Waarom de overheid in 2030 niet klaar is voor een massale cybercrisis
De kans op een cyberaanval die alle gemeenten raakt wordt steeds reëler, maar er moet nog veel gebeuren voor een goede voorbereiding.
De kans dat Nederland slachtoffer wordt van een massale cyberaanval neemt volgens experts toe. Naast kritieke infrastructuur zijn gemeenten potentiële doelwitten. Wat staat hen te wachten als er tussen nu en 2030 een grootschalige cybercrisis plaatsvindt?
Nederland begeeft zich momenteel in een ‘grijze zone’ van oorlogsvoering. ‘Er is geen directe oorlog met Rusland, maar het is ook geen vrede’, zei defensieminister Ruben Brekelmans (VVD). De kans dat de Nederlandse overheid slachtoffer wordt van een massale cyberaanval die gericht is op cruciale infrastructuur wordt volgens experts dan ook steeds groter. Genoemde doelwitten zijn energie- en stroomnetwerken, drinkwatervoorzieningen en de kabels in de Noordzee.
Ook gemeenten staan op de lijst. Wat komt er op hen af wanneer er ergens tussen nu en 2030 een grootschalige cyberaanval doel treft? De Lochemse burgemeester Sebastiaan van ’t Erve (GroenLinks) en CISO van de gemeente Den Haag Jeroen Schipper benoemen diverse uitdagingen bij een dergelijk scenario.
Dichterbij dan gedacht
Een scenario waarbij Nederland getroffen wordt door een massale cyberaanval is dichterbij dan we ons graag willen voorstellen, zegt Van ’t Erve, die in zijn vrije tijd promotieonderzoek doet naar cybercrises. Hij zit in de adviesraad van het Agentschap van de Europese Unie voor Cyberbeveiliging (ENISA). ‘Daar hebben wij gesproken met het hoofd Digitale Weerbaarheid uit Oekraïne’, vertelt Van ’t Erve. ‘Dat gaf mij een heel scherp beeld van wat er mis kan gaan wanneer de samenleving getroffen wordt door zo’n aanval. Discussies over wie verantwoordelijk is voor wat, vervallen dan heel snel. Het gaat dan alleen nog over het zo snel mogelijk veiligstellen of overeind krijgen van basale systemen.’
Schipper denkt dat een dergelijke ontwrichtende aanval ‘steeds reëler’ wordt: ‘Als statelijke actoren het echt willen, komen ze bij je binnen’, vreest ‘de CISO van het jaar’. ‘Je kan daar als gemeente heel veel maatregelen tegen treffen, maar ik denk dat het ijdele hoop is dat je ze echt buiten de deur kan houden.’ Gemeenten moeten dus minimaal beschikken over heel goede monitoring en detectie, tegenmaatregelen en een plan voor als het toch mis gaat, zegt hij: ‘Een aanval kan ook doeltreffen bij een voor gemeenten kritieke of vitale dienstverlener, waardoor gelijk vele gemeenten geraakt worden. Ook daar kan je je op voorbereiden.’
Principiële keuzes
Wat Van ’t Erve betreft is het hoog tijd dat er principiële keuzes gemaakt worden door de overheid. Die gaan volgens hem over het terugbrengen van complexiteit en aanbrengen van meer standaardisatie in de overheids-ict. Vijf jaar geleden werd de gemeente Lochem slachtoffer van een hack. ‘Dat hebben we overleefd omdat we twee principes al eerder hadden toegepast in onze organisatie: standaardisatie en complexiteitsreductie’, vertelt de burgemeester. ‘Dat klinkt als technische maatregelen, maar het zijn eigenlijk heel principiële keuzes voor een compacte IT-architectuur waarmee je sneller kan schakelen.’
Het is volgens Van ’t Erve voor overheden hoog tijd om bij het aanbesteden veel slimmer en veel samenhangender te acteren. De keuzes daarbij gaan onder meer over de digitale soevereiniteit van de overheid, die in zijn ogen nog vooral afhankelijk is van Amerikaanse datacenters. Veel overheden gebruiken voor hun applicaties cloudtechnologie uit de
Verenigde Staten.
Bij Schipper klinkt eenzelfde geluid. Wat hem betreft moeten maatregelen bij grote digitale rampscenario’s nog veel meer op nationaal niveau worden doorgesproken. ‘We sluiten als gemeente nu contracten af voor cybersecuritydiensten op lokaal niveau, terwijl dit ook op rijksniveau geregeld zou kunnen worden. Op dit moment wordt er al gezamenlijk ingekocht met digitalisering door gemeenten, maar er valt op gebied van cybersecurity nog veel winst te behalen.’
De CISO constateert daarnaast dat het kabinet in het Regeerakkoord geen gehoor geeft aan de roep om meer investeringen in cybersecurity bij gemeenten: ‘Iedere gemeente heeft zo zijn eigen cybersecurity-risico’s, waarvoor investeringen nodig zijn. Voor de een zit dat in monitoring en detectie, voor de ander in anti-phishingmaatregelen, of beiden. Op een gegeven moment moet je kiezen: risico’s accepteren of meer kosten maken.’
AI en post-quantum cryptografie
Het is een vraagstuk waar juist het rijk het verschil zou kunnen maken, denkt Schipper. Daarbij gaan de huidige ontwikkelingen op gebied van AI en post-quantum cryptografie erg snel. ‘Naar de risico’s die daarbij komen kijken doet de overheid ook onderzoek, net als de gemeente Den Haag, maar capaciteit om hiermee echt aan de slag te gaan ontbreekt nog bij gemeenten. Daar is dus een sterke afhankelijkheid van de overheid, waarbij gemeenten zeker een rol kunnen spelen.’
Behalve qua geld en techniek, zijn in Nederland ook niet genoeg handjes beschikbaar bij een écht grote cyberaanval. Van ’t Erve: ‘We weten door eerdere gebeurtenissen al dat er te weinig cybersecurity-capaciteit is. Van incident responders hoor ik dat er weekenden zijn waarin vrijwel iedere cybersecurityspecialist bezig is om getroffen klanten te helpen. Wanneer er een écht groot incident is, zijn er niet genoeg mensen voor de Nederlandse overheid en het bedrijfsleven om alle organisaties weer snel te laten opereren.’ Wetgeving die regelt welke organisaties voorrang krijgen is er niet. ‘Het is een voorbeeld van één van de dingen die we veel beter op orde moeten krijgen’, zegt Van ’t Erve. ‘Wie is de crisiskapitein en mag cybersecurity-capaciteit vorderen? Oftewel: wie heeft het mandaat?’
Krappe cybersecuritymarkt
Schipper verwacht dat veel gemeenten bij een grote crisis naar hun vaste dienstverleners zullen kijken: ‘Het is een lastige markt en dat probleem zullen we houden. Op het moment dat vele organisaties geraakt worden, is er veel dienstverlening van cybersecuritybedrijven nodig.’ Maar in Nederland is de cybersecuritymarkt krap, ziet ook Schipper: ‘Gemeenten kijken daarom steeds meer naar zogeheten “managed services”, waardoor de leverancier taken op zich neemt. Door contracten af te sluiten kun je ook met een leverancier afspreken dat er binnen een afgesproken tijd een aantal securityprofessionals naar het stadhuis komt. Zoiets helpt.’
Capaciteit slim verdelen
Maar bij een grote digitale aanval kijkt iedereen mogelijk naar dezelfde leveranciers. ‘De vraag hoe we dat managen is terecht. Als er in één keer 342 gemeenten zijn die capaciteit vragen, dan is dat vrij snel uitgeput’, aldus Schipper. Van ’t Erve heeft zelf genoeg ‘mensen in zijn telefoon’ die zijn gemeente kunnen helpen wanneer er iets op cybergebied misgaat. ‘Maar misschien is het goed voorstelbaar als een minister de afweging maakt om te bepalen of beschikbare cyberspecialisten in geval van nood eerst gemeente Lochem, of juist een veel grotere gemeente helpen wanneer iedereen geraakt wordt. Die bevoegdheid is nu nog niet geregeld en zou ik zeker aanraden richting het ‘grote’ incident dat er vóór 2030 komt.’
Schipper denkt dat situaties kunnen veranderen wanneer een cyberincident overgaat naar een fysiek incident. Bijvoorbeeld als de voedselvoorziening wordt lamgelegd met een cyberaanval. ‘De burgemeester of de lokale driehoek krijgt dan de belangrijkste stem. Binnen Den Haag werken we wel aan dit soort afspraken, door grote vitale organisaties uit te nodigen om hierover te praten.’
Oefeningen zijn te vrijblijvend
Meer oefenen met scenario’s voor grote cyberaanvallen zijn volgens Schipper alvast goede stappen, maar dat
gebeurt nog te weinig. ‘Bij de afgelopen editie van de Rijksbrede Cyberoefening deed slechts een handvol gemeenten mee. Het is nu te vrijblijvend: wat mij betreft moet iedere gemeente hiermee aan de slag. We kunnen er nog veel meer tijd en effort in steken om gezamenlijk te oefenen en aandacht te geven aan scenario’s waarbij digitale incidenten leiden tot fysieke incidenten.’
Een ander belangrijk punt waar de overheid zich op moet richten, is het vergroten van het bewustzijn onder Nederlanders over de kans dat er een grote cyber-aanval plaatsvindt. De door het rijk geadviseerde noodpakketten voor cybercrises met contant geld en ID-kaarten zijn niet overbodig, meent de Lochemse burgemeester: ‘We moeten het blijven uitleggen en tastbaar maken. In landen als Estland en Oekraïne zijn ze stevig geraakt. In Nederland heeft men steeds minder contant geld op zak. Wat als al het digitale financiële verkeer eruit ligt en je niet meer kan pinnen?’
Zelfredzaamheid onder druk
Door toenemende digitalisering staat de zelfredzaamheid van Nederlanders volgens Van ’t Erve steeds verder onder druk: ‘We moeten daarom goed nadenken over hoe we opschalen van een computerincident naar een landelijke crisis met een cybercomponent. Wanneer er drie maanden geen uitkeringen betaald kunnen worden, kan dat leiden tot ernstige maatschappelijke onrust. En dan moet je maar hopen dat de politie nog te bereiken is.’
Alles kan omvallen
Schipper sluit af met de boodschap dat gemeenten voor kwaadwillende buitenlandse staatshackers een interessante partij zijn om onrust te veroorzaken in een land: ‘Bij gemeenten kun je als hacker disruptieve effecten voor de hele samenleving veroorzaken. Mensen kunnen in opstand komen omdat ze geen toeslagen ontvangen, tunnels en bruggen kunnen onklaar worden gemaakt en allerlei opstoppingen veroorzaken.’ Van ’t Erve durft bij een grootschalig overspoelscenario, waarin alle grote statelijke actoren zich op Nederlandse gemeenten richten, niets te garanderen: ‘Alles kan dan omvallen en het is helaas geen illusie dat dit zal gebeuren.’
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.