'We kunnen risico’s niet uitsluiten, maar wel beheersen’

Hybride oorlogsdreiging en cyberaanvallen zijn aan de orde van de dag. ‘Logistiek gezien is Nederland just in time ingericht. Dat maakt ons kwetsbaar.’ Aldus Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) Pieter-Jaap Aalbersberg.

In januari werd de TU Eindhoven gehackt. Van de ene op de andere dag kon er geen onderwijs meer gegeven worden. Onderzoekswerk lag stil en tentamens moesten een week worden uitgesteld. Was de hack het werk van cyber­criminelen die losgeld eisen? Van statelijke actoren (organisaties die gelieerd zijn aan staten) die uit zijn op waardevolle onderzoeksdata of ontwrichting van de Nederlandse economie? Het is niet duidelijk. Feit is dat de dreiging door cyberaanvallen en sabotageacties inmiddels ‘aan de orde van de dag’ zijn, zegt Pieter-Jaap Aalbersberg, Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV).

De vrije wereldhandel, waar Nederland als open economie enorm van heeft geprofiteerd, staat onder druk. ‘De economie, de rechtsorde en de democratie worden bedreigd’, somt Aalbersberg op. ‘De militaire en hybride dreiging is groot. We hebben een open economie en dat heeft ons veel welvaart gebracht. Logistiek gezien is Nederland just in time ingericht, dat wil zeggen dat er weinig voorraden worden aangehouden. ‘Dat is economisch weliswaar efficiënt, maar de coronapandemie en de Oekraïne-oorlog hebben ook aangetoond dat we daardoor kwetsbaar zijn. Als je als onderneming weinig voorraden aanhoudt, dan houdt de bedrijfsvoering snel op als de toelevering verstoord raakt. Dat is een serieus gevaar: dagelijks zijn er sabotageacties en cyberaanvallen.’

Dat blijkt op de dag van het interview. Op de valreep wordt het gesprek een uur verschoven vanwege ‘een spoedgeval’, waar Aalbersberg vervolgens ‘geen mededelingen’ over kan doen.

Wie is Pieter-Jaap AalbersbergPieter-Jaap Aalbersberg (1959) is sinds 2019 Nationaal Coördinator Terrorismebestrijding en Veiligheid. Eerder was hij politiechef in Amsterdam en leidde hij de repatriëringsmissie na de MH17-ramp. Hij specialiseerde zich in intelligence en georganiseerde misdaad. Aalbersberg was lid van EU-commissies en het Executive Committee van Interpol.

Legers die elkaar bevechten

Waar de NCTV wél graag over praat, is hoe de economie en samenleving van Nederland weerbaarder te maken zijn. Aalbersberg werkt nauw samen met het ministerie van Defensie. ‘Want een weerbaar land verlaagt de kans op een oorlog, dan wel het effect van de verstoringen.’

Oorlog? Voor veel mensen is dat nog een ver-van-mijn-bedshow. En hoewel een klassieke militaire confrontatie, met legers die elkaar bevechten, op Nederlandse bodem onwaarschijnlijk is, brengt hybride oorlogsvoering wel degelijk schade toe. Dan gaat het over de sabotage van energie- en telecommunicatiekabels op de zeebodem, langdurige uitval van energie en communicatie, destabilisering van de democratie door beïnvloeding via nepnieuws, digitale spionage en cyberaanvallen.

Aalbersberg: ‘Chinese actoren streven naar werelddominantie. Ze doen er alles aan om elke nieuwe westerse technologie te bemachtigen. Veiligheidsdiensten waarschuwen steeds meer voor Chinese en Russische hackers. Het gaat soms om cybercriminelen, maar vaak ook om statelijke actoren. Wij zijn bezorgd dat er een conflict ontstaat aan de oostgrens van de NAVO. Hybride acties kunnen zich dan richten op de logistieke netwerken in Nederland, maar ook op ons energienetwerk. Het doel van dat soort acties is om instabiliteit te creëren. Uiteindelijk heeft Nederland een logistieke kernfunctie.’

Een week zonder gps

De overheid speelt een belangrijke rol in het weerbaarder maken van de samenleving. Maar het bedrijfsleven kan zelf ook veel doen, benadrukt Aalbersberg. Nederland heeft een kwetsbare stroomvoorziening. Een combinatie van sabotage en cyberaanvallen zou er weleens voor kunnen zorgen dat er langere tijd geen elektriciteit is. Wat doe je dan als bedrijf?

‘Daar moet in bestuurskamers over nagedacht worden. Denk na over concrete scenario’s. Wat doe je als je vijf dagen niet in je systemen kunt? Wat doe je als het gps-systeem een week uitvalt? Wat is de impact op de bedrijfsvoering en wat zijn je alternatieven?’

Aalbersberg adviseert bedrijven om zulke scenario’s uit te werken voor het geval telecom-, internet- of energievoorzieningen ontregeld worden. ‘En denk ook na wat je doet als de overheid medewerkers oproept voor publieke taken.’ Het versterken van de weerbaarheid is in ieder geval geen vrijblijvende exercitie, stelt Aalbersberg. ‘We moeten versneld gaan investeren’, zegt hij. Dat geldt voor de overheid, die de uitgaven aan defensie en cyberveiligheid verhoogt. Maar ook het bedrijfsleven zal moeten accepteren dat het veiligstellen van de eigen continuïteit – want daar komt het op neer – geld kost. ‘De potentiële schade is altijd veel groter dan de investering die nodig is om die schade te voorkomen.’

Bedrijven zijn onvoldoende voorbereid op hybride dreigingen. Logistiek op basis van just in time is weliswaar efficiënt. Maar als de toeleveringsketen dagen of weken wordt onderbroken, kan dat de financiële gezondheid van een bedrijf acuut in gevaar brengen. ‘Investeren in voorraden kan dan een goed idee zijn. Als je redundantie inbouwt, kun je langer door blijven draaien.’

Redundantie is je verzekering

Redundantie – meer voorraden of productiecapaciteit aanhouden dan nodig is – is in feite een verzekeringspremie. ‘Dat is misschien duur’, zegt Aalbersberg. ‘Maar een hek om je bedrijfsterrein zetten en een portier aan de poort is ook kostbaar. Toch doen we dat allemaal.’ Behalve een fysiek hek, moeten bedrijven volgens de NCTV dus ook zorgen dat hun digitale hek op orde is, en rekening houden met verstoringen voor het geval dat dat hek het begeeft.

De simpelste en beste tip voor bedrijven is om de software-updates van alle it-systemen tijdig te installeren. ‘Als je alle basismaatregelen neemt, is de kans op een hack al een stuk kleiner’, aldus Aalbersberg.

Maar kijk ook verder dan de eigen bedrijfspoort, zegt de NCTV. ‘Niet alleen individuele bedrijven zijn kwetsbaar. Datacommunicatie is vaak georganiseerd in ecosystemen, met gegevensuitwisseling tussen meerdere bedrijven.’ Dat wil zeggen dat de continuïteit van het ene bedrijf mede afhankelijk is van de investeringen in cyberveiligheid van het andere bedrijf. ‘Nederland is een logistiek centrum voor Europa. De digitalisering en de integratie van systemen is ver doorgevoerd. Dat zorgt voor extra kwetsbaarheid, want logistieke centra worden in een oorlogssituatie als eerste aangevallen.’

‘Compartimenteren is verstandig’

De innige samenwerking tussen bedrijven en de vergaande integratie is volgens Aalbersberg vanuit het perspectief van veiligheid ‘niet altijd goed’. ‘Sowieso is het verstandig om systemen apart te zetten en te compartimenteren.’ Tegelijkertijd ligt een deel van de oplossing juist wel in de samenwerking. ‘De bedrijven in Brainport Eindhoven doen dit in onderlinge samenwerking. Met name voor het midden- en kleinbedrijf is samenwerking essentieel, omdat die individueel niet de kennis en de capaciteit hebben om alle maatregelen te nemen. Het mkb heeft nog een grote stap te maken.’

De menselijke factor is vaak de zwakke schakel. Een medewerker die in een moment van onoplettendheid op een link in een mail klikt, kan al voldoende zijn voor hackers om binnen te komen. ‘Bewustwording en alertheid zijn essentieel’, meent Aalbersberg.

Van landen als de VS, China en Rusland is bekend dat ze in de systemen van elkaars publieke en private infrastructuur zijn geïnfiltreerd, zonder dat er meteen sabotage wordt gepleegd. Chinese hackers zouden het Amerikaanse mobiele telefonienetwerk plat kunnen leggen op het moment dat China Taiwan inlijft. Door het openbare leven te ontregelen zou de Amerikaanse motivatie worden ‘verpletterd’ om Taiwan te verdedigen, zo tekende tijdschrift The Economist op uit de mond van een Amerikaanse cyberveiligheidsfunctionaris.

‘Ga er maar van uit dat hackers al in je systeem zitten’

Dus zelfs al zijn alle software-updates keurig geïnstalleerd, zelfs al zijn alle medewerkers op training geweest, dan kan een bedrijf nog steeds kwetsbaar zijn. ‘Ga er maar van uit dat hackers al in je systeem zitten’, waarschuwt Aalbersberg. ‘Zet je bedrijfsgeheimen niet in open systemen.’

Kanteling is gaande

In januari 2024 zei Aalbersberg: ‘Wat er ook op ons afkomt, we zijn er niet klaar voor. We zijn niet voldoende voorbereid, we zijn niet voldoende weerbaar. […] En dat moet vanaf vandaag veranderen.’

We zijn een jaar verder. Is het gelukt om daar verandering in te brengen? ‘Nog echt niet’, geeft Aalbersberg toe. ‘Maar we hebben wat stapjes gezet in de urgentie. Er is een brief van het kabinet. Er kwam een oproep aan burgers om een noodpakket in huis te halen. Daar werd lacherig over gedaan. Maar er is een kanteling gaande. Ook bedrijven snappen inmiddels dat ze een verantwoordelijkheid hebben. Komend jaar staat in het teken van de hoe-vraag. Samen met VNO-NCW en het ministerie van Economische Zaken wordt dit momenteel met de sectoren uitgewerkt. Hoe gaan we Nederland weerbaarder maken? We kunnen risico’s niet uitsluiten, we kunnen ze wel beheersen.’