Nederlandse overheid beseft urgentie van cybersecurity en cybercrime niet

De wereldvreemdheid van de Nederlandse overheid en politiek is immens. Het doet er alles aan om te suggereren dat Nederland een eiland is. Neem het onderwerp cyberveiligheid. Afgelopen woensdag 13 september hield Director of National Intelligence Dan Coats een toespraak op de Billington Cybersecurity Summit in Washington. Hij schetst een beeld van bedreigingen van de kritische infrastructuur of het hacken van bedrijfsnetwerken van de Amerikaanse defensie-industrie en technologiebedrijven. Tegelijk verdedigde hij zich tegen zijn voorganger James Clapper (‘former officials’) die kritisch is op de aanpak van cyberveiligheid door de regering-Trump en houdt hij een pleidooi voor hechte samenwerking met het bedrijfsleven.

Of de Amerikaanse regering goed, niet goed genoeg of verkeerd bezig is valt te bezien, maar in elk geval zegt Coats de ernst van de dreiging van landen als de Russische Federatie, China, Iran of Noord-Korea te beseffen. Zijn waarschuwing is duidelijk: ‘We have not experienced yet a catastrophic attack. But I think everyone in this room is fully aware of the ever-growing threat to our security.’ De klap kan elke moment komen, in elk land. Ook in Nederland. Overigens is de Amerikaanse overheid niet alleen in de verdediging, maar valt het andere landen aan, zoals de geschiedenis met het Israëlisch-Amerikaanse Stuxnet verduidelijkt. In 2009 werd met fataal gevolg een virus geplaatst in ultracentrifuges die deel uitmaakten van de Iraanse nucleaire industrie.

Nog in juni 2017 was er de kwaadaardige software van het Petya-virus die was bedoeld om de Oekraïense economie schade toe te brengen. Het verspreidde zich door heel Europa en bracht vele bedrijven schade toe. Terwijl de aanval niet eens op die bedrijven was gericht. Gezien de sinds 2014 woedende oorlog tussen Oekraïne en de Russische Federatie die niet alleen op het slagveld in Oost-Oekraïne, maar ook in de publiciteit en de digitale wereld wordt uitgevochten bestaat het sterke vermoeden dat het virus met medewerking van het Kremlin vanuit de Russische Federatie werd verspreid. Als het tegen een NATO-lid was gericht en er cruciale schade aan de infrastructuur van betreffend land was aangebracht, dan had het als een oorlogsdaad opgevat kunnen worden dat artikel 5 in werking zette. Een voor allen, allen voor een. Zonder dat een aanval op Nederland is gericht kan ons land door een digitale aanval dus in een oorlog betrokken worden.

Cyberveiligheid is niet hetzelfde als cybercriminaliteit, maar er zijn raakvlakken. Terroristen hebben vaak vanuit hun verleden contact met criminele netwerken opgebouwd. Dat geldt voor een land als de Russische Federatie waar directe lijnen lopen van overheid naar maffia. Ook in de VS is dat het geval waar president Trump voor zijn vastgoedprojecten contacten had met de Russische (Semjon Mogilevitsj) en de Russisch-Amerikaanse maffia (Felix Sater). Overheidsdiensten moeten nauw samenwerken om de digitale dreiging te weerstaan. Want elke zwakke plek wordt opgezocht en kan worden afgestraft. De gevolgen kunnen desastreus zijn. Bovenwereld en onderwereld, criminaliteit en traditionele oorlogsvoering zijn vermengd geraakt.

Is Nederland er klaar voor en beseft het de urgentie van de situatie? Nee, het lijkt er in de verste verte niet op. Gerrit van der Burg is als voorzitter van het College van procureurs-generaal specifiek verantwoordelijk voor cybercrime. In die hoedanigheid gaf hij vandaag een interview aan het AD dat de Volkskrant in een bericht samenvat. Er ontstaat een ontluisterend beeld van het OM. ‘We trekken er hard aan, maar we zijn er nog niet klaar voor’ en ‘We zijn van oorsprong geen digitale organisatie’. Nee, allicht niet, geen enkel OM in geen enkel land is van oorsprong een digitale organisatie. De verplichting rust op de leiding van het OM om dat als de wiedeweerga te worden. ‘Het onvoorstelbare wordt voorstelbaar, als het gaat om cybercrime’, zo zegt Van der Burg. Maar wat hij zich nou precies voorstelt blijft raadselachtig. Naar verluidt wil het komende kabinet 25 miljoen euro vrijmaken voor de bestrijding van cybercriminaliteit. Dat is veel te weinig en het komt erg laat.

Foto: ‘Foto: ‘Dutch Visit: Col. Jeff Schilling, of G-5/7, briefs Brig. Gen. Hans Hardenbol, along with Dutch military delegation, during a visit to the Army Cyber Command.‘ Op de site van de U.S. Army Cyber Command/ U.S. 2nd Army is deze foto uit 2012 niet meer terug te vinden, hier wel bij een commentaar.

Advertentie

Bits of Freedom: maatregelen tegen spionage. Bespied ons niet

Digitale burgerrechtenbeweging Bits of Freedom overhandigde vandaag minister Ronald Plasterk ‘een pakket met concrete maatregelen die genomen moeten worden‘. Dit naar aanleiding van de recente onthullingen over de spionagepraktijken van inlichtingendiensten. Directeur Hans de Zwart: ‘Dit is hét moment voor de regering om strenge maatregelen te nemen om deze spionagepraktijken te stoppen.‘ Op bespied-ons-niet.nl noemt Bits of Freedom een lijst maatregelen die de regering moet nemen om een vuist te maken tegen deze spionage. Het gaan om een mix van maatregelen. De geheime diensten in Nederland moeten aan banden worden gelegd. De regering moet onderzoeken wat de schaal van de spionage is. Doelwitten van economische spionage moeten worden onderzocht. De regering moet het gebruik van beveilingstechnologie bevorderen. In Europa moet Nederland eisen dat onderhandelingen met de VS worden gestopt.

Interessant is de twijfel aan de onafhankelijkheid van internetbeveiligingsbedrijf Fox-IT: ‘Fox-IT is de leverancier van informatiebeveiliging van veel grote bedrijven in Nederland, de overheid én onze geheime diensten. Kunnen we sinds de hacks van de NSA er nog wel zeker van zijn dat hun systemen of mensen niet zijn gecompromitteerd?‘ Ook opvallend is de oproep om de zeekabels te onderzoeken: ‘De regering moet onderzoeken of de NSA of GCHQ de zeekabels aftapt die in Nederland uitkomen. Er komen zes internationale zeekabels met internetverkeer in Nederland uit. Ook hiervan moeten de resultaten worden gepubliceerd. ‘

Foto’s: Schermafbeeldingen van ‘Bespied ons niet‘ van Bits of Freedom, 4 december 2013.

China steelt wapensystemen. Wat is de digitale les?

De eindredactie van Techzine gaat de mist in met een kop die de lading niet dekt: ‘China steelt wapenplannen van Nederlandse leger‘. Een claim die vraagt om onderbouwing. Maar die ontbreekt. Begrijpelijke verwarring omdat de tekst tot twee keer toe indirect verwijst naar het Nederlandse leger. Feit dat Nederland ontwerpen van Amerikaanse wapens gebruikt die ergens zijn gestolen wil echter nog niet zeggen dat dat in Nederland gebeurde. Het zou ook niet logisch zijn dat de Amerikaanse regering zo’n hack bij een bevriend land naar buiten zouden brengen. Dat zou een trouwe bondgenoot in het diplomatieke verkeer compromitteren.

Het gaat om de diefstal door Chinese hackers van ontwerpen van Amerikaanse wapensystemen. Het Pentagon maakt zich daar zorgen over. Want als de Chinese overheid de ontwerpen van wapensystemen doorgrondt kan het zich wapenen om ze te blokkeren (‘jammen‘) of uit te schakelen. Achterliggende reden is dat internet, dat de VS economisch en militair de afgelopen 20 jaar enorm voordeel heeft gebracht, het land ook kwetsbaar heeft gemaakt, aldus een publieksrapport van adviesgroep Defense Science Board. Een Amerikaanse hooggeplaatste militaire functionaris zegt over de diefstal dat het krankzinnig is dat China via hacken een achterstand van 25 jaar onderzoek en ontwikkeling inhaalt en miljarden dollars aan gevechtsvoordeel behaalt.

Een stuk van The Washington Post dat aanleiding was voor de berichtgeving van Techzine maakt gebruikt van een vertrouwelijke versie bij het eerdere rapport uit januari 2013 van de Defense Science Board. De Post had inzage in de lijst van ‘gecompromitteerde wapenontwerpen’. Dat gaat van de nieuwste versie van het Patriot afweersysteem PAC-3 tot de afweersystemen van ballistische raketten THAAD en het Aegis, en ontwerpen van vitale gevechtsvliegtuigen en schepen. Van de controversiële F35- JSF werd onlangs bekend dat het ontwerp al in 2007 is gehackt. Als reactie is het Pentagon enkele jaren geleden een proefprogramma gestart om de defensie-industrie betere digitale bescherming te geven. Met als gevolg dat de Chinezen zich gingen richten op onderaannemers en andere landen. Maar Nederland wordt in openbare bronnen niet expliciet genoemd.

De naïviteit van de Amerikaanse overheid is onthullend. Het eigende zich de voordelen van het werken met internet toe, boekte dat budgettair in, maar realiseerde zich te laat dat er nadelen aan verbonden waren. Die kostenpost voor bescherming werd verhuld of om politieke redenen genegeerd. De Nederlandse overheid zit nog middenin dat proces van bewustwording. Minister Plasterk boekt 300 miljoen euro in door overheidstaken digitaal te willen gaan regelen. Dat problematiseert dan niet militaire geheimen, maar de privacy van de burger. Bij incidenten vaart de overheid blind op internetbeveiligers als Fox-IT die er belang bij hebben om de gevaren van cybercrime uit te vergroten. Zowel met de overmoed van Plasterk als het schrikbeeld van Fox-IT schiet Nederland iets op. Nodig is evenwichtig overheidsbeleid dat burgerrechten en veiligheid garandeert.

Foto: Een Chinese bewaker in het Nationaal Congres. Credits: EPA.

Terughacken door overheid beperkt privacy en cybersecurity

Minister Ivo Opstelten van Veiligheid en Justitie wil dat de overheid terug gaat hacken. Daartoe wil hij meer opsporingsbevoegdheden. Hij licht zijn voorstellen toe in een brief aan de Tweede Kamer. Ze moeten begin 2013 leiden tot een conceptwetsvoorstel. ‘Er is een inhaalslag nodig om de opsporing en vervolging van cybercrime te versterken.’ Een en ander betekent dat de overheid computers, maar ook mobiele telefoons binnendringt en er zelfs spyware plaatst. De voorstellen kunnen nog bijgesteld worden door de politiek.

Ze zijn in lijn met wat Ronald Prins van Fox-IT zegt. Webwereld noemde het al in 2010 zijn stokpaardje: De overheid moet terug kunnen hacken. Omdat het nu over het randje van het toelaatbare gebeurt doordat het in strijd met de mensenrechten is, dient blijkbaar de wet aangepast te worden. De overheid is de grootste opdrachtgever van Fox-IT zodat dit bedrijf belang heeft bij de uitbreiding van de opsporingsbevoegdheden.

Directeur Ot van Daalen van digitale burgerrechtenbeweging Bits of Freedom noemt in De Volkskrant de voorstellen schokkend. Hij ziet in terughacken door de overheid geen oplossing, maar juist een risico voor de cybersecurity. Want een lek dat de politie gebruikt wordt niet gerepareerd, maar biedt cybercriminelen of China de mogelijkheid om in te breken. Terughacken maakt systemen kwetsbaar, is lastig binnen de perken te houden, heeft een internationale dimensie met onvoorziene gevolgen, kan tot misbruik in de opsporing leiden en raakt ook aan de privacy van burgers die deel van een onderzoek worden. Het voorstel is slecht doordacht.

Foto: Sworup Nhasiju

Honger leidt Fox-IT uit het bos

Ronald Prins van internetbeveiligingsbedrijf Fox-IT waarschuwt vandaag in de pers voor cyberaanvallen. Fox-IT werd vorig jaar door WikiLeaks op de zwarte lijst van de zogenaamde ‘Spy Files‘ gezet. Van bedrijven die overheden helpen met electronische spionage. Met brochures van FoxReplay als bewijs. Ronald Prins wimpelde het weg en zei niet onder de indruk te zijn van de kritiek van WikiLeaks. Toch kon Fox-IT niet garanderen dat dictatoriale regimes geen gebruik maken van FoxReplay waarmee internetverkeer afgetapt kan worden. Fox-IT werkte samen met dubieuze regimes als Egypte, Iran en de Verenigde Arabische Emiraten.

Volgens Webwereld werkt Fox-IT veel voor overheden. Af en toe wordt het door de politie ingeschakeld. Een constante is dat Ronald Prins door de jaren heen kritisch is gebleven op het beveiligingsniveau van de Nederlandse overheden. Die zouden te laks zijn. Door daarop te wijzen vergroot-ie de marktwaarde van Fox-IT. Prins staat een agressievere bejegening van hackers voor en wil de politie de mogelijkheid geven om terug te hacken. Digitale burgerrechtenbeweging Bits of Freedom vindt dat over het randje van het toelaatbare gaan.

Van Ronald Prins en Fox-IT resteert op zijn best een gemengd beeld. Activisten die zich inzetten voor digitale vrijheid en burgerrechten zien het bedrijf als controversieel. Onmiskenbaar heeft Fox-IT kennis en producten die aantrekkelijk zijn voor overheden die achter de ontwikkelingen aanlopen, zoals Prins opmerkt.

Dat Prins de publiciteit kiest kan opgevat worden als signaal richting overheid. Het wil doen uitkomen dat Fox-IT in tegenstelling tot andere bedrijven onmisbaar is. Ronald Prins poetst met medewerking van de Nederlandse pers zijn prospectus op. En dat kort na een bezoek van de Nederlandse defensietop met brigade-generaal Hans Hardenbol aan het U.S. Army Cyber Command en kort voor de 3e Roundtable op Nyenrode op 11 september 2012 van de Dutch Cyber Warfare Community. Waar overheid en bedrijfsleven samenkomen.

Foto: Cyber War!

VS werkt aan meer controle over het internet

‘De Amerikaanse internet-infrastructuur moet opnieuw worden ontworpen, zodat de NSA (National Security Agency) meteen weet meteen wanneer buitenlandse hackers publieke of private infrastructuur en computernetwerken aanvallen, zo heeft generaal Keith Alexander vandaag gezegd‘. Aldus Tom Simonite op TechnologyReview. De baas van de NSA verschijnt voor het eerst op de DefCon conferentie in Las Vegas. Waar hackers samenkomen. Het lijkt erop dat hackers gerecruteerd worden om de controle van de Amerikaanse overheid over het internet te helpen vergroten. Onder het motto If cou can’t beat them, let them join you.

Foto: ‘Dutch Visit: Col. Jeff Schilling, of G-5/7, briefs Brig. Gen. Hans Hardenbol, along with Dutch military delegation, during a visit to the Army Cyber Command.‘ Op de site van de U.S. Army Cyber Command/ U.S. 2nd Army