Skip to main content

Waarom we onze digitale dijken nu moeten verhogen

Een hack bij de Nederlandse politie. Verdenkingen van Russische sabotage in de Oostzee. Wereldwijde chaos door een foutieve software-update. Signalen dat de digitale veiligheid van onze vitale infrastructuur onder steeds hogere druk staat. Hoe krijgen we onze digitale dijkbewaking op orde? En wie is hiervoor verantwoordelijk? In gesprek met Sjoerd van der Smissen, Partner en Industry Leader Government & Public Services bij Deloitte, en Frank Groenewegen, Partner Cyber Risk bij Deloitte.

Inschrijven nieuwsbrief

Om te beginnen, wat versta je onder vitale infrastructuur?

 

Groenewegen: "Dat is een verzameling processen en diensten die samen het fundament vormen waarop de Nederlandse samenleving draait. Denk aan elektriciteit, toegang tot internet, drinkwater en betalingsverkeer. En belangrijk om te beseffen: al die elementen hebben zowel een fysieke als een digitale kant, en die zijn volledig met elkaar verweven geraakt. Centrales, knooppunten en kabels zijn onlosmakelijk verbonden met software, internet en andere netwerken. Er zijn zelfs bruggen die niet eens meer analoog bediend kunnen worden."

Waarom dan specifiek de nadruk op het digitale aspect?

 

Van der Smissen: "Omdat daar bij veel mensen en organisaties nog een grote blinde vlek zit. Traditioneel hebben we vooral oog voor onze fysieke veiligheid. Simpel gezegd: worden we beroofd, dan bellen we de politie. Stijgt de zeespiegel, dan moet Rijkswaterstaat daar iets mee. En komen er tanks op ons af, dan ligt er een taak voor het leger. Dus voor onze fysieke bescherming weten we: wie is waarvoor verantwoordelijk. Maar aan de digitale kant van de infrastructuur is die verantwoordelijkheid allesbehalve duidelijk.

Recent werden Belgische havens gehackt door een pro-Russische hackersgroep. Ditzelfde collectief was vorig jaar verantwoordelijk voor de cyberaanval op de vijf grootste havens van ons land. Wie is verantwoordelijk voor de bescherming? We huisvesten AMS-IX, een van de grootste internetknooppunten ter wereld. De TAT-14 internetzeekabel die Europa met Amerika verbindt komt bij Katwijk aan land. Allemaal kwetsbaarheden die goed beschermd moeten worden."

En waarom moeten we ons daar juist nu druk om maken?

 

Groenewegen: "Omdat de dreiging toeneemt. Kijk naar de recente vermoedens van sabotage aan internetkabels in de Oostzee. Deze kabels verbinden Europese landen met elkaar en de rest van de wereld. Duitsland vermoedt dat Rusland achter deze sabotage zit, en het incident versterkt het beeld dat vitale infrastructuur – of het nu internetkabels, energievoorzieningen of datacenters zijn – een doelwit blijft in geopolitieke spanningen. De situatie laat zien dat het risico niet hypothetisch is; fysieke aanvallen op digitale infrastructuur worden steeds waarschijnlijker.”

Van der Smissen: “Deze ontwikkelingen sluiten aan bij wat we al in de Noordzee zien gebeuren. Daar liggen op de bodem kabels voor internet, elektriciteit en grote gasleidingen. De MIVD heeft vastgesteld dat Russische spionageschepen daar gegevens hebben verzameld over windmolenparken, datakabels en andere kritieke infrastructuur. Er is een reëel risico dat het niet bij gegevens verzamelen blijft.  

Kortom, de vraag dringt zich op: 'Wie bescherm het?' In dit geval heeft Defensie die taak op zich genomen. Maar het blijft een heikel punt. Internetkabels? Zijn vaak eigendom van Amerikaanse techbedrijven of internationale consortia. Stroomkabels van windmolenparken? Van private energiemaatschappijen. Maar we zijn er wél met z'n allen afhankelijk van. Daar liggen dus acute vraagstukken."

Sabotage, spionageschepen... Dat klinkt wel heel dreigend.

 

Van der Smissen: "Klopt. En de dreiging beperkt zich niet alleen tot geopolitieke spanningen. Afgelopen juli veroorzaakte een foutieve software-update van het beveiligingsbedrijf Crowdstrike wereldwijde chaos. Verstoringen op luchthavens en in het openbaar vervoer, ziekenhuizen die zorgdiensten moesten afschalen en storingen in communicatiesystemen van bedrijven en overheidsinstellingen.

Hoewel dit geen cyberaanval was, benadrukt het de urgentie om onze digitale infrastructuur te versterken. Volgende keer zouden betalingssystemen, elektriciteitsnetwerken of waterzuivering getroffen kunnen worden. We hebben behoefte aan een visie én een aanpak van onze digitale risico's. We kunnen het ons niet permitteren om te gaan zitten wachten op de volgende digitale dijkdoorbraak."

"We moeten niet wachten op de volgende digitale dijkdoorbraak."

Zijn politieke partijen zich bewust van de urgentie?

 

Groenewegen: "Vrijwel alle partijen zijn vóór versterking van cybercapaciteit en digitale kennis bij organisaties als de inlichtingendiensten, defensie en de politie. Maar in de praktijk ontbreekt het aan samenhang en prioriteit. Onze infrastructuur is één dynamisch publiek-privaat geheel. Silo-denken werkt niet.

Wat we nodig hebben is een duidelijke toewijzing van verantwoordelijkheden en prioriteiten. Iedereen – overheid, bedrijven en burgers – moet weten wat er van hen verwacht wordt. Dit vraagt om leiderschap dat samenwerking stimuleert en verder kijkt dan de korte termijn. Het ontbreekt niet aan plannen, maar aan daadkracht.”

 

Wat moet er verder gebeuren?

 

Van der Smissen: "Het begint met bewustwording. Hier is het interessant om een vergelijking te maken met het thema duurzaamheid. Dat thema lééft. Overheden, de politiek, bedrijven, burgers, vrijwel iedereen in Nederland is er inmiddels van doordrongen dat we serieus iets met duurzaamheid moeten. Er is beleid geformuleerd, er zijn doelstellingen vastgelegd, bij veel bedrijven is het verankerd in ESG-uitgangspunten. Maar rondom veiligheid is die bewustwording er nog lang niet. Er is een cultuurverandering nodig om te zorgen dat we ons realiseren dat veiligheid, net als duurzaamheid, iets van ons allemaal is. Ook om te beseffen dat het niet gaat om een taak voor óf de overheid óf bedrijven óf burgers, maar dat het hier om gedeelde verantwoordelijkheid gaat."

Groenewegen: "Daarnaast moeten we investeren in lange-termijnoplossingen. Dit gaat verder dan technologie: we hebben de juiste mensen en processen nodig om onze infrastructuur veilig te houden.”

"Duurzaamheid is een thema dat leeft. Digitale veiligheid moet net zo gaan leven."

Hoe moeten we deze problematiek benaderen?

 

Groenewegen: "Je kunt er niet omheen: we moeten onze digitale veiligheid in samenhang aanpakken. Organisaties, systemen, burgers, alles en iedereen is verbonden. Als we niet vanuit een integrale visie werken, gaan departementen, bedrijven, hulpdiensten en andere partijen ieder voor zich aan de slag. Dan krijgen we allerlei geïsoleerde oplossingen. En dan missen we het belangrijkste punt. Dan raken juist de meest kwetsbare plekken uit het zicht: al die verbindingen en netwerken tussen de partijen. De tussenruimte, het cement van onze samenleving. Daarom kan onze bescherming alleen maar effectief zijn als we die centraal aangestuurd in verbinding aanpakken. Fysiek en digitaal, publiek en privaat, overheden en burgers."

En wat is daarbinnen de rol van de overheid?

 

Van der Smissen: "De rol van de overheid is een van de meest urgente elementen. Die moet veel helderder benoemd worden om de juiste verantwoordelijkheden op de juiste plaats te krijgen. Wanneer heb je als overheid de regie? In welke situaties ben je uitvoerder, denk aan defensie? En op welke momenten ben je toezichthouder, zoals de AFM en DNB dat zijn voor het betalingsverkeer? Als het om de digitale veiligheid van onze infrastructuur gaat, zijn de verantwoordelijkheden nu in veel gevallen nog onduidelijk. Dat moet echt snel aangepakt worden."

Groenewegen: "Nog even terug naar het voorbeeld van die kabels op de zeebodem. Je wilt iets doen aan die groeiende dreiging. Je wilt effectief bescherming bieden. En als daar dan toch iets mee gebeurt, moet je direct kunnen reageren. Dan zullen er nu dus afspraken gemaakt moeten worden met de buitenlandse eigenaren van die internetkabels. Als het om de stroomkabels van de windmolenparken gaat, kunnen we niet van een energiebedrijf verwachten dat ze daar dag en nacht bewakingsschepen laten patrouilleren. En ook al heeft de marine dat nu op zich genomen, voor de toekomst zullen er structurele oplossingen moeten komen. Kortom, we zullen in Nederland met z'n allen flink aan de bak moeten.

Did you find this useful?

Thanks for your feedback