Toespraak staatssecretaris Dijkhoff, NRC Event Cybersecurity

Toespraak | 29-09-2016

Dames en heren,

Hoort koffie bij onze vitale infrastructuur, de voorzieningen en diensten die een land laten functioneren? Op dit tijdstip van de dag zullen de meeste mensen denken: Ja.

Tijdens de NCSC ONE conferentie van dit jaar ontstond een discussie over precies deze vraag. Is een simpel huishoudelijk apparaat als een espressomachine in potentie gevaarlijk genoeg om de stabiliteit van een land te bedreigen? De Russische cybersecurity-expert Eugene Kasperky en onze eigen Ronald Prins kwamen tot de conclusie dat dit niet zo was. En daar zit natuurlijk wel wat in.

Bij vitale infrastructuur denken we aan hele andere dingen. Betalingsverkeer, telecommunicatie, drinkwater, elektriciteit, dijkbewaking, noem maar op.

Waarom zou die koffie daar bij horen?

Toch kan ik niet uitsluiten dat het onderscheid tussen vitale infrastructuur en huis-, tuin-, en keukenapparaten de komende tijd gaat vervagen. Steeds vaker zijn apparaten verbonden met het internet. The Internet of Things. Dat is natuurlijk top.

Wie droomt er niet van dat je koelkast aan je smartphone doorgeeft dat de melk op is, zodat de supermarkt weet dat ze vanavond om zes uur een pak melk moeten bezorgen per drone?

Maar het is ook de nachtmerrie van elke ICT-beveiliger. Hoe regel je de beveiliging als elk apparaat verbonden is met alle andere apparaten via hetzelfde netwerk?

En dat verklaart de discussie over die koffie. Wat nou als elk apparaat op kantoor goed beveiligd is, behalve dat ene online espressoapparaat?Hack de koffie en je hebt in potentie toegang tot de het netwerk en de server. En hack je je een weg tot het betalingsverkeer, de energieleverancier en de zorgbestanden van alle medewerkers.

Is dit scenario realistisch? Nu waarschijnlijk nog niet. Niet omdat die netwerken allemaal ondoordringbaar zijn, maar omdat dat online koffieapparaat er nog niet staat. Maar we hebben nu al wel genoeg andere apparaten aan elkaar gekoppeld om ons er zorgen over te maken. Zeker omdat er genoeg te halen, kopiëren en manipuleren valt. Interessant voor nieuwsgierige landen en concurrenten, criminelen en terroristen.

Eerder deze maand heb ik het zesde cybersecuritybeeld Nederland naar de Tweede Kamer gestuurd. De kern: Een zorgelijk beeld van de veiligheidssituatie in het digitale domein. Toenemende en reële cyberdreigingen. En dan gaat het niet alleen om diefstal van geld of commerciële informatie, maar ook om de ondermijning van politiek, bestuur, en vitale infrastructuur.

Dat is géén geheime info: U leest het al gewoon in de krant.

  • “Duitse politici  weer doelwit  hackaanvallen van vreemde mogelijkheid.”
  • “CPB: risico financiële cybercrime neemt toe.”
  • “Haven bindt strijd aan met hackers.”

Welke les moeten we hier uit trekken? Vooral dat er een keiharde ratrace gaande is tussen degenen die ons digitale domein willen beschermen en de criminelen – en soms ook staten – die onze verdedigingslinies willen kraken voor financieel of strategisch gewin.

Om bij te blijven, moeten we dus stevig aan het werk. Allemaal, want de ontnuchterende waarheid is: De overheid kan dit niet voor u doen. We maken alleen een kans als de goeden informatie delen en samen kwetsbaarheden dichten. Als overheid kunnen we dit wel stimuleren en faciliteren. Dat is nodig en dat kost ook geld.

Ik ben ook echt blij dat we in de miljoenennota van vorige week een flinke investering in cyber hebben staan:

  • 5 miljoen euro tegen online misdaad volgend jaar;
  • 14 miljoen structureel vanaf 2018 voor cybersecurity en de aanpak van cyber criminaliteit;
  • Meer geld voor het Team High Tech Crime van de politie;
  • En meer capaciteit bij het Nationaal Detectie Netwerk, zodat we digitale gevaren sneller in het vizier krijgen.

Dat is belangrijk, maar daarmee zijn we er nog niet. Samenwerking is net zo belangrijk. Je kunt wel ieder voor zich een hek bouwen om je digitale domein, maar dat heeft weinig zin als we allemaal aan elkaar verbonden zijn. En in dat besef lopen we voorop in de wereld.

Eén van de vragen van vandaag is of Nederland een gidsland kan zijn als het gaat om cybersecurity. En ik denk dat we de wereld echt een boel hebben te bieden. Noem het voor mijn part een “digitaal poldermodel”.

Nu kan je je afvragen: Dat is wel ouderwets voor zoiets nieuws als cyber. Dat klopt. “Poldermodel” klinkt ongelofelijk saai. Maar in de tijd waar ons poldermodel naar verwijst was het droogleggen van hele stukken land behoorlijk high tech. Ik ben er trots op dat Nederland zich in de voorhoede bevindt. Veel snelle verbindingen, veel traffic die door onze kabels en servers gaat en veel online bedrijvigheid. Dat schept ook de verantwoordelijkheid in de voorhoede te spelen als het gaat om cybersecurity. En het is een grote kans om te vorm te geven hoe samenlevingen deze uitdaging benaderen. Als wij laten zien dat online én veilig én vrij kan zijn, dan kunnen we die balans exporteren.

In Nederland weten we dat cyber aan de ene kant een ongelofelijke kans is voor onze welvaart. Het maakt ons leven leuker en gemakkelijker. Maar in Nederland realiseren we ons dat we elkaar nodig hebben om dit in goede banen te leiden. We werken samen binnen overheidsorganisaties, met het bedrijfsleven en zelfs met hackers. Schiphol, de Rotterdamse haven, KPN, de Rabobank, allemaal zijn het partners waar we goed mee samen werken. Of het nu gaat om betere trainingen voor onze mensen of het verhelpen van kwetsbaarheden vóór er iets misgaat. Dat is de samenwerking.

Aan de andere kant moeten we de risico’s onder ogen zien. Vrijheid, veiligheid en welvaart vragen ook dat we kwaadwillenden het leven lastig maken. Kijk naar de wet computercriminaliteit III, die politie en justitie straks toestaat te onderzoeken door op afstand in computers te kijken. Alleen bij ernstige delicten. En alleen na een machtiging van een rechter-commissaris.

Dit digitale poldermodel – van samenwerking, van vrijheid, en van veiligheid - is het waard om te exporteren. En bij wijze van uitzondering zullen we als handelsland dit model gratis weggeven.
 

  • Want, hoe meer landen, bedrijven en organisaties in actie komen;
  • Hoe meer opsporingsdiensten slim te werk gaan;
  • Hoe meer mensen zich bewust zijn van de risico’s online;
  • Hoe vrijer en veiliger we zijn. Offline én online.

Dank u wel.