Management
Economische spionage bij Nederlandse IT-bedrijven is een groeiend probleem
Nieuwe wet moet straffen verhogen en bewustzijn vergroten
Nieuwe wet moet straffen verhogen en bewustzijn vergroten
Stel: je bent IT’er bij een hightechbedrijf en je drinkt rustig een biertje in de kroeg. Ineens tikt iemand op je schouder. Al snel worden allerlei vragen gesteld over je werk. Na een tijdje besef je dat het deze persoon niet om de gezelligheid gaat, maar om bedrijfsgeheimen. Het klinkt misschien als het begin van een spannende Netflix-serie, maar het is steeds meer realiteit onder IT’ers.
De Veldhovense chipmachinebouwer ASML, waar Chinese spionnen in 2014 op grote schaal bedrijfsgeheimen wisten te stelen is nog altijd het bekendste Nederlandse slachtoffer van economische spionage. Hooggeplaatste medewerkers bleken destijds de daders. Ze onderhielden in het geheim goede banden met het Chinese ministerie. Tijdens hun werkzaamheden voor ASML hadden deze spionnen toegang tot interne netwerken van een Amerikaanse vestiging, waar ze ervandoor gingen met broncodes, software, prijsstrategieën en handleidingen. De schade voor ASML liep tot in de honderden miljoenen.
ASML nog altijd waakzaam
De diefstal werd geregisseerd door een concurrent van ASML, dat de gestolen kennis gebruikte om klanten weg te trekken. In 2018 werd het bedrijf veroordeeld tot een schadevergoeding van ruim 220 miljoen dollar. Zaak opgelost? In eerste instantie wel. Toch is anno 2022 is onderwerp economische spionage bij ASML nog springlevend. Sterker nog: de aandacht ervoor neemt alleen maar toe. Zo schreef Tweakers begin dit jaar dat ASML zijn klanten nog altijd waarschuwt voor het schenden van intellectueel eigendom door het Chinese bedrijf DongFang JingYuan Electron. Het bedrijf zou mogelijk intellectueel eigendom van ASML stelen en op basis daarvan, zonder toestemming van ASML, softwareproducten op de markt brengen. Deze waarschuwingen deelde ASML al eerder en zorgen hierover zijn inmiddels overgebracht aan de Chinese autoriteiten.
Een Belgisch techbedrijf werd ook al eens slachtoffer van spionage, zo meldde Data News in 2018 na het analyseren van documenten waarin 13 Amerikaanse en 12 Europese bedrijven als slachtoffers van economische spionage aan het licht kwamen. Hackers braken in en stelen van software was één van de missies. Volgens de Belgische media werd een ‘Belgian engineering software company’ slachtoffer van een digitale aanval, waarbij 142 gigabyte aan documenten werd gestolen waaronder broncode voor de producten van het bedrijf.
Daders spreken slachtoffers in de kroeg aan
VVD-Kamerlid Queeny Rajkowsi maakt zich al langer grote zorgen over economische spionage, zo vertelt ze aan AG Connect. Haar partij diende daarom onlangs een wetsvoorstel in dat een aantal zaken moet gaan oplossen. “Voorheen was je alleen strafbaar wanneer je aan klassieke spionage deed. Maar economische spionage is tegenwoordig veel geavanceerder. Er worden mensen actief gerekruteerd om informatie door te spelen aan andere bedrijven. Zij kunnen daar niet voor worden bestraft omdat ze dan officieel gezien géén spion zijn. In de ogen van de wet werken zij dus alleen ‘heimelijk samen’.
Rajkowski vangt al langere tijd zorgwekkende signalen op vanuit de Nederlandse hightech-wereld. “Werknemers worden letterlijk in kroegen benaderd met allerlei vragen over hun werk. Spionnen proberen relaties aan te gaan met werknemers van deze bedrijven. Dat kan in de kroeg, maar ook via LinkedIn. Het gebeurt op zo’n grote schaal inmiddels dat het ministerie een bewustwordingscampagne heeft opgezet: Check For You Connect. Het geeft aan dat de problemen op serieuze schaal spelen.”
Strafbaarheid moet anders
Pas wanneer je bedrijfsgeheimen steelt en daarna het land uitvlucht ben je in ogen van de wet strafbaar, zo legt Rajkowski de huidige situatie uit. “Maar daar hebben de slachtoffers niet zoveel meer aan, want de dader is dan al gevlogen en de informatie ook.” De aanleiding voor het wetsvoorstel is mede het Dreigingsbeeld Statelijke Actoren 2021 dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) samen met de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) heeft opgesteld. “Je krijgt nu bijvoorbeeld een boete van 10.000 euro of bijvoorbeeld twee dagen cel. Dat past niet meer bij zo’n zwaar delict waarbij de schade in de miljoenen kan lopen”, zegt Rajkowsi. De straffen zullen, als de wet er komt, gaan oplopen naar miljoenenboetes en jaren gevangenisstraffen. “We zijn gewoon veel te laks geweest. Nederland heeft een aantal bedrijven die op ongekend hoog niveau opereren. Ze ontwikkelen nieuwe technologie ontwikkelen en zijn daarin wereldwijd koploper.”
‘Niet zomaar laten jatten’
Volgens Rajkowsi zijn deze bedrijven belangrijk voor de economische toekomst van Nederland. “Ze zijn belangrijk voor het gehele ecosysteem voor de Nederlandse IT, omdat ze ook weer andere kennis en bedrijven naar ons land trekken. Zo ontstaat een belangrijk vliegwieleffect en zorgen ze dat we over twintig tot dertig jaar ook weer ons brood kunnen verdienen met IT-producten. De bedrijfsgeheimen van dit soort bedrijven moeten we niet zomaar laten jatten zonder straffen. Als we dat toelaten dan raakt dat onze toekomst.”
De maatregelen tegen economische spionage komen niet uit de licht vallen. Het kabinet kondigde een ‘China-strategie’ aan, maar die is er nooit gekomen. Het bleef beperkt tot een ‘notitie’ met alleen vrijblijvende maatregelen. Ook bij de overheid. Nog steeds zijn er gemeenten die blijven werken met technologie van Chinese techreuzen als Huawei. Provincies zijn voorzichtiger, zo bleek in 2021 uit een steekproef van AG Connect en Binnenlands Bestuur. Experts stelden dat het de hoogste tijd was voor duidelijke richtlijnen. Maar doorpakken kan alleen in Europees verband, wordt al snel duidelijk.
Afhankelijk van Chinese reuzen als Huawei
In een verhaal van het FD wordt geschetst hoe telecombestuurder Theo van der Wiel in 2004 een megacontract met Huawei. De Chinezen slagen erin om met een enorme innovatiedrang en enorm lage prijzen een mobiel netwerk uit te rollen over Nederland. Vijftien jaar later gaat het Nederlandse dataverkeer grotendeels over apparatuur van Chinese makelij, waarbij ook het Chinese ZTE een belangrijke rol speelt. De afhankelijk heeft de AIVD grote zorgen gegeven, zo vertelt een voormalig topambtenaar.
Frank Groenewegen, directielid van cyberbeveiliger Fox-IT vertelde aan de krant destijds dat veel slachtoffers niet eens weten dat de Chinese overheid bij hen binnen is geweest. “Wij moeten hen vertellen wat er gestolen is.'. Het schrikbeeld bij Nederlandse bedrijven is volgens het FD dat ieder Europese lidstaat zijn eigen China-beleid gaat maken. “Elk land is individueel te klein om een vuist te maken. Schreeuwen wij te hard, dan gaat onze kop eraf', aldus een bron aan de krant die met enkele tientallen Nederlandse topbestuurders vergaderde over de China-aanpak.
Haken en ogen aan nieuwe wet
Met het wetsvoorstel van de VVD lijkt echter een meer concrete maatregel dichterbij. Hoewel hier ook nog de nodige haken en ogen aan zitten. De Raad van State onderzoekt de wet op haalbaarheid. Inlichtingenexpert Hugo Vijver uitte bij Radio 1 al zijn zorgen over de onderlinge afspraken tussen de inlichtingendiensten en de politie op dit gebied. Dat ziet ook Rajkowski, zo vertelt ze. “Er kan uit de Raad van State nog veel feedback komen, er zal aan geschaafd worden. Maar ik maak me geen zorgen over de onderlinge afspraken tussen politie en inlichtingendiensten bij de uitvoering. Het blijft echter lastig om vast te stellen wanneer iemand daadwerkelijk samenwerkt met buitenlandse diensten.”
Bij sommige voorbeelden zal het duidelijk zijn, bij anderen niet. “De bewijsvoering voor spionage blijft lastig aantoonbaar. Maar het is geen optie om er maar helemaal niets tegen te doen, daar is dit te belangrijk voor. ”
Speerpunt bij de AIVD
Voor de AIVD is economische spionage een speerpunt geworden in de afgelopen jaren. De organisatie wil de maatschappij hierin dan ook meer bewust gaan maken. “In dat kader gaan we naar overheden, bedrijven en onderwijsinstellingen toe om te vertellen over de risico's en te adviseren over hoe deze kunnen worden beperkt”, zo meldt de organisatie op zijn website.
Een eerste goede stap is volgens de AIVD dat overheidsorganisaties, bedrijven en kennisinstellingen zich beter realiseren dat buitenlandse actoren verregaande interesse kunnen tonen in specialistische kennis en technologie. “Minstens zo belangrijk is dat medewerkers van dit soort organisaties weten waar zij intern een verdacht contact kunnen melden.”
Dit artikel is ook gepubliceerd in het magazine van AG Connect (september 2022). Wil je alle artikelen uit dit nummer lezen, zie dan de inhoudsopgave.
is redacteur bij AG Connect.