Securityspecialist pleit voor oplossing juridisch grijs gebied rondom staatshackers. Nederland staat er wereldwijd goed voor op het gebied van cybersecurity, maar er zijn nog genoeg belangrijke uitdagingen om het land goed beschermd te houden tegen digitale dreigingen. Frank van Oeveren, Associate Director Global Threat Intelligence bij Fox-IT, schetst in gesprek met iBestuur de belangrijkste uitdagingen en formuleert enkele aanbevelingen voor de Nederlandse overheid.

Zak geld alleen niet genoeg

Hoewel de roep om een financiële bijdrage voor cybersecurity met name bij lokale overheden al een tijdje klinkt, zal een zak geld alleen niet genoeg zijn om Nederland weerbaar te maken tegen cyberdreigingen, stelt Van Oeveren. Volgens hem draait het vooral om het neerzetten van de juiste organisatie, samenwerking en juridische kaders, zodat beleid en praktijk beter op elkaar aansluiten. ‘De kwetsbaarheid van ons land blijkt groot als je ziet hoe ogenschijnlijk makkelijk staatshackers andere landen binnendringen, bijvoorbeeld bij een ministerie of in de kritieke infrastructuur van ProRail. De stap naar sabotage is dan nog maar klein.’

Uit de jaarlijkse Global Cyber Policy Radar van Fox-IT blijkt dat Nederland er, in vergelijking met andere landen, relatief goed voor staat. Met name dankzij sterke inlichtingendiensten en een solide basis van kennis en ervaring op het gebied van digitale dreigingen. Wat echter ontbreekt, is vooral slagkracht en samenhang, legt Van Oeveren uit. De verschillende instanties werken nog te veel los van elkaar, en beleid is soms te beperkt of onvoldoende controlerend om daadwerkelijk een coherente strategie te vormen.

Van Oeveren legt uit dat beleid in het verleden vaak beschrijvend was: er werd geformuleerd wat men graag wilde bereiken, zonder voldoende concrete actie om de gestelde doelen daadwerkelijk te realiseren. Een van de grootste uitdagingen ligt bij de handhaving van cyberveiligheid. Zo gebeurt het nog vaak dat de aanwezigheid van staatshackers in systemen te laat wordt opgemerkt. Ze komen ongestraft weg om even later alweer nieuwe digitale kwetsbaarheden op te sporen en uit te buiten.

Onvoldoende slagkracht

‘Het Nationaal Cyber Security Centrum (NCSC) verzamelt weliswaar veel informatie over cyberaanvallen en waarschuwt inmiddels vele bedrijven en overheden waar nodig, maar speelt nog geen echt handhavende rol’, stelt Van Oeveren. ‘De politieteams die cybercriminaliteit bestrijden zijn klein en verspreid, waardoor ze onvoldoende slagkracht hebben om effectief op te treden.’ Van Oeveren benadrukt dat er behoefte is aan een bredere en beter georganiseerde aanpak. Niet alleen binnen Nederland, maar ook in Europees verband. ‘Je hoeft niet per se een aanvaller uit Rusland aldaar op te pakken, maar je kunt er wel voor zorgen dat je hun activiteiten in Nederland zoveel mogelijk belemmert. Dáár zou wat mij betreft de focus op moeten liggen.’

Internationale samenwerking op dit terrein bestaat nu al, onder andere via Europol, maar volgens Van Oeveren kan dit effectiever worden ingericht met duidelijker afgebakende verantwoordelijkheden en meer capaciteit per land. Zo zou Defensie nog veel meer kunnen doen in het bestrijden van staatshackers, vindt hij: ‘Vooral door aanvallers terug te hacken en de door hen gebruikte infrastructuur uit te schakelen.’

Terughacken cyberaanvallers

De ontwikkeling van offensieve capaciteiten op het gebied van hacken speelt volgens Van Oeveren een cruciale rol in de komende jaren. De vraag hoe Nederland moet reageren op statelijke aanvallen is complex en raakt aan juridische, politieke en diplomatieke grenzen. Terughacken kan in bepaalde gevallen noodzakelijk zijn om verdere schade te voorkomen, maar vereist duidelijk beleid en richtlijnen over wanneer en hoe een tegenactie mag worden uitgevoerd.

Van Oeveren stelt dat er momenteel geen duidelijke verantwoordelijkheid is toegewezen: ‘De overheid is hier maar heel beperkt mee bezig. Krijgsmacht en inlichtingendiensten hebben wel een bepaalde capaciteit, maar het is onduidelijk hoe dit precies ingezet moet worden. Het gaat niet alleen om geld, maar om aansturing. Die ontbreekt nu.’

Juridisch grijs gebied

De meest complexe uitdaging is het juridische grijze gebied rond statelijke aanvallers. Veel aanvallen zijn moeilijk juridisch te traceren, zeker wanneer staten gebruikmaken van indirecte methoden, zoals het inschakelen van cybercriminelen. ‘Er ontbreken heldere richtlijnen over wanneer een aanvaller als staatsactor kan worden beschouwd, en dit bemoeilijkt zowel nationale als Europese handhaving.’ Volgens Van Oeveren moet dit grijze gebied worden omgezet in duidelijke regelgeving, waarbij zowel juridische kaders als internationale afspraken helder maken wat de definitie is van een staatsaanvaller en wanneer actie gerechtvaardigd is. Hier ligt met name een uitdaging voor Brussel. ‘Alleen met deze helderheid kan Nederland effectief reageren.’

Deze versturen we 3-4x per jaar.