29 OKT, 2015 • Interview
'Ik kan het Nederlandse internet niet veilig houden'
Cybercrime en digitale spionage blijven de grootste bedreigingen voor de digitale veiligheid in Nederland. Dat blijkt uit het Cyber Security Beeld Nederland dat Klaas Dijkhoff onlangs naar de Kamer stuurde. De 34-jarige staatssecretaris van Veiligheid en Justitie waarschuwt ondernemers: ‘Cyberveiligheid is geen sluitstuk.’
Meneer Dijkhoff, wie het net verschenen Cyber Security Beeld Nederland leest, kan toch niet anders dan denken dat de dijken eerdaags doorbreken. Gaan de cybercriminelen het van ons winnen?
‘Dat is wel heel apocalyptisch. Zo zie ik dat niet. Ja, er is meer cybercriminaliteit, maar we doen ook steeds meer online. Steeds meer mensen en bedrijven maken zich afhankelijker van het internet, zonder dat er backup-systemen zijn. Daar is nog niet iedereen zich even bewust van.’
Zoals de politie? Mkb-ondernemers zeggen: Ik doe geen aangifte, de politie doet er toch niks mee.
Een zucht. ‘Ik vind dat altijd zo’n slap excuus. Aangifte doen kost geen weken. En: je moet de politie ook wel wat te melden hebben. Als jouw website drie dagen plat ligt en je hebt niks meer te melden dan ‘volgens mijn host was het een DDoS-aanval’, dan kunnen we ook niets zien. Als jij je beveiliging goed op orde hebt, registratie hebt, kunt zien waar het vandaan komt, dán kunnen we iets doen en je helpen. Dan kunnen we patronen herkennen, kan het cybersecurity centrum dat delen met andere bedrijven.’
Volgens ondernemers is het probleem dat de agent op het bureau er geen verstand van heeft.
‘De wijkagent hoeft ook geen whizzkid te zijn die kan terugvallen op specialisten zoals de digitale rechercheurs van het Team High Tech Crime. Het beeld dat ondernemers hebben van de politie is echt een kip-ei-verhaal. Als je geen aangifte doet omdat je denkt dat we niks kunnen, dan zal je ook nooit merken wat we wél kunnen.’
Heeft u wel een beeld van de schade die cybercrime bij ondernemers veroorzaakt?
‘Dat is lastig in kaart te brengen, omdat het zo divers is. Als je als ondernemer downtime hebt, kun je inkomsten missen. Als je bespioneerd wordt en geen goede beveiliging hebt, dan heb je dat zelf niet door en merk je pas na een paar jaar dat een concurrent uit China precies hetzelfde heeft gemaakt als waar jij mee bezig was. Kan gebeuren, maar het kan ook dat ze je systeem zijn binnengedrongen. Als jij jezelf daarop niet laat checken en registreert wat voor abnormale activiteiten er plaatsvinden, dan kan de overheid ook niks voor je doen.’
Moeten ondernemers dan maar een eigen hacker in dienst nemen?
‘Als een bedrijf groot genoeg is, dan kan dat interessant zijn, ja. Bespreek het in de boardroom. En niet ergens als sluitstuk en oh, laten we ook even kijken of de virusscanner up to date is.’
U bent zelf ook ict-adviseur geweest. Rare dingen gezien?
‘Dat is wel een hele tijd geleden. Als ik het wachtwoord van een klant moest hebben, vroeg ik me wel af of gokken niet sneller was dan bellen. Naam vrouw, geboortedatum oudste kind. Er is veel veranderd sindsdien, maar nog niet genoeg. Ik snap ook wel dat een ondernemer elke investering moet terugverdienen, maar laat nou iemand met verstand er naar kijken. Dat de basale dingen op orde zijn.’
De overheid gaat dus niet elke computer beveiligen…
Lachend: ‘Als dat maar duidelijk is.’
…maar gaat de overheid wel de criminelen voor ondernemers oppakken? Is de pakkans hoog genoeg?
‘Die is nooit hoog genoeg. Die kan áltijd beter.’
Heeft u er genoeg kennis, bevoegdheden en middelen voor?
‘In de fysieke wereld gaat dat een stuk makkelijker. Cybercrime is internationaal en daarmee een stuk complexer. Ik kan onze politiemensen er niet altijd op afsturen, waardoor de pakkans niet gerelateerd is aan onze expertise of wat we kunnen zien. Het blijft een kat-en-muisspel.’
Als de politie iets kan doen, mag het dan ook? Zijn de bevoegdheden voldoende?
‘Die gaan uit van een verouderd beeld, ja. We kunnen niet altijd online doorpakken.’
Er ligt nu een wetsvoorstel, Computercriminaliteit III, om de politie te laten ‘terughacken’. Is dat wel een goed idee?
‘Die keuze moet de politiek straks maken. Mensen denken vaak dat de politie het als hobby heeft om vanaf een afstandje in je computer te komen en je privacy te schenden, maar daarvoor is het niet bedoeld. Het probleem is dat criminelen al veel langer inbreken op onze computers. Het is een illusie om te denken dat privacy wél gewaarborgd is als de overheid het niet mag. Wat mensen vergeten, is dat dit straks onder dezelfde randvoorwaarden gebeurt als in de fysieke wereld, met toestemming van een rechtercommissaris.’
U wilt dat ondernemers hun cyberveiligheid zelf oplossen, maar u wilt ook dat bedrijven straks een digitale aanval melden anders krijgen ze een boete. Vindt u dat niet paradoxaal?
‘We stellen eisen aan brandveiligheid van panden en we hebben een brandweer, maar iedereen is zelf verantwoordelijk voor zijn brandveiligheid. Zoals een brand kan overslaan, kan ook een cyberprobleem overslaan als mensen hun systemen niet op orde hebben. Hoe sneller we weten of er iets loos is, hoe sneller de boel opgelapt kan worden en we er anderen op kunnen wijzen. Daar zie ik een rol voor de overheid.’
Maar moet je een getroffen ondernemer dan met een boete opzadelen?
‘Bij zware gevallen wel. Ik snap wel dat we ondernemers opzadelen met regeltjes en plichten, maar de gevolgen zijn te groot om er licht mee om te gaan. Een lek treft niet alleen één ondernemer.’
Schrikken de straffen die rechters kunnen opleggen cybercriminelen nog wel voldoende af?
‘We zijn nu niet bezig met de herziening van de strafmaat, maar ik ben er wel van overtuigd dat we steeds strenger gaan straffen. Een paar jaar geleden werd een website platleggen gezien als een kwajongensstreek. Toen legde je bijvoorbeeld een overheidssite plat, lachen, want dan stonden ze mooi voor paal. Daar gaat meer achter schuil als er mensen van die dienstverlening afhankelijk zijn. Dan is het niet alleen de wet overtreden door een technische handeling, maar moet je ook het veroorzaken van de schade meewegen.’
Wordt u er dan niet moedeloos van dat wet- en regelgeving nooit up to date is? Nederlandse ondernemers zitten al meer dan twintig jaar op internet.
‘Daar zeg je het al: Nederlandse. Wij zijn behoorlijke koplopers, ook wat betreft opsporing. Daar kun je trots op zijn, maar het is ook zorgwekkend. Je kunt ‘het Nederlandse internet’ niet veilig houden. Internet houdt zich niet aan grenzen. En het gaat allemaal ontzettend snel: onze kennis loopt niet direct gelijk op met nieuwe ontwikkelingen. Als een groot deel van uw lezers zijn passwords regelmatig aanpast, zijn we al een heel eind.’
Als het eens zo eenvoudig was. We gaan de race winnen?
‘Je moet het vergelijken met andere menselijke kwade activiteiten: die blijven wel. Omdat mensen heel creatief zijn, omdat het nou eenmaal sneller geld oplevert en spannender is. Maar dat gebeurt alleen zolang het loont en juist daar kunnen we een slag in slaan. Cynisch gezegd: het is een business model. Een cybercrimineel doet een investering in een whizzkid en die moet zich uitbetalen. Als ondernemers hun beveiliging beter op orde hebben en het voor criminelen meer geld kost, zullen ze het minder proberen.’
Wie is Klaas Dijkhoff?
Klaas Dijkhoff (1981) is sinds maart 2015 staatssecretaris van Veiligheid en Justitie. Daarvoor was hij zo’n vijf jaar Tweede Kamerlid voor de VVD met onder meer de portefeuilles cybersecurity, terrorisme en de Voetbalwet door hem ook wel samengevat als hackers, Hezbollah en hooligans. Daarvoor was hij onder meer docent aan de Universiteit van Tilburg, waar hij in 2010 promoveerde, en actief als zelfstandig juridisch ict-adviseur.
Vanaf 26 oktober: Alert online
Van maandag 26 oktober tot en met vrijdag 6 november is de vierde editie van Alert Online, een landelijke awareness campagne over cybersecurity. Doel van de campagne is de kennis over en bewustwording rond online veiligheid te vergroten. Ondernemers worden gestimuleerd om maatregelen te nemen om hun informatiebeveiliging te verbeteren. De campagne is ontwikkeld door de Nationaal Coördinator Terrorismebestrijding en Veiligheid, een onderdeel van het ministerie van Veiligheid en Justitie, in nauwe samenwerking met onder andere VNO-NCW, de politie en de Cyber Security Raad.
Handig: de wekelijkse Forum-alert
Handig: de wekelijkse Forum-alert