'Cyberplannen kabinet eerste stap, maar er is meer nodig'
De nieuwe cyberagenda van het kabinet moet Nederland beter voorbereiden op grootschalige cyberaanvallen die de nationale overheid bedreigen. Het is een ambitieus plan, maar hoe het uitgevoerd gaat worden, moet nog maar blijken, zeggen deskundigen. Ze zien nog veel ruimte voor investeringen.
Volgens cyberexpert Frank Groenewegen van Fox-IT wordt het de hoogste tijd om meer te doen aan de cybersecurity in Nederland. "We lopen nu nog te veel achter de feiten aan. De overheid moet meer aandacht besteden aan controle, certificering en wetgeving, net zoals in andere branches. De plannen van het kabinet zien er goed uit, maar het is de vraag hoe het in de praktijk gaat uitpakken."
Ontwrichting van samenleving
Nederland moet vooral niet naïef zijn over het risico op aanvallen van buitenaf. Dat hacks bij ons de samenleving nog niet ontwricht hebben, komt vooral doordat Nederland geen onderdeel is van grote politieke conflicten, zegt Groenewegen. "Maar het kan wel degelijk gebeuren. Denk aan Russische hacks op het elektriciteitsnetwerk in Oekraïne of de hack die een kerncentrale van Iran platlegde. Dat zijn echt zaken met een grote maatschappelijke impact."
Volgens Groenewegen is Nederland er nog lang niet op het gebied van beveiliging. De overheid moet een voorbeeld nemen aan Groot-Brittannië, waar jaarlijks bijna 2 miljard pond wordt geïnvesteerd in cybersecurity. "Als je naar die 95 miljoen van ons kijkt, dan is dat veel te weinig."
Deze week waarschuwden Amerikaanse en Britse veiligheidsdiensten voor Russische staatshackers, die proberen in te breken bij essentiële internet- en infrastructuur. Groenewegen heeft op basis van die waarschuwing bekeken hoeveel apparaten er mogelijk kwetsbaar zijn in Nederland. Volgens hem zijn dat er in totaal 1362.
Dans ontsprongen
Hij deed dat onderzoek naar een specifieke kwetsbaarheid in de software, maar er zijn nog veel meer zwakke plekken waar kwaadwillenden misbruik van kunnen maken. "Het is belangrijk dat bedrijven uit de vitale sector, zoals energieleveranciers, telecomproviders en bijvoorbeeld de waterzuivering goed beveiligd zijn. Met een druk op de knop kan een hacker de gehele samenleving verstoren. Gelukkig zijn we die dans nog ontsprongen."
Voor de overheid is het ook lang niet overzichtelijk welke bedrijven eigenlijk van vitaal belang zijn voor onze samenleving. Groenewegen wijst op de hack bij beveiligingsbedrijf Diginotar in 2011, waardoor certificaten op internet werd gehackt. "Diginotar stond niet op de lijst van kritieke infrastructuur, maar toen het bedrijf werd aangevallen, kwamen we er snel achter hoe groot gevolgen waren."