‘Het Nationaal Cyber Security Centrum (NCSC) verzamelt weliswaar veel informatie over cyberaanvallen en waarschuwt inmiddels vele bedrijven en overheden waar nodig, maar speelt nog geen echt handhavende rol’, stelt Van Oeveren. ‘De politieteams die cybercriminaliteit bestrijden zijn klein en verspreid, waardoor ze onvoldoende slagkracht hebben om effectief op te treden.’ Van Oeveren benadrukt dat er behoefte is aan een bredere en beter georganiseerde aanpak. Niet alleen binnen Nederland, maar ook in Europees verband. ‘Je hoeft niet per se een aanvaller uit Rusland aldaar op te pakken, maar je kunt er wel voor zorgen dat je hun activiteiten in Nederland zoveel mogelijk belemmert. Dáár zou wat mij betreft de focus op moeten liggen.’
Internationale samenwerking op dit terrein bestaat nu al, onder andere via Europol, maar volgens Van Oeveren kan dit effectiever worden ingericht met duidelijker afgebakende verantwoordelijkheden en meer capaciteit per land. Zo zou Defensie nog veel meer kunnen doen in het bestrijden van staatshackers, vindt hij: ‘Vooral door aanvallers terug te hacken en de door hen gebruikte infrastructuur uit te schakelen.’
Offensieve capaciteiten ontwikkelen
De ontwikkeling van offensieve capaciteiten op het gebied van hacken speelt volgens Van Oeveren een cruciale rol in de komende jaren. De vraag hoe Nederland moet reageren op statelijke aanvallen is complex en raakt aan juridische, politieke en diplomatieke grenzen. Terughacken kan in bepaalde gevallen noodzakelijk zijn om verdere schade te voorkomen, maar vereist duidelijk beleid en richtlijnen over wanneer en hoe een tegenactie mag worden uitgevoerd.
Van Oeveren stelt dat er momenteel geen duidelijke verantwoordelijkheid is toegewezen: ‘De overheid is hier maar heel beperkt mee bezig. Krijgsmacht en inlichtingendiensten hebben wel een bepaalde capaciteit, maar het is onduidelijk hoe dit precies ingezet moet worden. Het gaat niet alleen om geld, maar om aansturing. Die ontbreekt nu.’
De meest complexe uitdaging is het juridische grijze gebied rond statelijke aanvallers. Veel aanvallen zijn moeilijk juridisch te traceren, zeker wanneer staten gebruikmaken van indirecte methoden, zoals het inschakelen van cybercriminelen. ‘Er ontbreken heldere richtlijnen over wanneer een aanvaller als staatsactor kan worden beschouwd, en dit bemoeilijkt zowel nationale als Europese handhaving.’ Volgens Van Oeveren moet dit grijze gebied worden omgezet in duidelijke regelgeving, waarbij zowel juridische kaders als internationale afspraken helder maken wat de definitie is van een staatsaanvaller en wanneer actie gerechtvaardigd is. Hier ligt met name een uitdaging voor Brussel. ‘Alleen met deze helderheid kan Nederland effectief reageren.’
Digitale soevereiniteit
Behalve de uitdaging van ‘schurkenstaten’ die Nederlandse organisaties gericht aanvallen, zijn er ook toenemende zorgen over de digitale soevereiniteit van de Nederlandse overheid. Nederland en andere Europese landen zijn sterk afhankelijk van buitenlandse technologie, met name uit de Verenigde Staten. Deze afhankelijkheid beperkt het vermogen van overheden om volledige controle te hebben over kritieke infrastructuur en data.
Van Oeveren pleit daarom voor gerichte investeringen in Europese en nationale oplossingen: ‘Als we willen dat alles binnen Europa blijft of bepaalde zaken alleen binnen Nederland plaatsvinden, zal daar druk en investeringsbereidheid voor moeten komen vanuit de overheid. Iedereen is nu gewend aan Amerikaanse producten, maar als we niets doen, blijft het een illusie dat we onafhankelijk kunnen zijn van partijen buiten Europa.’ Volgens hem is dit geen kwestie van idealisme, maar van noodzaak. Vooral op het gebied van cybersecurity.
Sinds Trump weer de scepter zwaait in het Witte Huis, is de situatie rondom de Verenigde Staten extra uitdagend geworden. Van Oeveren wijst op de onvoorspelbaarheid van het beleid en de wisselende politieke prioriteiten: ‘Op een gegeven moment heeft Trump zelf gezegd: “We stoppen met cyberacties in Rusland.” Dan krijg je het toch al benauwd. Als Europees land weet je gewoon niet wat de VS gaan doen. Een trouwe bondgenoot is zo onvoorspelbaar geworden.’
Beleid ontwikkelen rondom statelijke actoren
Die situatie maakt het volgens Van Oeveren des te belangrijker dat Nederland meer beleid ontwikkelt om statelijke actoren te kunnen vaststellen. ‘Als Nederland zijn we heel terughoudend in actie te komen wanneer er mogelijke staatshackers worden aangetroffen in systemen. Voor inlichtingendiensten is meer ruimte op dit gebied hard nodig. Op het moment dat je weet welke statelijke actoren in je systemen zitten, kun je zelf ook maatregelen nemen om te voorkomen dat dit nog een keer gebeurt.’
Van Oeveren benadrukt dat het niet gaat om wantrouwen, maar om realisme: ‘Het is een illusie om te denken dat Amerika niet spioneert binnen Europa, maar in het verleden werd dat geaccepteerd. Hoe ga je je daartegen wapenen? Je moet voorbereid zijn op situaties waarin onze systemen mogelijk al bezocht zijn door buitenlandse inlichtingendiensten. Dat vraagt om een goede inschatting van de eventuele risico’s die vanuit onze bondgenoten kunnen komen en een daarbij passende veiligheidsstrategie.’
Lees meer: