit is hetzelfde idee dat Israël hanteert, al neigt het land doorgaans toch naar het daadwerkelijk toepassen van ‘hard power’. Om het optimale resultaat te bereiken moet er zowel ‘hard power‘ als ‘soft power’ aanwezig zijn. Nederland moet dus naar Amerikaans model handelen, zo moet het de technologische capaciteiten dusdanig bevorderen dat het zowel ‘soft power‘ als ‘hard power’ kan hanteren. Hier kan de defensieve cybertak van profiteren en kan er meer focus uitgaan naar de offensieve potentie. Dit leidt dan tot het derde punt waar Nederland ondertussen mee begonnen is en dat is het delen van kennis en expertise op de internationale markt en dus ook met andere staten. Deze investeringen leiden mogelijk op langere termijn tot een verhoogde staat van veiligheid, ook al impliceert de openstelling voor internationale samenwerking altijd de mogelijkheid van een verhoogde cyberdreiging

Naast de oprichting van organen zoals de Joint Sigint Cyber Unit en het Defensie Cyber Commando voor het toepassen van offensieve capaciteiten, bestaat de noodzaak van uitbreiding van de defensieve organen. Er kan namelijk alleen op het offensief worden

overgegaan als Nederland het defensieve aspect op orde heeft. Twee belangrijke actoren hier zijn het Defensie Computer Emergency Response Team (DCERT) en het Nationaal Response Netwerk (NRN). Het DCERT van Defensie heeft de volgende drie taken: ”[C]yberdreigingen op tijd zien; onderzoeken hoe groot de dreiging is; zorgen dat de dreiging

vermindert of verdwijnt.” Het NRN bundelt kennis en capaciteiten van publiek en private

partners en richt zich op de veiligheid van deze partners.112 _{Een eerste verbetering die} noodzakelijk is ligt in de samenwerking tussen beide partijen. Zo werken ze samen met het NCSC, dat als “coalitievormer en facilitator van de samenwerking tussen de verschillende

organisaties in het netwerk” werkt.113 _{Maar er is geen direct contact tussen de twee, althans:} niet bij acute voorvallen. In het geval van het delen van expertise en kennis spreekt deze samenwerking voor zich, maar zodra er zich een voorval voordoet is deze link er één te ver. Door middel van een directe link kunnen het DCERT en het NRN sneller handelen en wordt dus het handelingstempo geoptimaliseerd. Een tweede verbetering is dat dergelijke organen samenwerken met gelijkwaardige instituten van andere landen. Door samen te werken met andere specialisten op het gebied van zowel offensieve als defensieve mogelijkheden kunnen beide partijen van elkaar leren. Een laatste verbetering is dat er een hoger budget beschikbaar wordt gesteld voor onderzoek naar capaciteiten, wederom op zowel defensief als offensief niveau. Nederland mag dan wel efficiënt omgaan met zijn budget en terecht melden dat het een voorloper is, om deze ranking te behouden zal er meer geld nodig zijn. Met minder dan 1% van het Amerikaanse cyberbudget zal het moeilijk zijn het tempo van de andere voorlopers bij te houden. Een budget in de orde van grootte van het Amerikaanse (ruim 81 miljard) is voor Nederland uiteraard volslagen ondenkbaar. Het de taak van Nederland om de gezonde balans te vinden tussen het stijgende cyberbudget en efficiency.

Een ander probleem dat aangepakt moet worden door Nederland betreft de verhoging van de cyberbewustwording onder de burgers. Eerder is al aangegeven dat uit statistieken is gebleken dat 94% van de Nederlanders op de hoogte is van cybercriminaliteit en -dreigingen. Dit is uitzonderlijk hoog en een goed begin, maar betekent uiteraard niet dat diezelfde 94% zich daadwerkelijk heeft ingedekt tegen deze gevaren. Dit is een punt waar Nederland verder maatregelen tegen moet nemen, aangezien – als gezegd- veel cyberaanvallen via het Nederlandse netwerk lopen. Zolang een aanval via de computer van

112 Defensie, Defensie Computer Emergency Response Team, 2014

de burger gepleegd kan worden zal zowel de internationale als de nationale cyberveiligheid constant onder spanning staan. Ook al kan volledige veiligheid nooit gegarandeerd worden, het getal dichter bij de 100% brengen is een verdedigbaar streven. Daarnaast is het ook een taak van de Nederlandse overheid om dit veiligheidsbesef aan de orde te brengen in andere landen. Een taak waar Nederland sowieso aan bijdraagt zolang het meedoet aan projecten van de ENISA. “ENISA heeft taken op het gebied van bewustwording, opleiding, bijstand en

advies voor lidstaten.”114 _{Op deze manier wordt teruggevallen op het eerdere punt dat er} geïnvesteerd moet worden in andere landen. Zolang er door middel van een proxy voor gezorgd kan worden dat de aanvaller anoniem blijft bestaat de taak om de veiligheid te verbeteren. Zodra het besef verhoogd is en geleid heeft tot een hoge mate van veiligheid is de mogelijkheid van een proxy-aanval nihil en wordt het anonieme aspect verwijderd. Dit betekent dat het minder aantrekkelijk wordt om dergelijke aanvallen te plegen omdat ze getraceerd kunnen worden naar het land van herkomst en wellicht de specifieke dader. Wederom moet hier gemeld worden dat het onmogelijk is om een waterdichte veiligheid te garanderen, maar deze stap is het begin van een kettingreactie. Zo rekt het de tijd om met een defensiemechanisme te komen dat de daadwerkelijke dader kan traceren, ook al wordt er een proxy gebruikt. Dit op zijn beurt verlaagt de hoeveelheid aanvallen om dezelfde reden als eerder genoemd, namelijk dat de plaats van afkomst bekend wordt en een dergelijke aanval kan dan geïdentificeerd worden als een concrete daad van agressie. De enige optie die dan nog overblijft voor de aanvaller, is het inhuren van hackers om aanvallen uit te voeren zonder dat de opdrachtgever er direct bij betrokken is. In dit geval zijn de defensieve capaciteiten groot genoeg om deze af te stoppen en aan te pakken, wat wederom de aantrekkelijkheid verlaagt. Deze kettingreactie kan het begin zijn van een verlaging van bijvoorbeeld digitale spionage door andere staten.

Digitale spionage is namelijk één van de grootste dreigingen waar een staat mee te maken heeft. Uiteraard gaat dit ook op voor het bedrijfsleven, maar zolang de hardware hierbij niet wordt misbruikt staat de nationale veiligheid niet op het spel. Wederom is het sleutelwoord hier: samenwerkingsverbanden. De kettingreactie, als beschreven hierboven, zal alleen plaatsvinden als er soepel werkende coalities zijn tussen zowel burger-staat, bedrijfsleven-staat als staat-staat. Zolang er geen transparantie is tussen de burger en de

staat zal de burger geen actie ondernemen om zich te beveiligen. Ook betekent het gebrek