Cybersecurity in Nederland; hoe kan Nederland, met zijn unieke internationale positie, zich voorbereiden op en verdedigen tegen toekomstige cyberdreigingen?

Cybersecurity in Nederland

Hoe kan Nederland, met zijn unieke internationale positie, zich voorbereiden op

en verdedigen tegen toekomstige cyberdreigingen?

Dion Alexander Verspoor

31 december 2014

Een onderzoek naar de stand van zaken in het Nederlandse cyberdomein en de mogelijkheden voor een aangescherpte cybersecurity.

Naam Student: Dion Verspoor

Studentnummer: 10650660

Studie deel: Masterscriptie Geschiedenis

Opleiding: Master Militaire Geschiedenis (voltijd) Faculteit: Faculteit der Geesteswetenschappen Onderwijsinstelling: Universiteit van Amsterdam

Studiejaar: 2013/2014

Plaats en datum: Amsterdam, 24 november 2014

Begeleider: Dhr. Dr. C.P.M. Klep

Tweede lezer: Dhr. Prof. Dr. Wim Klinkert

De foto op de voorpagina is afkomstig van de website press.studio17.com Het auteursrecht behoort aan de gebruiker ‘Matthew May’

In deze masterthesis wordt onderzocht hoe de Nederlandse overheid zich kan voorbereiden op en verdedigen tegen cyberdreigingen. Dit wordt gedaan door middel van het analyseren van maatregelen van andere prominente actoren in het internationale cyberdomein en deze vervolgens naast die van Nederland te leggen. De belangrijkste bevinding luidt dat samenwerkingsverbanden de veiligheid het beste kunnen garanderen, ter voorbereiding op cyberdreigingen, en dat verdere investeringen in cyberopleidingen en -organen het effectiefst zijn voor een werkbare verdedigingsstrategie.

Om de hoofdvraag te beantwoorden zijn eerst de zeven belangrijkste spelers in het cyberdomein kort besproken. Uit deze analyse bleek dat de Verenigde Staten en Israël het dichtst bij de Nederlandse cybersituatie kwamen en vervolgens is er dieper ingegaan op deze twee. Hierna volgde een bespreking van de Nederlandse cyberstrategie, -ambities en -maatregelen. Uiteindelijk zijn de drie landen naast elkaar gelegd en worden mogelijke maatregelen en stappen besproken die Nederland zou kunnen nemen. Ter contextualisering worden bepaalde stappen die al gezet zijn ook behandeld en wordt uitgelegd waarom deze zowel een positieve als negatieve impact kunnen hebben op de Nederlandse cyberveiligheid.

Inhoudsopgave

Voorwoord 5 1. Introductie 6

2. Welke staten zijn de belangrijkste actoren in de cyberwereld en aan welke kant van het spectrum staan ze ten opzichte van Nederland? 9

a. De Verenigde Staten 9 b. Israël 11 c. Zuid-Korea en Noord-Korea 12 d. Rusland 13 e. China 15 f. Nederland 16

3. Wat doen de Verenigde Staten en Israël tegen de cyberdreigingen? 19 a. De Verenigde Staten 19

i. De 12 binnenlandse initiatieven 20 ii. De internationale strategie 24

b. Israël 26

i. National Information Security Authority 26 ii. National Cyber Bureau 27

4. Wat doet Nederland tegen de cyberdreigingen? 31 a. De Nationale Cybersecurity Strategie 2 32 b. Cybersecuritybeeld Nederland 3 35

5. Welke maatregelen kan Nederland ondernemen om zijn cybersecurity te optimaliseren en waar zitten de mogelijke zwakke punten? 43 6. Conclusie 55

Voorwoord

In de huidige samenleving kan ik de rol van het cyberdomein niet meer wegdenken. De online-wereld is de steunpilaar geworden voor zo ongeveer alles, van de economie tot het elektriciteitsnet, alles loopt via het internet. Van cyberoorlog verwacht ik dan ook dat het zowel de toekomst van oorlogsvoering wordt, als één van de grootste dreigingen voor de Westerse wereld. Dit is een reële dreiging aangezien niet alleen de overheid, maar ook de burger en het privédomein gemakkelijke doelwitten zijn. Het regelen van bankzaken tot formulieren invullen voor de belastingdienst, bedenk het maar en je zult zien dat in Nederland de burger dit online doet. Er wordt flink geïnvesteerd in ons land door onder andere de Verenigde Staten, wat de positie van Nederland belangrijker maakt. Een land dat zijn economie voornamelijk draaiende houdt door services te verlenen moet volgens mijn redenering dan ook een verdediging hebben die gelijkwaardig is aan de spreekwoordelijke Chinese Muur.

Een interessant punt dat ik opmerkte bij het bestuderen van de bronnen was in hoeverre elk land in zijn zelfbeeld voorloopt op de rest van de wereld. Alles is rozengeur en maneschijn in de bronnen en de doelstellingen of ambities die een land formuleert maken het ‘verkooppraatje’ alleen maar beter. Ik snap uiteraard dat een land zich goed moet presenteren om investeringen binnen te halen, het vertrouwen te behouden van het publiek of om tegenstanders af te schrikken, maar deze public relations-achtige aanpak moet vaak met een korreltje zout genomen worden.

Ik wil graag mijn begeleider Dhr. Dr. Christ Klep bedanken voor de prettige samenwerking bij de uitwerking van het onderwerp. De fijne en losse begeleiding in het thesistraject heeft me voortdurend gemotiveerd om door te zetten. Ik dank ook mijn ouders Klaas en Alexandra Verspoor voor de voortdurende steun die ze mij de afgelopen 4 studiejaren hebben gegeven, zonder jullie was ik nooit op dit punt gekomen. Daarnaast bedank ik ook medestudenten Jesper van den Brink voor het bijdragen van een kritische blik op mijn standpunten, Bart van Gent voor het constant leveren van motivatie, Esther Mennen en Nick Khoury voor het laten zien hoe een scriptie geschreven moet worden en als laatste Roos Keja voor alle morele steun het afgelopen jaar.

1. Introductie

Cybersecurity is een concept dat is ontstaan na de Koude Oorlog als antwoord op een mix van technologische innovatie en geopolitieke omstandigheden. Ondertussen is het belang van cyberoorlog en cybersecurity prominent aanwezig in de samenleving en is het een groot gevaar voor de Westerse wereld. De mogelijkheid bestaat dat binnen enkele seconden via een cyberaanval gezorgd kan worden dat de economie stil valt en dat er – in het ergste geval – weinig aan gedaan kan worden. De gedachte alleen al zou vragen moeten oproepen. Hoe kan de overheid aan de rem trekken? Hoe zorgt Nederland ervoor dat het een effectieve en geloofwaardige cybersecurity heeft? Onze cyberspace-beveiliging is van vitaal belang aangezien de samenleving zo op deze veiligheid gebouwd is dat men niet meer zonder kan. Van de economie tot het delen van informatie, internet is de steunpilaar. Een rake aanval op het Nederlandse netwerk kan tot zware gevolgen leiden, van het stelen van gevoelige informatie tot verlies van vele miljoenen euro’s. Wat dit complexe probleem nog ingewikkelder maakt is dat online iemand zijn identiteit kan verbergen en de oorsprong onbekend kan blijven. Hiermee kan een aanval uit het niets plaatsvinden omdat de aanvaller via een proxy1 _{zijn identiteit niet prijs hoeft te geven. Zo is zijn doel ook niet (of pas laat) te} voorspellen.

Wat gerealiseerd moet worden is dat het Westen in groot gevaar verkeert vanwege de reële mogelijkheid van deze cyberaanvallen. Waar landen als Noord-Korea en China met één druk op de knop zich kunnen afsluiten voor cyberaanvallen is dit wel anders voor Westerse landen. Deze zijn flink in het nadeel en mede daarom moet de cybersecurity verbeterd worden; we leven in een samenleving die aan haar vooruitgang werkt grotendeels via de online wereld. Daarnaast is Nederland een hotspot voor de online wereld; met grote datacenters van onder andere Google, Apple en Microsoft. Deze moeten dan ook goed beschermd zijn. Een dergelijke dreiging voor de samenleving komt met vragen betreffende onze nationale defensie. Deze gevaren worden benaderd en bekeken in vergelijking met wat andere landen doen, zoals de Verenigde Staten en Israël. Deze twee claimen leidende landen te zijn en zien dezelfde dreigingen tegemoet. Op deze manier komt dan ook de hoofdvraag naar voren: hoe kan Nederland, met zijn unieke internationale positie, zich voorbereiden op en verdedigen tegen toekomstige cyberdreigingen?

De auteur verwachtte gewezen te worden, bij aanvang van het onderzoek, op de cyberkwetsbaarheid van Nederland en andere Westerse landen. Aangezien Nederland een centrale positie heeft in de cyberwereld en als hotspot dient zal de beveiliging continu op de proef gesteld moeten worden en waar nodig verbeterd moeten worden. De cyberdreigingen worden tot dusver primair verwacht van niet-Westerse landen zoals China, Rusland en Noord-Korea, terwijl de steun uit de hoek van Westerse, of Westers gerichte, landen zoals de Verenigde Staten, Israël en Zuid-Korea zal komen. De laatstgenoemde zullen voor Nederland waarschijnlijk een kleine, of zelfs geen, dreiging zijn. Het zal eerder het geval zijn dat Nederland door ze geholpen wordt met de beveiliging of lering kan trekken uit de toegepaste verdedigingsmethoden. De krijgsmacht in het bijzonder heeft twee rollen, namelijk de beveiliging van het privédomein en bijdragen aan nationale veiligheid. Dit kan Defensie onder andere doen door cybereenheden op te leiden.

Om dit onderzoek te kunnen realiseren zal een mix van primaire en secundaire bronnen gebruikt worden. Dit zijn voornamelijk rapporten van de besproken landen, zoals het Cybersecuritybeeld van Nederland, The Comprehensive National Cybersecurity Initiative van de Verenigde Staten en de Concept Cyber Security Strategy van de Russische Federatie. Waar geen Engelse vertaling van nationale documenten voorhanden is, zullen secundaire bronnen gebruikt worden die ingaan op de inhoud van, bijvoorbeeld, de strategie van Israël, waarvan documenten deels alleen in het Hebreeuws beschikbaar zijn.

Het onderzoek is als volgt opgebouwd: eerst zal er, in het eerste hoofdstuk, een analyse gemaakt worden van de internationale actoren die een primaire rol spelen. Kort worden de posities van deze actoren in de cyberwereld uitgelegd en wordt de strategie van het land uitgelegd met betrekking tot cybersecurity. Ook wordt bondig uitgelegd of het betrokken land in geval van nood aan de Nederlandse kant staat/zal staan of juist aan de andere kant van het spectrum. In het tweede hoofdstuk wordt dieper ingegaan op de cybersecurity van de Verenigde Staten en Israël aangezien die qua aanpak en ‘type’ samenleving in dezelfde categorie als Nederland vallen. De strategieën van de Verenigde Staten en Israël zullen in het vierde hoofdstuk weer aan bod komen. Na de analyse van de verdedigingsmethodes van Israël en de Verenigde Staten zal er in hoofdstuk drie naar de defensieve mogelijkheden en aanpak van Nederlandse cybersecurity gekeken worden. Uiteindelijk komen de twee eerdere onderzoekslijnen samen in hoofdstuk vier als er

onderzocht wordt waar Nederland aan moet werken als het gaat om het garanderen van een verhoogde veiligheid. Hier worden maatregelen besproken die toegepast moeten worden en maatregelen weerlegd die al toegepast zijn.

2. Welke staten zijn de belangrijkste actoren in de cyberwereld

en aan welke kant van het spectrum staan ze ten opzichte van

Nederland?

Voor er wordt ingegaan op de precieze cyberdreigingen moet er vastgesteld worden waar deze vandaan komen. Zo zal er gekeken moeten worden of het betrokken land aan de kant van Nederland staat of dat het een gevaar is voor onze cyberveiligheid. Ook zal er een onderscheid gemaakt worden tussen cyberdreigingen richting het Westen en staten die geen dreiging voor het Westen vormen. Een voorbeeld hiervan zijn Pakistan en India. Deze twee zijn tot dusver niet gevaarlijk voor Nederland omdat, zover bekend, ze primair elkaar aanvallen en de frequentie waarmee ze elkaar aanvallen, elf serieuze pogingen in elf jaar, geen substantiële bedreigingsintensiteit is.2 _{Aangezien beide niet-Westerse landen dus geen} directe bedreiging zijn, zullen deze buiten het onderzoek vallen.

De landen die bestudeerd zullen worden zijn de Verenigde Staten, Israël en Zuid-Korea enerzijds en Noord-Zuid-Korea, Rusland en China anderzijds. De keuze is gevallen op deze 6 omdat dit voor een balans zorgt tussen Westers en niet-Westers. Daarnaast is reeds bij eerste beschouwing een duidelijke scheiding waarneembaar tussen deze twee groepen actoren qua dreiging: zo is niet te verwachten dat de Verenigde Staten, Israël of Zuid-Korea een reële dreiging zullen zijn voor Nederland. Deze landen zullen eerder geneigd zijn steun te bieden. Onder deze steun valt het delen van kennis, het herschrijven en resetten van de it-infrastructuur in de nasleep van een (eventuele) succesvolle aanval en het opbouwen van defensieve capaciteiten. In het geval van Rusland, China en Noord-Korea ligt de veronderstelling voor de hand dat zij wél een dreiging zullen vormen.

A. De Verenigde Staten

Het machtigste land van het Westen, de Verenigde Staten, besteedt in het jaar 2014 ongeveer 640 miljard dollar aan defensie, dit is bijna één derde van het totale bedrag dat de Westerse landen aan hun defensieapparaten uitgeven.3 _{Toch is het land zeer kwetsbaar in de} cyberoorlog. Dit komt door de inherente openheid van het Westerse liberale systeem. De huidige ‘cybernatie’, waar al het openbaar vervoer, communicatie en de economie via

2 Maness & Valeriano, The Fog of Cyberwar, Foreign Affairs, 21 november 2012 3 Keck, US drives Down Global Defense Spending, The Diplomat, 15 april 2014

netwerken loopt en deels in handen is van particulieren, is een gemakkelijk doelwit en zeer moeilijk te beveiligen. De zeer rappe vooruitgang van de technologie mag dan een verbetering zijn qua levensstijl, de beveiliging is niet zo snel vooruitgegaan. Het probleem ligt bij het feit dat ieder stukje van de samenleving individueel benaderd moet worden en de beveiliging deels in handen ligt van particulieren.4 _{Een overheid kiest voor optimale} zekerheid in haar veiligheid, terwijl een particulier wellicht geneigd zal zijn voor de goedkoopste en meest winstgevende optie te gaan. Tegenover cyberoorlog en -dreiging is het liberale stelsel dus kwetsbaar. Juist daarom besteedt de Verenigde Staten miljarden aan zijn cyberbeveiliging, dit geld gaat niet alleen naar cybergerelateerde instellingen, maar ook naar het beveiligen van de online infrastructuur.

De strategie die Richard Clarke, voormalig veiligheidscoördinator van het Witte Huis voor onder anderen de presidenten Reagan en Clinton, na jaren heeft ontwikkeld, is ‘The Defensive Triad Strategy’ en deze richt zich op de volgende 3 sectoren: de internet serviceleveranciers, het elektriciteitsnet en het Amerikaanse militaire netwerk. Door de ruggengraat van de samenleving en het militair functioneren fors te beschermen kan het land niet met de druk op één knop platgelegd worden. 5 _{Clarke’s aanpak is niet de precieze} strategie die de Verenigde Staten toepast, maar levert wel een bruikbaar theoretisch kader. De drie punten waar op wordt gefocust (en die het officiële Amerikaanse beleid vormen) zijn het creëren van een frontlinie tegen de meest acute bedreigingen, het verdedigen tegen het volledig spectrum van gevaren en het versterken van de online structuur door coördinatie en samenwerking tussen overheid en particulier.6

De VS zijn niet alleen defensief gericht, maar voeren zelf ook cyberaanvallen uit. Het meest bekende voorbeeld hiervan is Stuxnet, een virus losgelaten in Iran met als doel de nucleaire centrifuges van Iran te vernietigen. Dit werd uitgevoerd in samenwerking met Israël en deze aanval bleek een succes te zijn: het Iraanse programma werd naar schatting met ongeveer 2 jaar vertraagd. Dit is een voorbeeld van offensieve cyberaanvallen. Zonder fysiek aanwezig te zijn was de aanvaller in staat om schade aan te richten. De Stuxnet-worm was geprogrammeerd om de centrifuges te versnellen zodat deze vernietigd zouden worden, in

4 Alexander & Swetnam, Cyber Terrorism and Information Warfare I. Assessment of Challenges, 1999, pp. 461 5 Clarke & Knake, Cyber War, The Next Threat to National Security, pp. 151-178

dit geval dus alleen de centrifuges.7 _{Maar wat als de worm was geprogrammeerd om het} gehele nucleaire complex te vernietigen? De schade die kan worden aangericht met behulp van cyberaanvallen is groter dan velen voor mogelijk houden. Het bedrag dat het Pentagon uittrekt voor cyberwarfare (zie ook onder) wordt duidelijk niet alleen ter verdediging gebruikt.

Aangezien Nederland een bondgenoot is van de Verenigde Staten en de laatste baat heeft bij onze veiligheid is het duidelijk dat de Amerikanen geen dreiging zijn en Nederland kunnen helpen met de beveiliging. Nederland is een land van diensten en hoewel het zich soms een grotere rol toedenkt dan het eigenlijk heeft blijft het een belangrijke bondgenoot van de Verenigde Staten. Toch weerhoudt een dergelijke band de Verenigde Staten niet om zijn bondgenoten te bespioneren, zoals eerder in 2014 gebeurde bij de Duitse bondskanselier Angela Merkel. Dergelijke schandalen ondergraven weldegelijk een alliantie en schaden de betrouwbaarheid van de Verenigde Staten.

B. Israël

Israël heeft een unieke positie in het Midden-Oosten, het land voelt zich dagelijks existentieel bedreigd, en het is constant bezig met zijn beveiliging, zo ook met zijn cybersecurity. Het land vindt zichzelf de voorloper van het Westen in de strijd om beheersing van de cyberwereld, zo stelde de premier van Israël, Benjamin Netanyahu, bij de Cybertech 2014 conferentie.8 _{Hier legde hij uit dat Israël geen keuze heeft als het op cybersecurity en} cyberwar aankomt. Het land heeft al meerdere malen gestreden om te overleven tegen dreigingen uit het Midden-Oosten en om deze aanvallen te weerstaan moet het vooraan lopen om te overleven, zowel met cyberwar als cybersecurity. Uiteraard zette de premier een en ander sterk aan, maar een kern van waarheid zit er wel in. Israël is inderdaad samen met de Verenigde Staten één van de voorlopers van het Westen op dit terrein en onder hun leiding hebben vele landen hun cybersecurity al verbeterd. Er wordt geschat dat Israël elk moment van de dag ongeveer duizend aanvallen te verduren heeft. Toch heeft het zijn beveiliging nog op orde en zo kunnen veel landen lering trekken uit deze ervaringen.9

7 Clarke & Knake, pp. 291-296

8 Shaman, Netanyahu: Israel is leading West’s cyber-security fight, Times of Israel, 29 januari 2014

9 Baram, The Effect of Cyberwar Technologies on Force Buildup: The Israeli Case, Military and Strategic Affairs, 2013, pp. 24

Net als de Verenigde Staten focust Israël op drie punten als het op de verdediging aankomt, maar ook op drie punten als de overheid zich gedwongen voelt offensief te handelen. De elementen van de offensieve strategie zijn: afschrikking door de kracht van de eigen capaciteiten, preventie door de verspreiding van gerichte informatie en een adequate besluitvorming. De punten met betrekking tot cyberzelfverdediging zijn: het beschermen van de militaire industrie en capaciteiten, kwaliteit van de infrastructuur en afstemming met de particuliere sector.10 _{Deze benadering verschilt op tenminste een hoofdlijn met die van de} Verenigde Staten door als principe te volgen: de aanval is de beste verdediging. Israël heeft, zover bekend is, de grootste cybereenheid ter wereld, genaamd ‘8200’.11 _{In deze unit zitten} de slimste en creatiefste militairen die Israël heeft en ze is verantwoordelijk voor het gros van de verkregen cyberkennis.

Ten slotte is het nog belangrijk om hier het verschil te tonen tussen de budgetten voor cyberverdediging van de Verenigde Staten en Israël. Waar er 81.4 miljard dollar wordt uitgegeven in de Verenigde Staten aan cyberdefensie, wordt er 63.4 miljard, op basis van cijfers uit 2012, door Israël gespendeerd.12 _{Deze verhoudingen onderstrepen dat Israël een} voorloper in het Westen is. Als het op het ergste aankomt, zal Israël Nederland tegemoet komen en steunen. Nederland is niet vanaf het begin pro-Israël geweest. Ons land erkende Israël pas in 1950 officieel, bijvoorbeeld. Maar zeker sinds de jaren ’60 heeft Nederland een speciale band met Israël.13 _{Dit komt onder andere door de erfenis van de Tweede} Wereldoorlog: ‘Nooit meer Auschwitz’. Nederland geldt als een bondgenoot.

C. Zuid-Korea – Noord-Korea

De verhouding tussen Noord-Korea en Zuid-Korea is er één die zeer interessant is vanuit het cyberperspectief. Aan de ene kant is er Zuid-Korea, een Westers gericht land dat onder constante dreiging is van Noord-Korea en China. Zijn technologie loopt erg voor in vergelijking met Noord-Korea en is vooral gericht op het beschermen van zijn eigen cyberdomein. Aan de andere kant is er Noord-Korea, een arme dictatuur, die – althans formeel – alles inzet op het overmeesteren van Zuid-Korea. Een dergelijke strikte focus is mogelijk mede door het karakter van de communistische dictatuur, aangezien alles in het

10 Idem, p. 27

11 Benschop, Cyberoorlog; Slagveld Internet, Sociosite, 2013. 12 Baram, pp.33

land van de overheid is. Zo zijn er geen duizenden particulieren die zich bemoeien met cyberveiligheid en beschermd moeten worden. Met de druk op één knop kan Noord-Korea zich afsluiten van de buitenwereld en hiermee is de overheid optimaal beveiligd tegen cyberdreigingen. Het land is voornamelijk gericht op het uitvoeren van cyberaanvallen, zo valt op te maken uit de hoeveelheid publiek bekende aanvallen onderling. Tien keer ondernam Noord-Korea offensieve cyberaanvallen tegen Zuid-Korea en één keer werd er terug geslagen.14 _{Deze getallen weerspiegelen alleen de aanvallen waarvan men zeker is dat} die uit het noorden kwamen, van vele andere wordt gedacht dat deze daar ook vandaan kwamen. Dit zal hoogstwaarschijnlijk een juiste veronderstelling zijn, bijvoorbeeld op basis van de vergelijking met de duizenden aanvallen tegen Israël. Ter bestrijding van de cyberaanvallen is er in het Zuiden het National Cyber Security Center (NCSC) opgezet. Dit is verantwoordelijk voor het voorkomen van cyberaanvallen, het analyseren van dreigingen, het wegwerken van zwakheden en het coördineren van mogelijkheden om terug te slaan.15

Het beleid van de Zuid-Koreanen ten opzichte van hun verdediging draait om drie punten. Dat zijn het bevorderen en bovenal beschermen van de informatiesystemen, het versterken van de samenwerking met andere landen om te reageren op, en te beschermen tegen, cyberaanvallen en als laatste het opleiden van grote aantallen cyberspecialisten.16 _De combinatie van de drie spreekt voor zich, aangezien de eerste terugkomt bij elk Westers of Westers-gericht land hierboven besproken. Het tweede punt is evenzeer begrijpelijk vanuit Westers oogpunt, aangezien de Zuid-Koreanen niet voorlopers zijn maar wel baat hebben bij goede samenwerking met de Verenigde Staten en Israël. Het laatste punt is ook zeer belangrijk in Zuid-Korea, aangezien Noord-Korea door blijft zetten met zijn aanvallen. Hierdoor zijn er steeds meer cyberspecialisten nodig en aangezien de diversiteit in aanvallen zich uitbreidt zijn er ook meerdere cyberorganisaties nodig. Nederland kan veel lering trekken uit de Zuid-Koreaanse defensieve concepten. Zuid-Korea en Nederland zijn beide bondgenoten van de Verenigde Staten. Het is waarschijnlijk dat deze elkaar onderling zullen steunen.

D. Rusland

14 Maness & Valeriano

15 National Cyber Security Center Korea, Information, 2014

De eerste ‘echte’ cyberoorlog werd gevoerd door Rusland tegen Estland in 2007.17 Door middel van een DDOS-aanval18 _{werd een deel van de Estse infrastructuur uitgeschakeld;} zo werden twee banken, meerdere overheidsagentschappen en de sociale media platgelegd. Deze aanval is belangrijk om aan te tonen hoe fragiel de cyberspace van moderne maatschappijen is, aangezien Estland één van de meest bekabelde landen ter wereld is.19 _Het land loopt qua bekabeling ongeveer gelijk aan Zuid-Korea. Dit toont alleen maar meer aan hoe kwetsbaar het cyberdomein is en hoe gemakkelijk het is voor Rusland om een cyberaanval uit te voeren. Hoewel het nooit bewezen is dat de overheid hier achter zat, is er de facto wel gebleken dat het Russen waren die deze aanval veroorzaakten. 20 _{Toch moet er} niet te veel lof gegeven worden aan de aanvallers hier, aangezien het verdedigende land niet van hetzelfde niveau is als bijvoorbeeld Israël of de Verenigde Staten. Daarnaast is er sindsdien wereldwijd meer aandacht uitgegaan naar de beveiliging van de cyberwereld. Een vergelijkbare aanval is lastiger geworden.

Qua cyberdefensie is Rusland gericht op de volgende punten: het ontwikkelen van een nationaal systeem tegen cyberaanvallen en het stimuleren van de particuliere beveiliging, het ontwikkelen van mechanismen om de eigen defensie te testen, het beter beveiligen van openbare informatiebronnen in cyberspace, het verbeteren van de samenwerking tussen overheid en bedrijfsleven op het gebied van cyberveiligheid, het ontwikkelen van de digitale geletterdheid van de burgers en als laatste het verbeteren van de internationale samenwerking met het oog op een betere garantie van de cyberveiligheid.21 Wat blijkt uit de documentatie uit Rusland is dat alles gefocust is op passieve defensie. Er wordt met geen woord gesproken over eigen cyberaanvallen of actieve defensie in de vorm van mogelijkheden om terug te slaan, dit in tegenstelling tot de eerder besproken landen. Wat hieruit geconcludeerd kan worden is dat Rusland potentieel open staat om samen te werken op defensief gebied, maar niet op offensief gebied, aangezien het land niet bereid is om zijn technische mogelijkheden bekend te maken. Rusland zou een bedreiging voor Nederland kunnen zijn, of is dat misschien al. Niet specifiek door de bilaterale relatie met Nederland, maar doordat de laatste een Westers land is dat relatief veel datacentra beheert.

17 Lander & Markoff, Data Assault hits Estonia where it hurts, International Herald Tribune, 30 mei 2007 18 Een aanval gevoerd met meerdere computers met als doel een netwerk plat te leggen

19 Clarke & Knake pp. 13

20 Hansen & Nissenbaum, Digital Disaster, International Studies Quarterly Vol. 53 No.4, 2009

21 Russische Federatie, concept cyber security strategie, 2014. Mijn dank gaat uit naar Halyna Aleksandrovych voor het vertalen van dit document.

Door deze aan te vallen kan Rusland de economie van vele Westers-liberale landen onderuit halen, al is het voor een paar uur. Dit resulteert in schade die kan oplopen tot in de vele miljoenen. Daarnaast steunt Nederland wel de Verenigde Staten, die inmiddels weer een anti-Rusland houding hebben vanwege de Oekraïne-crisis. Dit zou op de lange termijn een rol kunnen spelen ten opzichte van de relatie tussen Nederland en Rusland. Deze heeft in het jaar 2013 al enige deuken opgelopen, terwijl dit officieel het (herdenkings)jaar van de vriendschap tussen de twee was.

E. China

Misschien wel de grootste dreiging op het gebied van cyberoorlog komt van China. Waar Westerse overheden zich hoofdzakelijk beperken tot faciliteren en controleren op het gebied van internet, gaat China veel verder. Dit is een soortgelijke situatie als in Noord-Korea (met als kanttekening dat de Noord-Koreaanse censuur nog strenger is), wat inhoudt dat de overheid met één druk op de knop zich kan afsluiten voor invloeden van het buitenland. Dit betekent ook dat het land qua verdediging sterk staat en zich kan focussen op het offensief. Toch meldt het land zelf dat het regelmatig slachtoffer is van cyberspionage door de Verenigde Staten.22 _{Tot dusver is er bekend dat het land hackers opleidt, vele aanvallen} uitvoert dagelijks tegen de Verenigde Staten om de hand te leggen op software en geheime data, meerdere cyberorganisaties heeft opgezet en de cyberomgeving van de Verenigde Staten heeft vol gelegd met zogenaamde ‘logic’-bommen.23 _{De Chinese overheid controleert} in eigen land elke computer. Afgezet tegen dit omvattende programma, zijn Westers-liberale landen in het nadeel.

China focust zich vooral op ‘defensieve’ cyberaanvallen onder het motto dat de Verenigde Staten zijn hegemonie over de wereld gebruikt om andere landen te onderdrukken of regeringen omver te werpen. Wanneer men een vraag stelt aan de persvoorlichter van de Chinese overheid betreffende cyber komt dan ook het antwoord dat het Westen/de Verenigde Staten een excuus zoekt om actie te ondernemen tegen China. Dit staat in contrast met cijfers uit 2012, waaruit blijkt dat Beijing tot dusver maar liefst achttien keer succesvol een aanval heeft uitgevoerd tegen de Verenigde Staten. Twee keer werd er succesvol terug geslagen, hoewel deze cijfers alleen gaan over aanvallen waar er met

22 Volkskrant, China protesteert bij VS over cyberspionage, 24 juni 2013 23 Clarke & Knake, pp. 54 & 147

zekerheid gezegd kan worden dat een staat er achter zat.24 _{In werkelijkheid zullen de cijfers} vele malen hoger liggen, helemaal als er vanuit de gedachte geredeneerd wordt dat er in de praktijk soms honderd aanvallen tegelijk zullen worden uitgevoerd door beide.

China focust qua cyberbeleid op de volgende punten: het opzetten en uitvoeren van inlichtingenoperaties, het verstoren van de vijandelijke informatiestroom, het uitschakelen van netwerken en computersystemen, het vernietigen van de infrastructuur en het uitschakelen van het elektriciteitsnet.25 _{Toch zegt het land open te staan om in gesprek te} gaan met de Verenigde Staten en andere leidende actoren om zijn defensieve capaciteiten te verbeteren, niet alleen tegen andere landen maar ook tegen terroristische aanvallen.26 _Uit Chinese documentatie blijkt dat China zich in een zeer offensieve positie heeft gemanoeuvreerd en als er één dreiging bestaat van een land richting het Westen is het wel China. Eén van de punten waar het land zich, als gezegd, op richt is het uitschakelen van de informatiestroom en dit is een cruciaal punt ten opzichte van Nederland. Dit omdat Nederland een land is van diensten, zo is te zien aan alle datacentra in het land. China legt stevig de nadruk op datacentra in zijn cyberstrategie en gezien de aanwezigheid van centra van Microsoft, Apple en KPN in Nederland kan een groot deel van de infrastructuur in het land snel stil gelegd worden. Een ander punt waar China op focust is het bemachtigen van economische en technische informatie, als voorbeeld kan het ontwerp van de JSF en Patriot-raket gebruikt worden: zo werd er in 2013 informatie betreffende meerdere geavanceerde Amerikaanse wapensystemen verkregen door Chinese hackers. Dezelfde wapensystemen die Nederland gebruikt of van plan is te gebruiken.27 _{Deze twee punten zijn deel van het Chinese} ‘acupunctuur-plan’ op cybergebied namelijk: het verlammen van de informatie- en communicatiesystemen.

F. Nederland

Als laatste het land waar het uiteindelijk om draait in dit onderzoek, Nederland. Als land van diensten moet het logischerwijs ver gevorderd zijn qua cyberdefensie en moet het de veiligheid op orde hebben. Inderdaad is Nederland één van de voorlopers op cybersecurity gebied, zo is bijvoorbeeld in mei 2014 de Nederlandse kennis op het gebied

24 Maness & Valeriano

25 Kanwal, China’s Emerging Cyber War Doctrine, Journal of Defense Studies Vol.3 No.3, 2009, pp. 18

26 Swaine, Chinese Views on Cybersecurity in Foreign Relations, China Leadership Monitor No. 42, 2013, pp.3 27 Nu, Chinese hackers stelen ontwerp JSF en Patriot-raket, 28 mei 2013

van cybersecurity succesvol de markt op gegaan. Via een samenwerkingsverband met Singapore worden onze methodes toegepast en verder ontwikkeld.28 _{De staat heeft de} volgende ambities: dat niet alleen de overheid hard werkt aan de cyberveiligheid, maar de burgers zelf en het bedrijfsleven ook substantieel betrokken raken en dat Nederland met internationale partners een coalitie kan vormen.29 _{Nederland heeft flink aan de weg} getimmerd met zijn cyberveiligheid. In 2012 claimde Fox-IT, het grootste internetbeveiligingsbedrijf in Europa, dat Nederland niet of nauwelijks beveiligd was tegen cyberaanvallen.30 _{Intussen is dit sterk verbeterd. Naast aanvallen tegen de Nederlandse} cyberinfrastructuur zelf worden er ook aanvallen op andere landen via het Nederlandse netwerk gepleegd; zo zijn er gemiddeld 45 incidenten per kwartaal geregistreerd door het Nederlandse Nationaal Cyber Security Centrum.31 _{Noemenswaardige aanvallen tegen} Nederland zijn onder andere de DDOS-aanvallen32 _{in april vorig jaar tegen DigiD, de KLM,} iDeal en de ING Bank.33 _{Hier blijkt al de diversiteit in aanvallen tegen Nederland.} 34 _Daarnaast is hieruit ook te begrijpen waarom Nederland de ambitie heeft om het bedrijfsleven en de burger te betrekken in de cybersecurity.

Nederland heeft de volgende standpunten als het aankomt op de cybersecurity: een verhoogde samenwerking tussen de particuliere sector en het publiek, de focus op netwerken en coalities, het verduidelijken van de onderlinge (verantwoordelijkheid) verhoudingen van belanghebbenden, versterking van capaciteiten zowel nationaal als internationaal, het bijhouden van risicoanalyses, het uitbreiden van de cyber-inlichtingencapaciteit en de overgang van bewustzijn naar daadwerkelijk handelen.35 _Deze standpunten liggen in een lijn met de ambities. 36 _{Daarnaast worden er cybereenheden} opgeleid, waar in hoofdstuk 3 dieper op zal worden ingegaan. Hoe deze standpunten gerealiseerd worden zal eveneens later in dit onderzoek besproken worden.

28 Rijksdienst voor Ondernemen Nederland, Nederlandse cyber security gaat naar Singapore, 23 mei 2014 29 Nationale Cybersecurity Strategie 2 van bewust naar bekwaam, Nationaal Coördinator Terrorismebestrijding en Veiligheid, 2013, pp. 23

30 Thijssen, Nederland ‘niet of nauwelijks beveiligd tegen cyberaanval’, Volkskrant, 4 augustus 2012 31 Nationaal Cyber Security Centrum, Cybersecuritybeeld Nederland 3, Juni 2013, pp. 107

32 Een aanval gevoerd met meerdere computers met als doel een netwerk plat te leggen 33 Binnenlandsbestuur, DigiD plat door cyberaanval, 24 april 2013

34 Nu, Storingen bij banken door cyberaanval, 5 april 2013

35 Nationaal Coördinator Terrorismebestrijding en Veiligheid, Nationale Cybersecurity Strategie 2, 2013, pp. 17 36 Cybersecuritybeeld Nederland 3, pp. 37

Kort samengevat kan gesteld worden dat de Verenigde Staten een allround land zijn op het gebied van cybersecurity door middel van zowel offensieve als defensieve capaciteiten. Israël echter is vooral gericht op het offensief en gebruikt dit als defensief mechanisme onder het motto de aanval is de beste verdediging. Bij de verhouding tussen Noord-Korea en Zuid-Korea draait het om respectievelijk een aanvallende en verdedigende partij. Zuid-Korea is voornamelijk bezig met de defensieve taken en de noorderburen met de aanvallende mogelijkheden. In de Russische documenten wordt geen woord gesproken over offensieve cyberaanvallen of -mogelijkheden en gaat het grotendeels over de passieve defensie, een insteek waarbij de Russische overheid bereid is om met andere landen in gesprek te gaan, zo lijkt het. Toch zijn de offensieve capaciteiten er ook, zo weet Estland uit ‘persoonlijke’ ervaring. China is de gevaarlijkste speler in het cyberdomein voor de Westerse wereld, omdat het in potentie de offensieve capaciteiten heeft om de infrastructuur van een land plat te leggen. Op defensief gebied heeft China vrijwel complete controle en kan het zich afsluiten van de buitenwereld. Nederland heeft grote belangen bij een soepel lopend cyberdomein en is dan ook voornamelijk op het defensief gericht, alhoewel er ook offensieve mogelijkheden zijn. Door de juiste middelen toe te passen en coalities te sluiten kan het land vele dreigingen weerstaan.

3. Wat doen de Verenigde Staten en Israël tegen de

cyberdreigingen?

In dit hoofdstuk zal dieper worden ingegaan op de cybersecurity van de Verenigde Staten en Israël. Deze twee zullen als voorbeeld dienen aangezien beide in de categorie leidende Westerse landen vallen. De manier waarop de cybersecurity in de twee landen geregeld wordt zal daarom ook relevant zijn voor Nederland en zijn cybermogelijkheden. Daarnaast is eerder vastgesteld dat beide bondgenoten van Nederland zijn en ze dus eerder geneigd zullen zijn open te staan voor het delen van kennis. Zuid-Korea valt verder buiten het bestek van dit onderzoek, omdat het land hoofdzakelijk bezig is met een defensieve strategie die specifiek gericht is op Noord-Korea, terwijl de Verenigde Staten en Israël voornamelijk gefocust zijn op de algemene cybersecurity.

A. De Verenigde Staten

Al vroeg in de jaren ‘90 ervoeren de Verenigde Staten dat de cyberdreiging een groot probleem zou kunnen vormen voor het land. Daarom werd in 1993 de ‘Joint Security Commission’ gevormd die onderzoek moest doen naar een rendabele methode om de veiligheid te garanderen. Ze kwam tot de volgende conclusies in 1994: de ontwikkeling van offensieve mogelijkheden in het cyberdomein groeit sneller dan de ontwikkeling van defensieve cybersecurity, het cyberdomein is de toekomst maar ook de primaire uitdaging van de komende decennia en als laatste dat de privésector en de overheid een groot risico lopen vanwege de afhankelijkheid van internet.37 _{De commissie stelde voor om een} veiligheidsbeleid te ontwikkelen en ook regels voor alle activiteiten in het cyberdomein vast te stellen. 38 _{Daarnaast moest er voor de lange termijn constant toezicht worden toegepast,} zou de Verenigde Staten moeten fungeren als de mondiale beschermer van het cyberdomein en moest er een programma worden opgezet om te zorgen dat de bestedingen naar de juiste plek werden gesluisd. De dreigingen via het cyberdomein kwamen dus al vroeg op de radar van de Verenigde Staten. De drie conclusies blijken ook achteraf de vinger op de zere plek te leggen, aangezien alle drie in de huidige samenleving zeer relevant zijn. Zo zijn de defensieve mogelijkheden nog niet gelijkwaardig aan de offensieve capaciteiten, hebben de Verenigde

37 Clarke & Knake pp. 104

Staten ondanks de waarschuwende voorspellingen de cyberdreiging niet onder controle kunnen krijgen en blijkt de beveiliging van het bedrijfsleven en de burger een enorm karwei te zijn. Tegenwoordig hebben de Verenigde Staten een nationaal en een internationaal cyberveiligheidsbeleid. Het nationale veiligheidsbeleid, ook wel ‘The Comprehensive National Cybersecurity Initiative’ (CNCI) genoemd, bestaat sinds 2008 en timmert hard aan de weg. Onder dit initiatief vallen het Departement of Homeland Security en de National Security Agency. Het creëren van een frontlinie tegen de meest acute bedreigingen, het verdedigen tegen een volledig spectrum van gevaren en het versterken van de online-structuur door coördinatie en samenwerking tussen overheid en particulier zijn doelen die door de CNCI zijn geformuleerd. Deze punten moeten worden gerealiseerd via de volgende inspanningen.39

i. De 12 Initiatieven

Het eerste initiatief van de CNCI is om het hele Amerikaanse cyberdomein als een enkel netwerk te beheren met behulp van ‘Trusted Internet Connections’ (TIC). Dit is een mandaat dat de hoeveelheid toegangswegen tot het netwerk van de overheid verlaagd en zorgt dat connecties via de TIC-provider lopen. Dit controlemechanisme zorgt ervoor dat netwerkverbindingen in gebruik door de overheid geoptimaliseerd zijn en ongewenste externe verbindingen opgemerkt en afgesloten kunnen worden.40 _{Dit moet leiden tot zowel} een algemene veiligheidsoptie die ervoor zorgt dat er goed wordt samengewerkt binnen de overheid, als tot een betere bescherming van staatsgeheimen en in het algemeen doorgaans de betere beveiliging van de overheid.

Een tweede initiatief is het invoeren van een systeem bij overheidsinstanties dat gebruikers herkent door middel van sensoren. Dit is van vitaal belang voor de veiligheid van de netwerken van een overheid. Door het herkennen van de digitale handtekening van geautoriseerde gebruikers worden de externe gebruikers opgemerkt en voortijdig tegengehouden. Deze sensoren zijn zelf in staat om uitzonderlijke grote ‘pieken’ in data op te merken en te analyseren en hierdoor wordt de ’dader’ opgemerkt en weerhouden om schade aan te richten of informatie te stelen. Dit initiatief moet leiden tot een verhoogde kennis van het eigen cyberdomein en kan de zwakke punten blootleggen; daarnaast worden

39 The Comprehensive National Cybersecurity Initiative, pp. 1 40 Homeland Security, Trusted Internet Connections, 2014

binnenlandse bedreigingen waargenomen en aangepakt. Het resultaat is dan ook dat er een snelle stijging in de ontwikkeling van cybersecurity te zien is en deze kennis doorgespeeld kan worden aan beveiligers in het bedrijfsleven of de burger.41

Het nastreven van preventieve systemen tegen indringers voor alle ministeries is het derde initiatief. Dit werkt in principe hetzelfde als het tweede initiatief, zo is het de bedoeling dat gebruikers met kwaadaardige intenties onderschept worden en tijdig automatisch onschadelijk worden gemaakt. Het verschil ligt er hier in dat het vorige initiatief gericht is op gebruikers van de ministeries en binnenlandse dreigingen, terwijl er in dit initiatief de focus wordt gelegd op de burger. Het doel is dan ook om de burger te beschermen en de zwaktepunten weg te werken. Hierdoor kunnen buitenlandse bedreigingen onderschept worden door middel van langetermijnplanning en is gevoelige informatie betreffende de burger veiliger, zo is de bedoeling.42

Het vierde initiatief is het samenwerken en coördineren van betrokken organisaties om onderzoek en kennis te delegeren. Hierdoor worden tijd en personeel in de cybersecurity-industrie effectiever gebruikt en worden er betere strategieën ontwikkeld door zowel de overheid als commerciële organisaties. Door de samenwerking kunnen afdelingen zich specialiseren in een tak van cybersecurity en worden er minder fouten gemaakt en meer zwakke punten weggewerkt vóór de gebruikers online gaan.

Een vijfde initiatief is het verbinden van de cybercentra om het delen van informatie en de kennis te bevorderen. Dit initiatief werkt hetzelfde als het vierde initiatief, het verschil ligt hem in het feit dat het vijfde initiatief puur gericht is op instanties van de overheid, dus exclusief het bedrijfsleven. Hierdoor kunnen de systemen bekende dreigingen aan elkaar doorspelen en zijn deze makkelijker te herkennen. Daarnaast wordt het cyberbesef steeds groter en kunnen de organisaties beter de voordelen benutten. De hoofdinstantie hier is het National Cybersecurity Center van het departement van Homeland Security. Als dit centrum goed samenwerkt met andere instanties kan het leiden tot een beter beveiligde infrastructuur en een veiligere datatransmissie.43

41 The Comprehensive National Cybersecurity Initiative, pp. 2-3 42 Idem, pp. 3

Het ontwikkelen en invoeren van een overheidsbreed contraspionageplan is het zesde initiatief van de CNCI. Dit is nodig om alle instanties te kunnen laten coördineren en om dreigingen te onderscheppen, aan te pakken en te verminderen. Dit initiatief valt samen met ‘The National Counterintelligence Strategy of the United States of America’ uit 2007.44 _De samenwerking heeft tot dusver geleid tot een betere opleiding van cybereenheden, de realisatie van een soepele samenwerking tussen afdelingen onderling en een verhoogde waarneming van cybersecurity.45

Het zevende initiatief is het beter beveiligen van de zogenoemde ‘Classified Networks’. Op deze netwerken is de meest gevoelige informatie van de Verenigde Staten te vinden over bijvoorbeeld defensie, diplomatie en geheime operaties. Het spreekt voor zich waarom de beveiliging van deze netwerken een eigen plek moet krijgen tussen de CNCI-initiatieven. Deze netwerken behoren tot de belangrijkste (potentiële) doelwitten van cyberaanvallen en moeten dan ook de beste beveiliging hebben die er te bieden is.46 _Door initiatief vijf en zes hier toe te passen kunnen de ‘Classified Networks’ ook echt beveiligd worden.

Een achtste initiatief van de CNCI is het ontwikkelen en opleiden van cyberinstanties. De technologie ontwikkelt zich snel, de pool waaruit specialisten worden gerekruteerd wordt kleiner, dus de specialisten die het werk moeten doen, moeten steeds beter zijn. In de afgelopen 20 jaar is de omvang van het parate deel van de Amerikaanse strijdmacht met 40% gedaald.47 _{Daarom moet er extra gezorgd worden dat de troepen de correcte cyberopleiding} krijgen zodat ze de juiste kwaliteit hebben. Tot dusver zijn er niet genoeg experts op het gebied van cyberoorlog en cybersecurity, dit initiatief moet het probleem mede verhelpen.

De ontwikkeling en verspreiding van cybertechnologie, strategie en programma’s is het negende initiatief. Dit valt samen met veel van de vorige initiatieven, maar hier trekt de research and development-tak (R&D) de lijnen verder door. Door alle methodes te verzamelen en naast elkaar te leggen kan er overzicht behouden worden. Hierdoor kan er gekeken worden naar welke tak van de cybersecurity meer onderzoek gedaan moet worden.

44 Office of the National Counterintelligence, The National Counterintelligence Strategy of the United States of America, 2007 pp. 6-7

45 Idem, p. 4

46 The Comprehensive National Security Initiative, pp.4

Ook kan men betere adviezen inzake de verdedigingsstrategie verstrekken, aangezien de methodes uitvoerig zijn getest en ondertussen vrijwel foutbestending horen te zijn.

Uit het negende initiatief komen drie nieuwe initiatieven voort. Het tiende initiatief gaat dan ook in op het ontwikkelen en onderzoeken van capaciteiten en programma’s om af te schrikken en terug te slaan. Dit denkbeeld staat gelijk aan het beeld uit de Koude Oorlog, ook hier was de Verenigde Staten constant bezig met deze twee capaciteiten. Waar toen de nucleaire dreiging de grootste dreiging was, is dat mogelijk nu de cyberoorlog. Net als toen moet er nu op de lange termijn gedacht worden en hier leggen de Verenigde Staten dan ook de focus op. Met dit initiatief wil het zorgen dat het klaar is om terug te slaan in cyberspace tegen zowel andere staten als terroristen, als de afschrikking niet genoeg blijkt te zijn.

Het elfde initiatief en het tweede dat voortkomt uit de afdeling ontwikkeling en onderzoek, is de wereldwijde ontplooiing van risicobeheer op meerdere fronten. Hoewel dit op het eerste gezicht bovenal internationaal gericht lijkt is het initiatief opgezet om de nationale veiligheid te garanderen. De globale markt wordt benaderd als een belangrijke toegang tot de Amerikaanse markt en als deze toegang gebruikt wordt kan in potentie veel data gemanipuleerd worden of communicatie verstoord raken. Het probleem hier is dat er aan de ene kant een manier gevonden moet worden om de nationale veiligheid te garanderen en dat aan de andere kant deze controle geen negatief effect mag hebben op de marktwering. Dit kan gerealiseerd worden als er samen wordt gewerkt op de globale markt.

Het uitbreiden van de rol van de overheid met betrekking tot cybersecurity in de infrastructuur is de laatste van de initiatieven. Aangezien veel van de belangrijke infrastructuur in handen is van de privésector zit de Amerikaanse overheid kort op de beveiliging. Door een betere samenwerking te creëren tussen de twee kan er een hogere mate van veiligheid gegarandeerd worden. Tot dusver zijn de partijen tot zowel korte- als lange-termijnplannen gekomen. Deze moeten de weerstand van de infrastructuur verbeteren door te focussen op het uitwisselen van informatie betreffende cyberdreigingen en -incidenten.48

Veel van de initiatieven hebben elementen met elkaar gemeen en sommige benaderen hetzelfde punt vanuit een andere hoek. Dit is onvermijdelijk bij cybersecurity

omdat op veel verschillende niveaus een dreiging bestaat. Uiteindelijk is er na veel onderzoek in het kader van de Cyberspace Policy Review voor deze aanpak gekozen om de dreigingen van deze tijd aan te pakken. Op deze manier wordt niet alleen de cybersecurity verbeterd maar komt er ook meer besef in de samenleving over hoe serieus de dreiging is, zo is de bedoeling.

ii. De internationale strategie

Naast de 12 initiatieven van de ‘The Comprehensive National Cybersecurity Initiative’ heeft het Witte Huis ook een internationale strategie opgesteld in 2011. De Verenigde Staten vinden dit naar eigen zeggen hun plicht voor de rest van de wereld, als actieve participant in internationale samenwerkingsverbanden.49 _{Daarnaast fungeert het land al decennia als de} ‘politieagent van de wereld’.50 _{Men zou wellicht hopen dat deze rol zou zijn toegevallen aan} de Verenigde Naties, maar tot dusver nemen zij niet het initiatief en hebben de Verenigde Staten deze rol op zich genomen. Dit ondanks het feit dat de Verenigde Naties al enkele jaren stellen dat cybersecurity een wereldwijde aanpak nodig heeft.51 _{Andere landen die de}

potentie hebben dat te doen, of ze het zouden willen is anders, zijn Rusland, China of Israël.

De Verenigde Staten willen diplomatie, defensie en ontwikkeling combineren om een veilig cyberdomein te kunnen garanderen dat beschikbaar is voor alle internetgebruikers. De diplomatieke invalshoek richt zich op het versterken van de relaties tussen landen, zowel wat betreft de veiligheid als de economie en politiek. In deze zeer bekabelde wereld is het moeilijk staande te blijven zonder afhankelijk te zijn, dit geldt niet alleen voor landen, maar ook voor burgers. Door middel van verbeterde relaties zal de cybervrede beter bewaard kunnen blijven. De focus zal dan ook liggen op de bilaterale en multilaterale partnerschappen tussen staten op een wereldwijd platform, internationale en andere belanghebbende organisaties op regionaal niveau en als laatste samenwerking in de privésector op landelijk niveau. Op deze manier worden alle betrokkene gehoord en beschermd en is de kans op gaten in de cyberdefensie kleiner.52

49 The White House, International Strategy For Cyberspace Prosperity, Security, and Openness in a Networked World, mei 2011, pp. 11

50 Prager, Yes, We are the world’s policeman, National Review, 17 september 2013

51 United Nations, Cybersecurity; a global issue demanding a global approach, 12 december 2011 52 International Strategy For Cyberspace, pp. 11-12

Bij het defensieve aspect wordt er geen onderscheid gemaakt tussen terrorist, crimineel of staat. Tegen alle drie moeten capaciteiten bestaan om af te schrikken, af te weren en terug te slaan. Door middel van goede diplomatie kan er gezorgd worden dat de dreiging alleen komt te staan tegenover de rest van de wereld. Toch is het de Amerikaanse bedoeling om het niet zo ver te laten komen en neigen ze naar het afschrikken van de vijand. Dit kan bereikt worden door te zorgen dat de nationale veiligheid op orde is. Door middel van, bijvoorbeeld, de 12 nationale initiatieven kan een land als de VS andere landen benaderen zonder al te dreigend over te komen. Zo wordt er gezorgd dat bondgenoten en andere landen ook beveiligd en opgeleid zijn om dreigingen te weerstaan. Als de hacker er dan nog steeds aan denkt om een poging te wagen komt de capaciteit om terug te slaan aan bod. Bij een daadwerkelijke aanval is een land gerechtvaardigd om terug te slaan vanuit een zelfverdedigingsoogpunt. Wederom is de diplomatie een cruciale bouwsteen, aangezien de defensieve en offensieve opties sterker zijn naarmate er een betere samenwerking is.53

Als laatste ligt de focus op ontwikkeling en hier onderscheiden we de volgende drie speerpunten. Het eerste punt is het bevorderen van de technologische capaciteiten. Iedereen moet veilig het cyberdomein kunnen betreden en dit is alleen mogelijk door een sterke online-infrastructuur. Noodzaak is dan ook dat deze goed beveiligd is en voortdurend werkt aan verbetering van haar offensieve capaciteiten. Een tweede punt is uitbreiding van defensieve capaciteiten. Een staat kan het offensieve aspect van de defensieve strategie, de capaciteiten om terug te slaan, niet uitvoeren als het zijn verdediging niet op orde heeft. Door middel van onderzoek naar toekomstige dreigingen en wat er tegen te doen is kan een land voortijdig zorgen dat het beveiligd is tegen de gevaren. Het derde en laatste punt is de opbouw van capaciteiten in andere staten. De Verenigde Staten ziet dit als een investering die op de lange termijn ook zijn eigen veiligheid beïnvloedt. Door andere staten en organisaties, bijvoorbeeld de VN, te helpen met de opbouw van cybersecurity op terreinen als de economie, techniek, handhaving, defensie en diplomatie kan er gewerkt worden aan kwesties die van wederzijds belang zijn.54

Uiteindelijk zien de Verenigde Staten deze strategie als een stappenplan voor de weg naar een betere eigen cyberdefensie. Het land kan dan wel zorgen dat het zijn defensie op

53 Idem, pp. 12-13

orde heeft, als er via andere landen ook een inbreuk gemaakt kan worden op het Amerikaanse cyberdomein moet er iets gedaan worden. Alle toegangen moeten beveiligd zijn en door middel van de ‘International Strategy for Cyberspace’ moet deze boodschap ook aankomen bij andere staten. Cyberspace is nu al de steunpilaar van moderne maatschappijen en de geglobaliseerde wereld en zal hoogstwaarschijnlijk nog belangrijker worden in de toekomst, daarom moeten staten samen een veilige toekomst creëren.

B. Israël

De drie offensieve kernpunten voor Israël – de afschrikking door capaciteiten om terug te slaan, de waarschuwingscapaciteit door tijdig gevoelige informatie te verspreiden en de besluitvorming over deze capaciteiten – raken aan alle cyberdreigingen die Israël ervaart. Als het op cybersecurity aankomt zijn er nog veel meer aspecten dan de drie bovengenoemde uitgangspunten. Zo wordt de daadwerkelijke regulering van de cyberveiligheid gedaan door de National Information Security Authority (NISA), die acht taken uitvoert. Daarnaast is er in 2010 een National Cyber Initiative opgezet door het National Cyber Bureau, dat de focus legt op zeven punten. Beide zullen in dit deel van het hoofdstuk verder besproken worden.

i. National Information Security Authority

De NISA staat onder leiding van de Israel Security Agency (NSA), die gaat over de algemene cyberdefensie. Dit bureau werd opgezet in 2002 naar aanleiding van het gebrek aan informatie over cyberdreigingen.55 _{De weinige informatie die het land bezat kwam voort} uit de media en academisch onderzoek, maar niets kwam voort uit de overheid zelf. Sinds de oprichting van de NISA is de situatie veranderd en zijn er veel investeringen gedaan in de cyberspace van Israël. Deze aanpak heeft er voor gezorgd dat de ontwikkeling van cybersecurity het niveau van de cyberaanvallen heeft kunnen bijbenen. De NISA heeft de verantwoordelijkheid over de bescherming van de systemen die Israël gebruikt. Deze variëren van de financiële systemen tot systemen van Defensie.

De acht taken die het bureau heeft zijn de volgende. Als eerste heeft het de taak om bedreigingen te evalueren, voor te leggen en te prioriteren. Hierna kan een toegesneden commissie erop inspelen en de juiste adviezen geven om de situatie af te handelen. De

tweede taak die het bureau heeft is om onderscheid te maken tussen verschillende commissies. Hierdoor kunnen deze zich specialiseren in de toegewezen tak, dit leidt tot kritischer commentaar en beter advies. Een derde taak is het ontwikkelen van bescherming in de vorm van doctrines en methodes en de vierde taak is het integreren van vergaarde kennis. Aangezien de NISA tevens verantwoordelijk is voor het onderzoeks- en kennis- aspect van het cyberdomein, is het logisch dat deze twee taken aan het bureau toevallen. De vijfde taak speelt hierop in, namelijk om de kennis te toetsen en advies te geven aan andere organisaties betreffende cybersecurity. Deze toetsings- en adviestaak valt samen met de zesde taak, namelijk het opzetten van procedures voor diezelfde organisaties. De combinatie van deze twee wordt gezien als afdoende ondersteuning door NISA aan de betreffende organisaties, zowel overheidsinstanties als uit de privésector. Taak nummer zeven richt zich op de diplomatieke kant en deze is dan ook om de technologische expertise en samenwerkingsverbanden tussen Israël en partners, zowel in binnenland als buitenland, verder te versterken. Dit wordt mede gedaan met behulp van de laatste taak, het ondersteunen van onderzoek om de defensieve capaciteiten te bevorderen in samenwerking met de Defensieorganisatie.56 _{De taken van de NISA komen dus voornamelijk neer op het} reguleren en overzien van de cyberdreiging, het accent wordt dan ook hoofdzakelijk gelegd op onderzoek en kennis.

ii. National Cyber Bureau

Het reguleren en overzien van de cyberdreiging bleek uiteindelijk niet toereikend en in 2010 vond Israël het nodig een orgaan in te stellen dat moest onderzoeken welke verdere acties er genomen moesten worden. Zo werd het Israel National Cyber Bureau (INCB) geboren en dit kwam onder leiding te staan van professor Isaac Ben-Israel, ex-brigadegeneraal en het hoofd van de afdeling onderzoek en ontwikkeling van het ministerie van wetenschap. Het bureau zou zich focussen op vijf gebieden van cyberspace waarvan het vond dat het nodig was dat de staat zou ingrijpen. Ten eerste moest er een systeem gecreëerd worden dat op nationaal niveau het gehele cyberdomein overzag. Dit omdat het cyberdomein steunt op zowel particuliere als overheidssystemen die van elkaar afhankelijk zijn. Beide moeten in principe ondoordringbaar zijn. Ten tweede moest er een bundeling

56 Tabansky, Cyber defense Policy of Israel: Evolving Threats and Responses, Yuval Ne’eman Workshop for Science, Technology and Security, 2013, pp. 2-3

komen van middelen en informatie. Hierdoor kunnen uitgaven geoptimaliseerd worden en zo efficiënt mogelijk worden toegepast. Net als bij de Verenigde Staten blijkt dat efficiency van groot belang is en bovenaan het rijtje staat van de overheidsprioriteiten. Ten derde moest de staat helpen met het creëren van een betere internationale samenwerking. Israël kan niet overleven zonder zijn bondgenoten en daarom moet het land het initiatief nemen om allianties te beginnen in de cyberwereld. Ten vierde zou het Israël helpen met het opzetten van een systeem van regelgeving in cyberspace. Door de norm te stellen en een systeem in te voeren waar anderen zich aan zouden houden is het makkelijker voor zowel de staat als de privésector om zichzelf te beschermen. Ten slotte kwam INCB met het punt dat de overheid een groter besef moest opbouwen inzake de ernst van de bedreiging, dit zou zich uitbetalen in een versterkte academische en industriële ontwikkeling van de cybersecurity.57

Het bureau zelf is daarnaast ook verantwoordelijk voor drie andere aspecten. Allereerst de belangrijkste taak, het opzetten van de officiële beveiligingsdoctrine in samenwerking met alle instanties die verantwoordelijk zijn voor de verdediging. Deze doctrine moest naast het verhogen van de algemene cybersecurity ook het niveau van de nationale veiligheid verbeteren. Vervolgens heeft het bureau de taak om de leidende positie van Israël op cybergebied staande te houden door de infrastructuur uit te breiden. Dit wordt gedaan door middel van het ondersteunen van cyber-gerelateerd onderzoek en het uitbreiden van kennis, door bijvoorbeeld beurzen voor ICT-studenten op te zetten. Ten slotte heeft het bureau de taak om het initiatief te nemen bij de cybersecurity van het land. Dit is een punt dat voor zich spreekt aangezien het werd opgezet om de kennis van de NISA toe te passen. Een frappant punt is dat 4 jaar na dato het bureau nog steeds niet naar buiten is gekomen met een officieel document over de nationale cyberstrategie.58 _{Dit document is wel} nodig aangezien hiermee de kloof tussen civiele defensie en militaire defensie kleiner wordt. Wel is het bureau gekomen met het National Cyber Initiative in een verslag aan de premier in 2010.59

Uit dit verslag kunnen conclusies getrokken worden betreffende de strategie van de overheid ten opzichte van haar cybersecurity. Zo werden er zeven aanbevelingen gedaan

57 Baram, pp. 30-31 58 Idem, pp. 36

59 Dit verslag is alleen in het Hebreeuws te vinden, daarom is er een artikel gebruikt dat in gaat op het verslag en de inhoud bespreekt. Dit artikel is geschreven door Gil Baram.

over de omgang met cybersecurity en de dreigingen. De eerste aanbeveling was om het opleidingsniveau met betrekking tot cyber te verbeteren. Dit betrof alle niveaus van basisopleidingen tot interdisciplinaire onderzoeksprojecten. Hierdoor wordt het cyberbesef van de burgers verhoogd en zijn ze eerder geneigd zich beter te beveiligen. Daarnaast wordt de kwaliteit van cybermedewerkers verbeterd. De tweede aanbeveling was het verder ontwikkelen van kennis en infrastructuur. Dit moet bereikt worden door het opzetten van een nationaal centrum voor supercomputers, het ontwikkelen van een nationaal simulatie-trainings centrum, het stimuleren van academisch onderzoek met betrekking tot cybersecurity en het promoten van een sterke online beveiliging. De derde aanbeveling was het opzetten van een nationale frontlinie die als schild moet fungeren voor de staat. Door middel van dit schild zouden zowel de overheids- en particuliere sectoren als de burger veiliger moeten zijn. Dit kan bereikt worden door het stimuleren van de cybersecurity-industrie, het ontwerpen van meerdere cybersecurity-programma’s om de onderlinge inzet te optimaliseren en om deze informatie met elkaar te delen. De vierde aanbeveling was om de nationale capaciteiten in cyberspace uit te breiden op ethisch, juridisch en financieel gebied. Door in een vroeg stadium te innoveren heeft het land methodes en capaciteiten waar de ander niets van weet. Dit draagt bij aan de afschrikking waar het land zo sterk op steunt, terwijl het tegelijkertijd de macht in cyberspace uitbreidt. De vijfde aanbeveling was om de verdediging middels wetgevende maatregelen aan te passen aan de geldende internationale maatstaven. Dit houdt in dat het land meedoet aan internationale conferenties en verdragen, zoals de cyberconferentie van de Raad van Europa in 2001, waar Israël het verdrag van Boedapest met betrekking tot cybercriminaliteit ondertekende. De zesde aanbeveling was om de overheid en de privésector beter te laten samenwerken zodat er samen nieuwe technologieën ontwikkeld kunnen worden. Door een deel van het werk uit te besteden wordt niet alleen de privésector gestimuleerd maar ook de academische wereld aangemoedigd. Daarnaast verbetert dit de transparantie tussen de vele overheidsinstanties, terwijl de geheimhoudingsplicht standhoudt. Ook worden de bondgenoten van Israël hier beter van aangezien ook zij gebruik kunnen maken van de unieke technologieën. De laatste aanbeveling was het opzetten van een alomvattend agentschap dat actie onderneemt. Net als een formeel vastgestelde overkoepelende Israëlische cybersecurity-strategie, ontbreekt dit onderdeel nog, hoewel het een kritiek aspect is van een efficiënte verdediging.60

Het Israel National Cyber Bureau speelt een belangrijke rol sinds de oprichting door de premier en brengt direct verslag aan hem uit. Veel van deze aanbevelingen worden aangenomen en uitgevoerd. Toch is het INCB een orgaan dat gefocust is op adviseren en niet het alomvattende orgaan dat actie onderneemt, zoals eigenlijk geadviseerd werd door het National Cyber bureau. De methodes van Israël met betrekking tot zijn cybersecurity zijn van deze tijd, als ze al niet de tijd vooruit zijn. Door de constante dreiging tegen het land zijn overheid en privésector al gewend om samen te werken om zijn voortbestaan te garanderen en hier worden de vruchten van geplukt. Hierdoor is het land één van de meest capabele actoren in de cyberwereld.

4.

Wat doet Nederland tegen de cyberdreigingen?

Nederland is één van de leidende landen op het gebied van nationale cybersecurity en moet dit ook internationaal blijven, aldus de minister van Veiligheid en Justitie, Ivo Opstelten.61 _Tot dusver is er kort melding gemaakt van de standpunten van Nederland, deze zullen met meer diepgang besproken worden in dit hoofdstuk vooral aan de hand van de ‘Nationale Cybersecurity Strategie 2’, gepubliceerd in 2013. Vervolgens zal er aan de hand van het ‘Cybersecuritybeeld Nederland 3’, ook uit 2013, de ontwikkeling van de Nederlandse maatregelen geanalyseerd worden. Ten slotte zal er met behulp van bronnen afkomstig uit defensie, andere actoren uit de rijksoverheid en andere betrokkenen in de cyberwereld worden vast gesteld wie de strategieën en ontwikkelingen moeten toepassen en in hoeverre dit daadwerkelijk geschiedt.

Uit onderzoek van de TU Delft in 2006 of er “sprake is van een sluitende, efficiënte en

effectieve aanpak” kwam naar voren dat er een “rijk en dynamisch beeld van risico’s, maar eenzijdigheid in coördinatie-mechanismen en interventie-instrumenten” was, dat er “veel initiatieven, maar ook verwarrende overlap en versnipperde inzet van schaarse middelen”

was en “doelbereiking is kwetsbaar, want vaak in handen van private partijen en robuust

governance-arrangement ontbreekt.”62 _{Deze punten zijn door de jaren heen belangrijk} gebleven. Zo werd er in 2006 door de overheid een strategie opgezet om de digitale verlamming tegen te gaan die mogelijk uit de kwetsbaarheid voor kon komen.63 _{Op 3} december 2009 dienden Raymond Knops, Angelien Eijsink en Joël Voordewind, respectievelijk van de CDA, PvdA en CU, een motie in bij de Tweede Kamer waarin werd verzocht om “in interdepartementaal verband een cyber security strategie te ontwikkelen,

actief bij te dragen aan de gedachtevorming over cyberwarfare binnen de NAVO en de Kamer hierover te informeren.”64 _{Deze motie werd zonder tegenstemmen aangenomen en gezien als} een noodzaak. Defensie had nog geen orgaan dat de cyberdreiging tegenging en aangezien buurland Duitsland, Groot-Brittannië en de Verenigde Staten er wel werk van maakten was

61 Beveiliging nieuws, Nederland moet een leidende rol spelen in cybersecurity, 5 juni 2014

62 Van Eeten & Van Wendel de Joode, Herijking van het ICT-Veiligheidsbeleid, analyse van de lopende

initiatieven van de ministeries van Economische Zaken, Binnenlandse Zaken en Koninkrijksrelaties en Justitie, p. 13

63 Tweede Kamer der Staten-Generaal, Project Nationale Veiligheid, Geïntegreerde rapportage interdepartementale zelfevalutie, digitale verlamming, intern werkdocument, p. 22

64 Vaststelling van de begrotingsstaten van het Ministerie van Defensie (X) voor het jaar 2010, motie van het lid Knops C.S., Nr. 66

er de noodzaak dat Nederland dit ook zou gaan doen. Al in 2009 werd er gerealiseerd dat niet alleen staten een dreiging vormden, maar ook terroristische organisaties en cybercriminelen. In samenwerking met de NAVO was er al een beveiligingssysteem voor de deelnemers dat sterk genoeg geacht werd, al was er meerdere malen aangetoond dat dit daadwerkelijk niet zo was. De cyberaanval tegen Estland in 2007 is het belangrijkste voorbeeld van de daadwerkelijke offensieve capaciteiten. Een samenwerking met het in Estland gevestigde Cooperative Cyber Defence Centre of Excellence (CCDCE) werd gezien als stap vooruit, maar werd niet als voldoende beschouwd in de Tweede Kamer.65 _Het Strategische Concept komende vanuit de NAVO moest verbeterd worden en Nederland kon hier alleen iets aan toevoegen als het zelf vooropliep en dus zijn eigen verdediging op orde had.66 _{Dit heeft uiteindelijk geleid tot de Nationale Cybersecurity Strategie. Een strategie die} zich vooral richt op de defensieve taken met de uiteindelijke optie om operaties uit te voeren, zo meldde minister van defensie Hennis-Plasschaert in maart 2014:

“In augustus jl. heb ik u geïnformeerd over de stand van zaken van de Defensie Cyber

Strategie (Kamerstukken 33 321, nr. 2 ). In die brief heb ik gemeld dat het zwaartepunt van de Defensie Cyber Strategie aanvankelijk ligt bij de defensieve cybercapaciteiten (de bescherming van netwerken, systemen en informatie) en de uitbreiding van de inlichtingencapaciteit voor het digitale domein. De ontwikkeling van deze twee componenten verloopt zoals voorzien en zal voortgaan in 2014 en 2015. Zoals gemeld in de nota «In het belang van Nederland» zal Defensie zich nadrukkelijker richten op het ontwikkelen van het vermogen cyberoperaties uit te voeren, onder andere door het versneld oprichten van het DCC.”67

A. De Nationale Cybersecurity Strategie 2

65 Van Middelkoop, Minister van Defensie, Tweede Kamer Staten Generaal, Informatie en Communicatie Technologie, Vaststelling van de begrotingsstaten van het Ministerie van Defensie (X) voor het jaar 2010 66 Tweede Kamer der Staten Generaal, Vragen gesteld door de leden van de kamer, met de daarop door de regering gegeven antwoorden. Vergaderjaar 2009-2010