Liever cybercops dan caviapolitie

Andere landen zijn veel alerter, weet Ronald Prins, directeur en medeoprichter van het bedrijf Fox-IT, gespecialiseerd in cybersecurity. “In Duitsland is het politici en hoge ambtenaren vanwege het afluistergevaar bijvoorbeeld verboden om BlackBerry’s te gebruiken.”
In Nederland moeten we volgens Prins ook alerter worden want cybercriminaliteit gaat verder dan het afluisteren van mobiele telefoons. “In ons land wordt ook economische spionage bedreven. Dat is bekend in Den Haag, maar er wordt niet genoeg ruchtbaarheid aan gegeven. Dat vind ik niet verstandig. Want er ontstaat makkelijk het beeld dat het allemaal zo’n vaart niet loopt. Ik pleit ervoor om een of twee incidenten in de openbaarheid te brengen en breed uit te meten. Dat schudt mensen wakker.”

Want cyberspace is per definitie onveilig?
“Ja! Op het gevaar af dat ik het predikaat ‘doemdenker’ krijg. Maar ik denk dat het allemaal nog veel erger zal worden. Vrijwel alle vormen van cybercriminaliteit die we nu zien, hoe schadelijk soms ook, zijn nog steeds amateuristisch. Anders gezegd, als echt slimme hackers zich laten gelden, kunnen we nog heel wat problemen verwachten.”

Waarom laten de echte slimmeriken zich zo weinig zien?
“Ik denk dat die groep vanuit een moreel besef serieus bezig is met het aantonen van zwakheden in systemen. Hun acties zijn soms zelfs ingebed in de wetenschappelijke wereld. Maar daaronder is een groep ‘scriptkiddies’ actief die hun foefjes kopiëren en wel op de criminele toer gaan. Als je de vergelijking met de fysieke wereld maakt, zijn dat de ‘junks met een schroevendraaier’.”

Maar zelfs die ‘minder slimme hackers’ zijn kennelijk moeilijk proactief te bestrijden.
“Het is in elk geval heel lastig. In de fysieke wereld heeft de overheid het machtsmonopolie en de middelen om dat monopolie te handhaven. In cyberspace bestaat zo’n monopolie niet, althans nog niet. Die wereld wordt door een bepaalde groep mensen gezien als vrijplaats waar overheden zich ver vandaan moeten houden. Ik vind dat de overheid meer moet doen om zijn machtsmonopolie in cyberspace te laten gelden. Al realiseer ik mij dat de omstandigheden heel anders zijn. In de fysieke wereld is een ‘junk met een schroevendraaier’ op voorhand verdacht. In cyberspace is de vijand onzichtbaar. Bovendien is de dynamiek in cyberspace veel sneller. Acties die op enig moment vanuit een bepaald land worden gelanceerd, kunnen een uur later vanuit een heel ander deel van de wereld worden ingezet.”

Terug naar die echt slimme hackers. Ook daar kunnen criminelen tussen zitten, als die zich gaan roeren hebben we de poppen aan het dansen.
“Dat gebeurt al. Recent zijn zowel de Amerikaanse als de Franse overheid aangevallen. Hoewel er over de daders niets wordt gezegd, ben ik ervan overtuigd dat dit soort acties vanuit landen als Rusland of China komen. Daar investeert men enorm in ‘cyberwar’. Dat ligt ook voor de hand. De westerse wereld is door en door gedigitaliseerd en daarmee dus kwetsbaar voor cyberaanvallen, terwijl dat andersom veel minder geldt. Niet voor niets hebben de Amerikanen aangegeven dat ze zich het recht voorbehouden om ‘aanvallen met bits en bytes te beantwoorden met bullets and bombs’. Daar zijn hun tegenstanders gevoelig voor.
Een cyberleger opzetten is ook nog eens veel goedkoper dan het ontwikkelen van bijvoorbeeld een JSF. Ik denk dat conflicten in de nabije toekomst ook veel minder om ‘landje pik’ draaien dan om het krijgen van economische hegemonie en controle.”

Vinden soortgelijke acties ook bij grote bedrijven plaats?
“Digitale spionage is een wijd verbreid fenomeen. Zowel vanuit de overheid van vreemde landen als tussen bedrijven onderling wordt gespioneerd. Bij die laatste groep spitsen de activiteiten zich vooral toe op het hacken van tendergegevens. Bedrijven kunnen enorm voordeel behalen als ze weten wat de aanbiedingen van hun concurrenten zijn. Digitale spionage die geïnitieerd wordt vanuit vreemde overheden is vooral gericht op hightechbedrijven en op sleutelsectoren als energievoorziening.”

Dat gebeurt hier dus ook.
“Gespioneerd wordt er hier zeker, maar de Nederlandse overheid houdt zich uitdrukkelijk niet met economische spionage bezig. Dat laatste vind ik een gemiste kans. In tegenstelling tot de landen om ons heen vinden wij dat blijkbaar niet netjes. Maar als anderen bij jou in de keuken kijken, en dat gebeurt want de AIVD en de MIVD maken er in hun jaarverslagen melding van, waarom zou je het dan zelf ook niet doen? Voor mij is de overheid op dat punt te netjes. Het gaat om grote economische belangen. Daarbij speelt mee dat het je scherp houdt. Als je zelf economische spionage bedrijft en merkt hoe makkelijk het soms is om zaken aan de weet te komen, ga je je ook afvragen hoe het staat met de bescherming van je eigen kritische informatie.”

Als de wet het niet toestaat kan ook de overheid weinig.
“Juist dat vind ik te makkelijk. Je kunt de randen van de wetgeving opzoeken. In sommige gevallen kan je je ook afvragen of onze wetgeving toereikend is. Nu wordt soms te makkelijk gezegd dat we geen jurisdictie hebben. Ik denk dat ons dat beperkt in de opsporing. Als een computer alle acties op Nederland richt, ingrijpt in Nederlandse systemen, transacties die hier gesloten worden infiltreert en manipuleert, maar fysiek in een land ergens ver weg staat, kun je dan volhouden dat je niets mag doen omdat in dat land jouw wetten niet gelden? Aanpak van cybercrime vergt nieuwe manieren van bestrijden. Je hebt als overheid de plicht de Nederlandse burger te beschermen en zijn belangen te verdedigen. Als daar iets voor nodig is zoals het ‘zeerecht’ dat Hugo de Groot in de 17e eeuw initieerde, dan moet dat maar.”

Toch doen we het als Nederland op een aantal terreinen goed.
“Ja, op het terrein van opsporing pakken we in Nederland zaken slim aan. Erik Akerboom, de Nationaal Coördinator Terrorisme & Veiligheid, voert een onderzoek uit om het probleem van de jurisdictie op internet aan te pakken. Daar is vanuit de politiek oor voor en tonen we lef. Inmiddels zijn we zo ver dat men vanuit de FBI komt kijken om onze opsporingsmethodieken te kopiëren.
Maar het kan nog veel beter. Voor bestrijding van kinderporno heeft elke politieregio nu een paar rechercheurs die zich daar mee bezighouden. Dat heeft nauwelijks effect. Zet die mensen bij elkaar in één organisatie en maak er echte cybercops van. Dan kun je kinderporno serieus bestrijden. Dat lijkt me belangrijker dan de dierenpolitie.”

Wat moet er gebeuren om de overheid op dit punt tot andere inzichten te brengen?
“Er moet een duidelijke economische prikkel zijn. Dat hebben we in de bankensector gezien. Daar was het heel belangrijk om veilig betalingsverkeer te realiseren. Omdat we in ons land vroeg waren met digitaal betalingsverkeer, kregen banken hier in een vroeg stadium met cybercriminaliteit te maken. Daar heeft de financiële sector leergeld voor moeten betalen, maar nu is de Nederlandse bankenwereld op het terrein van cybersecurity toonaangevend in de wereld. Zelfs vanuit de FBI heeft men hier permanent een liaison die kijkt hoe de politie samen met onze bankensector de cybersecurity heeft ingericht.
Eigenlijk zou voor een aantal kritische delen van onze economie ook helder moeten worden hoe noodzakelijk het is om beveiliging optimaal in te richten. Het zou goed zijn als vitale bedrijven, zoals de energiesector, meer zouden voelen van de indirecte economische schade van hun klanten. Pas dan zullen ze geneigd zijn werkelijk hun beveiliging op een hoger niveau te brengen.”