EZ laat 'China-afweer' over aan bedrijfsleven

De minister van Economische Zaken en Klimaat (EZK) reageert op Kamervragen die zijn gesteld naar aanleiding van bedrijfsspionage bij het Nederlandse ASML, fabrikant van geavanceerde machines voor chipproductie. Die diefstal van intellectueel eigendom is in de VS gepleegd en recent aan het licht gekomen. Daarbij is brede ophef ontstaan, mede doordat er een link leek te zijn met de Chinese overheid. ASML zelf heeft dat laatste vervolgens officieel tegengesproken.

Vitale sectoren

Partijen in de Tweede Kamer hebben naar aanleiding van dat spionagegeval EZ-minister Wiebes aangespoord om Nederlandse bedrijven beter te beschermen. Daarbij waarschuwen onder meer GroenLinks, de VVD, D66 en het CDA voor het Chinese gevaar voor de Nederlandse economie, en vitale sectoren daarin. Een pro-actieve aanpak door de overheid is daarbij gewenst door de politici.

"Het CDA pleit al langer dat  vitale sectoren vanuit het oogpunt van nationale veiligheid worden beschermd. Dat zijn bijvoorbeeld infrastructuur, waterleidingsystemen, landbouwgronden en telecommunicatie én dus ook het toekomstige 5G-netwerk. Wat ons betreft vallen daar ook (onderdelen)  van bedrijven onder die gevoelige technologie maken, zoals ASML en NXP", liet een persvoorlichter namens Kamerlid Joba van den Berg weten aan AG Connect.

Zij heeft samen met partijgenoot Mustafa Amhaouch vragen gesteld aan minister Wiebes. "Het CDA zegt al langer dat Nederland niet naïef moet zijn tov China en de doelen die China wil bereiken. Ik wil daarom weten of Nederlandse bedrijven voldoende beschermd zijn tegen spionage, diefstal van bedrijfsgeheimen en oneigenlijk gebruik van gegevens." Wiebes erkent in zijn schriftelijke antwoorden nu dat er sprake kan zijn van kwetsbaarheid bij het Nederlandse bedrijfsleven, maar hij reageert in wezen afwijzend op aansporing tot een pro-actieve aanpak voor de overheid.

Bedrijven zelf verantwoordelijk

"Bedrijven zijn zelf in eerste instantie zelf verantwoordelijk voor het beschermen van hun bedrijfsvertrouwelijke gegevens. De overheid stelt bedrijven daartoe in staat met behulp van wetgeving op het gebied van intellectuele-eigendomsbescherming en bescherming van bedrijfsgeheimen." Wiebes verwijst hierbij naar de Wet bescherming bedrijfsgeheimen, die in oktober vorig jaar in werking is getreden. Aan die wet kunnen ondernemers bescherming ontlenen als hun bedrijfsgeheim onrechtmatig is verkregen, gebruikt of openbaar gemaakt, ook als dit door een ex-werknemer is gebeurd.

Laatstgenoemde is wat ASML is overkomen, vier jaar geleden in de Verenigde Staten. Daar is in 2015 bedrijfsvertrouwelijke informatie gestolen door ex-werknemers van de Amerikaanse vestiging van de Nederlandse firma. Wiebes schrijft dat hij geen aanwijzingen heeft van directe betrokkenheid van een buitenlandse overheid. "Er zijn wel overeenkomsten te zien met bekende Chinese spionagedoelwitten en -werkwijzen."

Aangezien de ASML-diefstal in de VS heeft plaatsgevonden, valt het onder Amerikaans recht, stipt minister Wiebes aan. "Het is primair de verantwoordelijkheid van het betreffende bedrijf om maatregelen te treffen. Zo daartoe aanleiding bestaat, is het aan de Amerikaanse autoriteiten om in deze casus eventuele strafrechtelijke maatregelen te nemen." De EZK-bewindsman erkent dat technologiediefstal bij bedrijven via (oud)medewerkers een breder fenomeen is, dat zich ook in Nederland voordoet. "De rol van de overheid is gericht op bewustwording en weerbaarheidsverhoging. Hiermee wordt bijvoorbeeld gedoeld op het delen van dreigingsinformatie en beveiligingsadvies."

Overheidsassistentie

Naast het creëren van wettelijke kaders heeft de overheid "de verantwoordelijkheid voor het creëren van awareness voor risico’s en het bieden van een handelingsperspectief", schrijft Wiebes verderop in zijn antwoorden aan de Kamer. Daarbij noemt hij ook overheidsorganisaties als de Rijksdienst voor Ondernemend Nederland (RVO), het Octrooicentrum Nederland (OCNL), het Digital Trust Center (DTC), en het Nationaal Cyber Security Centrum (NCSC) voor informatie en adviezen over bescherming van bedrijfsvertrouwelijke gegevens en over digitale dreigingen en kwetsbaarheden.

Toenemende digitalisering en internationalisering van productieprocessen en arbeidsmarkten vergroten namelijk de digitale afhankelijkheid en daarmee digitale spionagemogelijkheden. "In 2010 is uitgebreid onderzoek gedaan naar de spionagerisico’s op het terrein van economisch welzijn & wetenschappelijk potentieel en openbaar bestuur & vitale infrastructuur. De conclusies van toen, die overigens los staan van deze casus waarin sprake was van diefstal door oud-medewerkers, zijn ook nu nog actueel", aldus de minister van Economische Zaken en Klimaat.

"De verschillende mogelijkheden om telecommunicatieverkeer te onderscheppen, zijn een eerste belangrijke geconstateerde kwetsbaarheid. Uit het onderzoek blijkt ook dat de toenemende verwevenheid en complexiteit van computersystemen alsmede het koppelen van dataopslagsystemen, de gevoelige gegevens in systemen kwetsbaar maakt voor spionage. Het uitbesteden van activiteiten als systeem- en serverbeheer, datawarehousing en gegevensverwerking brengt eveneens spionagerisico’s met zich mee."

Handleiding en meer

Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) biedt organisaties de Handleiding Kwetsbaarheidsanalyse Spionage (KWAS) waarmee zij
"zelf een inventarisatie kunnen maken van de eigen cruciale belangen en de daarbij behorende kwetsbaarheden". Wiebest verwijst ook naar publicaties van inlichtingendienst AIVD over spionage, zoals ‘Bent u zich bewust van de risico's van cyberspionage?’, ‘Spionage in Nederland’ en de al genoemde ‘Handleiding Kwetsbaarhedenanalyse Spionage’. Deze publicaties zijn online te vinden, waarbij Wiebes de algemene landingspagina van de AIVD opgeeft.

Daarnaast kan de Nederlandse inlichtingendienst in specifieke gevallen informatie en/of advies geven aan instanties die het doelwit vormen van inlichtingenactiviteiten. De AIVD kan daarbij ook adviseren over weerstandsverhogende maatregelen. "Personen of instanties die het vermoeden hebben doelwit te zijn (geweest) van spionage, kunnen dit ook altijd rechtstreeks melden bij de AIVD, of MIVD wanneer het opdrachten voor het Ministerie van Defensie betreft."

Eerdere ASML-hack

Wiebes geeft nog een bevestigend antwoord op de vraag of er maatregelen zijn genomen na een eerdere Chinese hack bij ASML-dochter Brion Technologies. "Ja, hoewel ASML in 2015 de hack tijdig heeft kunnen afslaan en deze geen schade heeft berokkend, zijn er omvangrijke maatregelen genomen waarmee bedrijfsvertrouwelijke gegevens significant beter zijn beschermd."

Het betreft hierbij echter om maatregelen van bedrijfswege, niet vanuit de overheid. "De omvang van de maatregelen die ASML heeft genomen betreft tientallen miljoenen euro’s. Zoals aangegeven bij het antwoord op vraag 11 ondersteunt de overheid bedrijven met dreigingsinformatie en beveiligingsadviezen." Het recent aan het licht gekomen Amerikaanse geval van diefstal bij ASML is volgens Wiebes geen kwestie van nationale veiligheid.