De Nationale Cyber Security Strategie: een stap voorwaarts?

Achtergrond Stuxnet, Wikileaks, een gigantisch botnet en een kinderpornonetwerk: wat hebben deze onderwerpen gemeen? Behalve dat ze alle vier een serieuze impact op de digitale veiligheid in Nederland hebben, laten ze ook zien dat Nederland nog niet optimaal geoutilleerd is om de digitale strijd aan te gaan. Om daar verandering in te brengen, heeft het Ministerie van Veiligheid en Justitie eind februari de Nationale Cyber Security Strategie gelanceerd. Dat is volledig in lijn met die ene zin uit het regeerakkoord: “Het kabinet komt met een integrale aanpak van cybercrime “1. In dit artikel bespreken we de inhoud van de strategie. We vergelijken de Nederlandse aanpak met soortgelijke buitenlandse initiatieven en stellen de vraag of hieruit de ambitie blijkt die nodig is om digitaal weerbaar te zijn. Is het een stap in de goede richting?

De Nederlandse situatie Net als de ons omliggende landen heeft Nederland nu dus een nationale cyber security strategie. De strategie heeft tot doel om Nederland weerbaarder te maken tegen de nieuwe risico’s van onze digitale samenleving. Hij is er dan ook geen moment te vroeg. Waren we op dit moment dan nog niet weerbaar? Dat is niet per se de conclusie, maar de genoemde incidenten uit de tweede helft van 2010 hebben wel laten zien dat serieuze verstoringen mogelijk zijn en dat we in Nederland alle zeilen moeten gaan bijzetten om weerstand te bieden.

Daar zijn een aantal oorzaken voor aan te wijzen. De belangrijkste is dat we in Nederland te weinig structurele operationele slagkracht hebben. Bij elk incident kruipen een aantal experts van zowel publieke als private partijen bij elkaar om het probleem te onderzoeken en aan te pakken. Dat is effectief gebleken, maar het biedt niet voldoende basis om de digitale veiligheid voor de toekomst te kunnen waarborgen. Daarnaast is er gebrek aan regie. Vanuit hun tradionele blikveld hebben een aantal Ministeries en andere organisaties zoals I&V en NCTb al hun eigen verantwoordelijkheid genomen. Dat heeft geresulteerd in diverse partijen die zowel op tactisch als operationeel niveau hun eigen gang lijken te gaan. Ten derde ontbreekt -in defensie termen- Situational Awareness. We ontberen goed zicht op voorkomende digitale aanvallen op Nederland als land. Ook hebben we weinig idee van de potentiële hacking- en verstoringsmogelijkheden van onze huidige vijanden.

Tabel 1 Bestaande organisaties betrokken bij cyber security

MinDEF DEFCert

MIVD ?

MinBZK GovCERT

MinVenJ KLPD/THTC, BDE’s, OM, ZM, NCTb

AIVD NBV + ?

MinELenI (nu TNO) CPNI.nl

Private partijen Fox-IT, en diverse anderen

1 http://www.rijksoverheid.nl/documenten-en-publicaties/rapporten/2010/09/30/regeerakkoord-vvd-cda.html

OPENBAAR 2

Internationale Cyber Initiatieven Cyber Security is voor vrijwel elk land relevant. Het is dan ook niet verbazingwekkend, dat bijvoorbeeld de Verenigde Staten en het Verenigd Koninkrijk al langer een strategie hebben.

Een aantal incidenten in de US zoals het inbreken in een Defensie netwerk via een usb stick2 en het ontdekken van sleeper botjes in het electriciteitsnetwerk hebben Obama heel snel na zijn aantreden doen besluiten om een review te verlangen van alle overheidsinitiatieven op dit gebied3. Het belangrijkste gevolg daarvan is de benoeming van een Cyber Czar, die in het Witte Huis is gepositioneerd. Dat geeft een gezicht aan cyber security en de garantie dat het een key-priority blijft zoals Obama dat heeft aangegeven.

De Amerikaanse strategie heeft als insteek het blijven functioneren van de VS als geheel oftewel de nationale veiligheid. Daarom is het beleid met name gericht op digitale dreigingen in het Defensie - en spionage veld en minder op typen van cybercriminaliteit, waar vooral burgers en bedrijven last van hebben. In hoofdlijnen worden drie doelen uitgewerkt:

- Het realiseren van een eerste verdedigingslinie tegen de huidige dreigingen. Denk daarbij aan het continu monitoren van alle overheidsnetwerken. Later moeten daar ook kritische private partijen op aansluiten. Gekoppeld daaraan wordt een response mogelijkheid gebouwd; verdedigen door aan te vallen.

- Het opbouwen van een volledige verdedigingsomgeving. Dit doel reikt een stuk verder. Een goede verdediging kan alleen door continu te analyseren waar de dreiging vandaan komt en waar de interesse van de vijand ligt. In inlichtingen termen wordt dit contra-inlichtingen genoemd. Dat Amerika het serieus neemt, blijkt ook uit dat ze zelfs zo ver gaan dat ze apparatuur uit het buitenland wantrouwen (supply chain).

- Investeren in de toekomst. Meer opleiding en regie en herijking van onderzoek en ontwikkelingsprogramma’s.

Gekoppeld aan dit initiatief heeft Amerikaanse overheid ondanks de financiële crisis een serieuze hoeveelheid geld vrijgemaakt. Voor het fiscale jaar 2011 bedraagt dit budget 3,6 miljard US Dollar4.

Zoals vaker heeft het Verenigd Koninkrijk hun grote broer gevolgd en het ook grootschalig aangepakt. 5 Naast de dreiging van andere staten en terroristen nemen de Engelsen ook cybercrime mee als risicogebied. Ze kondigen daarbij ook aan dat hiervoor nog een aparte e-crime strategie zal volgen. De verantwoordelijk daarvoor is belegd bij hun Nationale Recherche, de Serious Organised Crime Agency.

Het belangrijkste initiatief vanuit het Verenigd Koninkrijk is echter het inrichten van een “multi-agency” Cyber Security Operations Centre. Deze operationele unit wordt ondergebracht bij de afluisterdienst GCHQ. Het heeft drie heldere taken:

- Verschaffen van situational awareness. Dit doen ze onder andere via monitoring systemen die permanent meekijken op het Internet in het Verenigd Koninkrijk.

- Analyseren van trends en dreigingsinschattingen maken van de mogelijkheden van mogelijke (statelijke) aanvallers.

- Het technisch reageren op dreigingen richting het Verenigd Koninkrijk.

2 http://www.foreignaffairs.com/articles/66552/william-j-lynn-iii/defending-a-new-domain

3 http://www.whitehouse.gov/cybersecurity/comprehensive-national-cybersecurity-initiative

4 http://www.bankinfosecurity.com/articles.php?art_id=2257

5 http://www.direct.gov.uk/en/Nl1/Newsroom/DG_191679

OPENBAAR 3

Behalve het beschermen van netwerken van de staat zelf, waarschuwt het CSOC via de Engelse veiligheidsdienst MI5 zelfs vitale bedrijven op het moment dat het CSOC vaststelt dat mogelijke spionage incidenten plaatsvinden. “U heeft zojuist een e-mail met een pdf bestand ontvangen...”.

Het geheel wordt strategisch aangestuurd door de Office of Cyber Security (OCS) dat een plaatsje krijgt in the Cabinet Office, dus net als in de Verenigde Staten dicht bij de Prime Minister. Hoeveel geld de Engelsen hebben vrijgemaakt is niet precies bekend. In ieder geval heeft het Ministerie van Defensie ondanks alle bezuiningen voor de komende 4 jaar meer dan 500 miljoen Pond 6vrijgemaakt om te investeren in cyber security.

De Nederlandse Cyber Security Strategie De oorsprong van de Nederlandse strategie ligt in kamervragen die eind 2008 bij de behandeling van de defensiebegroting gesteld zijn. De Kamer verbaasde zich er over dat nergens in de begroting een post was opgenomen voor de digitale veiligheid van Nederland, terwijl in veel omliggende landen dat wel gebeurt.7

De Nederlandse strategie wordt uitgewerkt op basis van 6 actielijnen:

1. Integrale aanpak door publieke en private partijen. 2. Adequate en actuele dreigings- en risicoanalyses. 3. Versterken van de weerbaarheid tegen ICT-verstoring en cyberaanvallen. 4. Versterking responscapaciteit om ICT-verstoringen en cyberaanvallen te pareren. 5. Intensivering opsporing en vervolging van cybercrime. 6. Stimuleren onderzoek en onderwijs.

De eerste hoofdlijn onderscheidt ons meteen van het buitenland: een integrale aanpak door publieke en private partijen. Ook in Cyberspace gaan we samen polderen. Net als het Verenigd Koninkrijk krijgt Nederland twee nieuwe organisaties. Ten eerste wordt een Cyber Security Raad opgericht, waarbij vertegenwoordigers van publieke en private partijen vanuit elk hun eigen verantwoordelijkheid tot overeenstemming moeten komen over de juiste prioriteitsstelling voor dit onderwerp. Ten tweede komt er een Nationaal Cyber Security Centrum (NCSC). De dan opgeschaalde organisatie GovCERT zal hierin opgenomen worden. Het wordt een kennis- en expertise centrum en zal ondersteuning bieden bij het aanpakken van incidenten. Of het NCSC ook diensten aan de vitale sectoren zoals energie, en de banksector gaat bieden, wordt nog onderzocht. Misschien ontstaat daar wel een rol voor marktpartijen die nauw samenwerken met het NCSC. Op dit moment monitort GovCERT al de netwerken van een aantal overheidsdeelnemers8 om incidenten in een vroeg stadium te ontdekken.

Het NCSC wordt ook het platform om op te treden bij digitale incidenten waarbij sprake is van een maatschappelijke ontwrichting. Op dat moment worden uit de diverse gelederen van publieke en private organisaties de cyber experts bij elkaar gezet om samen op te treden.

De “integrale” aanpak van de strategie beschrijft verder dat zowel de AIVD , MIVD als Defensie hun eigen verantwoordelijkheid hebben en zelfstandig zullen optreden. Er zal nog wel onderzocht gaan worden hoe Defensie de kennis, die zij uit de cyber capaciteit gaat opbouwen, voor haar civiele taak ter beschikking kan stellen.

6 http://www.number10.gov.uk/news/statements-and-articles/2010/10/sdsr-55912

7 Motie Knops, Tweede Kamer, vergaderjaar 2009-2010, 32 123 X, nr. 66,

http://rijksbegroting.minfin.nl/algemeen/gerefereerd/1/3/9/kst139420.html 8 Deelnemers zijn bijvoorbeeld Ministeries en gemeentes. Ze doen in tegenstelling tot in de VS en VK mee op basis van

vrijwilligheid.

OPENBAAR 4

Defensie krijgt een eigen cybercentrum met daarin ondermeer een Opleidings- en trainingscentrum (OTC). Net als de rest van de maatschappij is ook Defensie afhankelijk geworden van digitale systemen. Daarom wordt fors geïnvesteerd in zelfs offensieve capaciteiten om te voorkomen dat ons eigen leger niet kan optreden door digitale aanvallen.

Op het gebied van cybercrime wordt stevig geïnvesteerd. Het programma aanpak cybercrime (PAC) wordt versterkt. Daarnaast mag het succesvolle Team High Tech Crime van de KLPD uitbreiden naar 70 man in 2014. Ze moeten dan wel 20 zaken per jaar oplossen.

Conclusie Aan de Nederlandse cyberstrategie vallen drie zaken op, ook in vergelijking met de besproken initiatieven in de VS en het Verenigd Koninkrijk. Ten eerste is dat de belangrijke functie, die aan samenwerking tussen publieke en private partijen is toebedacht. Positief hieraan is, dat binnen het bedrijfsleven aanwezige kennis en initiatieven verder bij kunnen gaan dragen aan een cybersecure Nederland. Een risico van deze benadering is dat duidelijke en sterke regie door de Nederlandse overheid achterwege zou kunnen blijven, terwijl het belang en de aard van de problematiek die regie wel nadrukkelijk behoeft. Een ander risico is, dat overleggen en compromissen een snelle besluitvorming bemoeilijken en de mate van slagvaardigheid verminderen.

Het tweede wat opvalt is, dat Defensie en de inlichtingendiensten AIVD en MIVD zelfstandig zullen blijven opereren met betrekking tot dit onderwerp. Met name als het gaat om situational awareness werpt dit direct de cruciale vraag op hoe structurele kennisdeling wordt gerealiseerd. Immers, het Operationeel Cyber Security Centrum (OCSC) zal voor een goede dreigingsanalyse van deze kennis in grote mate afhankelijk zijn. Ook bestaat in het algemeen natuurlijk de kans, dat mogelijke synergievoordelen niet worden benut.

Als laatste valt de mate van concreetheid van acties bij de intensivering van de opsporing op. Nu al is bekend, dat succesvolle initiatieven voor bestrijding van cybercrime zullen worden beloond met meer geld en mensen. Dat is hoe dan ook een goede stap. Hoe strategisch we het probleem van Cybersecurity ook benaderen, voor een blijvend succesvolle bestrijding binnen een steeds snel veranderend dreigingsbeeld kunnen we niet anders dan blijven steunen op bevlogen professionals en hun initiatieven. Die geven we hiermee de ruimte en dat is een goede zaak.

In onze analyse van de huidige Nederlandse situatie onderkenden we drie belangrijke aandachtspunten, namelijk een gebrek aan (1) structurele operationele slagkracht, (2) regie en (3) situational awareness. Het is nog geen uitgemaakte zaak, dat de huidige cyberstrategie hier een adequaat antwoord op vormt. De crux is de rol van de overheid, zoals ook al blijkt uit de door haar gekozen titel voor deze strategie. Binnen de Nederlandse aanpak van cyberdreigingen blijven verantwoordelijkheden verspreid. Als de overheid er desalniettemin in slaagt kennis te bundelen en leiding en richting te geven aan de verschillende initiatieven, zullen we voldoende slagkracht kunnen opbouwen. Dan zal deze strategie de eerste stap naar een blijvend cyberveilig Nederland blijken.