'Gebrek aan oefening en noodscenario's maakt Nederland kwetsbaar'

"Digitale infrastructuur - is vaak zonder dat we het merken - intens verweven met processen die van groot belang zijn voor de samenleving, de economie en de democratische rechtstaat", stipt de WRR aan in zijn waarschuwende boodschap. Deze woorden begeleiden de publicatie van WRR-rapport 101 'Voorbereiden op digitale ontwrichting', wat vandaag is gepubliceerd. De WRR wijst daarbij op de discrepantie tussen de fysieke en de digitale wereld: "Voor verstoringen in de fysieke wereld bestaan professionele crisisorganisaties en uitgebreide wet- en regelgeving. De voorbereiding op een digitale ontwrichting krijgt echter nauwelijks tot geen aandacht."

112 en NotPetya

Dit gebrek aan voorbereiding op digitale ontwrichting - hetzij moedwillig door een aanval, hetzij onbedoeld door een storing - kan grote gevolgen hebben. Het dagelijks leven van Nederlanders wordt immers gedomineerd door technologie. De onderling gekoppelde systemen die diensten en ecosystemen faciliteren, kunnen last hebben (of zelfs onderuit gaan) door een enkel uitvallend component. De recente grote storing van alarmnummer 112 heeft dit aangetoond, maar ook de wereldwijde cyberaanval met de NotPetya-malware is bewijs van de digitale kwetsbaarheid. In Nederland is door laatstgenoemde onder meer de Rotterdamse haven hard geraakt en daarlangs is weer schade aangericht bij bedrijven in logistieke ketens.

"De afgelopen jaren hebben zich in Nederland en daarbuiten allerhande digitale verstoringen voorgedaan", schrijft de WRR. Het gaat hierbij niet alleen om moedwillige aanvallen, door kwaadwillenden die al dan niet buitenlandse mogendheden zijn. "Een belangrijke oorzaak voor deze incidenten zijn cyberaanvallen, maar [ze - red.] kunnen ook worden veroorzaakt door menselijke fouten, kapotte servers, softwareproblemen of externe factoren als kabelbreuken of electriciteitsstoringen. Het zorgwekkende van deze incidenten is dat zij daarmee ook vitale processen in de samenleving aantasten. Essentiële voorzieningen zoals: de zorg, het betalingsverkeer, overheidsdiensten en de electriciteitsvoorzieningen raken daarmee in gevaar."

Overheidsingrijpen

"Met de toenemende interactie tussen fysiek en digitaal komen onze economie, nationale veiligheid en het normale maatschappelijk leven op onvoorziene manieren in gevaar. Er kan enorme schade ontstaan en er kunnen daadwerkelijk slachtoffers vallen", concludeert de WRR. Nederland heeft de afgelopen jaren weliswaar veel gedaan om aanvallen te voorkomen, zegt het adviesorgaan, maar aanvallen zijn nooit helemaal uit te sluiten. En wat er dan moet gebeuren om de schade te beperken, daarover wordt niet genoeg nagedacht, aldus het kritische rapport.

Zo hebben overheden, organisaties en bedrijven geen goed beeld van de partijen van wie ze afhankelijk zijn. De overheid heeft bovendien geen duidelijke bevoegdheden om in te grijpen. De WRR pleit ervoor om de overheid meer middelen te geven om in noodgevallen zaken aan te pakken of zelfs over te nemen. Dit zou dan ook ingrijpen bij en binnen bedrijven omvatten, indien er sprake is van ernstige (of: dreigende) keteneffecten. De huidige definitie van 'vitale infrastructuur' en welke bedrijven daaronder vallen, zou hiervoor te nauw zijn.

Digitale hulptroepen

De WRR pleit voor het instellen van digitale hulptroepen. Daarvoor moet dan een helder afgebakende wettelijke bevoegdheid worden ingesteld. Een security-expert als Ronald Prins, oprichter van Fox-IT, heeft jaren terug al gepleit voor 'digitale dijkgraven' om Nederland beter te beschermen. De WRR adviseert nu ook om het Cybersecuritybeeld dat de Nederlandse overheid opstelt, aan te vullen met een Cyberafhankelijkheidsbeeld. Deze aanvulling moet inzichtelijk maken van welke partijen, digitale processen en diensten het functioneren van vitale processen in de Nederlandse samenleving afhankelijk is.

Vervolgens zou de overheid bij het beleid voor vitale infrastructuur meer aandacht moeten besteden aan de ketens en netwerken die vitale processen ondersteunen. "Onderzoek bovendien of digitalisering het nodig maakt de prioritering van die processen aan te passen", aldus de WRR. Verder is er volgens de raad ook onderzoek nodig naar de haalbaarheid van een Nederlandse of Europese cyberpool voor het verzekeren van schade als gevolg van digitale ontwrichting.