Nederlandse cyberweerbaarheid aan vele kanten onder druk

Het gaat niet goed met de strategische digitale veiligheid van Nederland. Het lukt veel overheidsorganisaties maar niet om goed om de zaken op orde te krijgen, constateert het Adviescollege ICT-toetsing. De nationale informatiepositie dreigt te verslechteren doordat de Verenigde Staten zich terugtrekken uit internationale cyberorganisaties. Ondertussen onthult NRC dat de internet- en elektriciteitskabels in de Noordzee er al jaren onbeschermd bij liggen.

Cyclus voor risicobeheer

Het aantal cyberincidenten neemt toe en de strategische digitale veiligheid van Nederland staat steeds meer onder druk. Het Adviescollege ICT-toetsing (AcICT) merkt dat veel overheidsorganisaties moeite hebben de juiste maatregelen uit te voeren. Daarom brengt het een handreiking strategische digitale veiligheid uit, gevuld met adviezen gebaseerd op recente onderzoeken van het AcICT en uit publieke casussen. Ze sluiten aan bij bestaande informatiebeveiligingsrichtlijnen, zoals de Baseline Informatiebeveiliging Overheid (BIO-2).

Effectief risicobeheer voor digitale veiligheid moet onderdeel uitmaken van de bedrijfsvoering, is de kern van de boodschap. Het AcICT adviseert te werken op basis van actuele inzichten en vervolgens concrete maatregelen te implementeren om de strategische digitale veiligheid te verbeteren. Zorg dat alle medewerkers hun verantwoordelijkheid nemen en stel bij op basis van periodieke evaluaties, luidt het advies in het kort.

De werkwijze is een cyclus, die regelmatig moet worden herhaald, want kwaadwillenden zijn ook niet gek en passen hun strategieën aan. Bovendien zijn er altijd weer veranderingen in processen, software en hardware van een organisatie. ‘Maatregelen van gisteren zijn vandaag achterhaald en risico’s moeten voortdurend opnieuw worden ingeschat,’ aldus het AcITC.

Integrale benadering

De beknopte handreiking oogst naast veel lof ook kritiek, omdat strategische digitale veiligheid niet in verband wordt gebracht met gegevensbescherming vanuit de naleving van de algemene verordening gegevensbescherming (AVG) en de Wet politiegegevens (Wpg). ‘Een hack is nog steeds ook een datalek dus laten we aandacht vragen voor een integrale benadering zodat de bestuurders zo volledig mogelijk geïnformeerd besluiten kunnen nemen,’ schrijft Functionaris gegevensbescherming en Binnenlands Bestuur-columnist Marjolein Louwerse op LinkedIn.

Het denken in silo's is een reële beperking in de strijd tegen cyberaanvallers. Een Chief Information Security Officer (CISO) moet niet alleen goed samenwerken met de functionaris gegevensbescherming (FG) en de bestuurders van de organisatie, maar ook met CISO’s van andere organisaties en het relevante Computer Security Incident Response Team (CSIRT). Als er één ding duidelijk wordt uit het net verschenen jaaroverzicht 2025 van de Informatiebeveiligingdienst (IBD) van de gemeenten, dan is het dat landelijke samenwerking hard nodig is om de cyberweerbaarheid van Nederland te versterken - en dat de IBD daar gelukkig ook volledig op ingericht is.

Cyberinformatie delen zonder de VS

Voor snelle informatiedeling en ondersteuning is actuele dreigingsinformatie daarbij onontbeerlijk. Maar de 'America First'-strategie van president Donald Trump dreigt de informatiepositie van Nederland momenteel te verslechteren. De Verenigde Staten trekken zich terug uit 66 internationale organisaties die volgens Trump niet genoeg rendement opleveren of niet passen bij de nationale belangen. Het gaat onder meer om het European Centre of Excellence for Countering Hybrid Threats, het Global Forum on Cyber Expertise en de International Law Commission.

De VS speelden tot voor kort een prominente rol in internationale samenwerkingen op het gebied van cyberweerbaarheid. Het wegvallen van de Amerikaanse bijdrage kan leiden tot minder financiële middelen, minder technische expertise en afnemende invloed binnen deze netwerken. De kans is groot dat dit ten koste gaat van de snelheid en effectiviteit van internationale waarschuwingen voor nieuwe dreigingen. Cyberveiligheidsexperts wijzen erop dat deze actie van de VS statelijke actoren in de kaart speelt. Die zullen profiteren van gaten in samenwerking en informatie-uitwisseling. Ook cybercriminelen zien hun kans natuurlijk schoon.

Onbeschermde zeekabels

Daarnaast ligt er een ander probleem op de loer, dat geheel buiten de invloedsfeer van decentrale overheidsorganisaties ligt, maar waarvan de gevolgen voor heel Nederland merkbaar kunnen zijn: NRC meldt woensdag dat de Nederlandse Kustwacht te weinig mensen en middelen heeft om internet- en elektriciteitskabels en andere infrastructuur in de Noordzee in de gaten te houden. Met een beroep op de Wet open overheid (Woo) achterhaalde de krant dat geen enkel ministerie geld wil uittrekken om deze kritieke infrastructuur te beschermen tegen sabotage en spionage. Er ligt al jaren een plan, het Programma Bescherming Noordzee Infrastructuur (PBNI), dat in het leven is geroepen na de invasie van Rusland in Oekraïne, maar dat komt door het gesteggel over geld nauwelijks van de grond.

Hybride oorlogsvoering

'Kwaadwillenden gaan soms verder dan men voor mogelijk houdt,' waarschuwt het AcICT in de handreiking. Uit een aantal spraakmakende voorbeelden blijkt dat ze er niet voor terugdeinzen om meerdere jaren en vaak tientallen miljoenen in een aanval te steken. Bovendien zijn ze opportunistisch: een aanval kan toegang tot systemen of gegevens verlenen voor toekomstig gebruik, ook als er geen sprake is van directe operationele waarde of noodzaak. Rustig afwachten en toeslaan als het juiste moment zich aandient, lijkt het devies bij hybride oorlogsvoering - of het nu gaat over het benutten van een kwetsbaarheid in een gemeentelijke websites of spionage op de Noordzee met drones.