Steeds vaker krijgen we in Nederland te maken met digitale aanvallen vanuit andere landen. Wat doet de AIVD hierin en wat ziet Erik Akerboom (directeur-generaal AIVD) voor trends? “De aanvallen vinden continu plaats en worden steeds complexer.”
“We zijn in Nederland vaak goed van vertrouwen, we zijn natuurlijk een handelsnatie.” Maar al zit het niet direct in onze genen, Akerboom ziet wel dat de aandacht voor cybersecurity ook bij de overheid is toegenomen. “De tijd dat de CISO en de security-mensen aan het eind van een doodlopende gang zaten, is echt voorbij.” Dat is het goede nieuws. “Aan de andere kant ontwikkelt de dreiging zich steeds verder. We hebben te maken met continue aanvallen die steeds complexer zijn. Daardoor zijn ze steeds minder goed te onderkennen.”
Daar moeten we dus wat mee. “We moeten oppassen dat die dreiging niet verder uit de pas gaat lopen met onze digitale weerbaarheid”, zegt Akerboom. “Dat vraagt om commitment van bestuurders: dat het op hun agenda staat en ze daar geld en mensen aan toekennen. Cyber is gewoon een onderdeel van de bedrijfsvoering. Soms is het zelfs een primaire taak; want het beschermen van vaak vertrouwelijke data kun je niet wegzetten als iets ondersteunends of een neventaak.”
Geopolitieke ontwikkelingen
De AIVD richt zich op het beschermen van de nationale veiligheid. Bij cyberdreigingen richt de dienst zich voornamelijk op statelijke actoren. Met de geopolitieke ontwikkelingen in de wereld neemt de dreiging toe, ziet Akerboom. “Cyberaanvallen vervangen daarbij deels de traditionele sabotage. Het is makkelijker om te hacken dan om een spion deze kant op te sturen. Daar zijn ze ook niet mee gestopt, maar de trefkans met hacken is veel groter en de pakkans kleiner.”
Cyberwebinar AIVD
Sabotage
Voorbeelden van statelijke actoren met een offensief cyberprogramma zijn China, Rusland, Iran en Noord-Korea. Zij verschaffen zich daarmee om meerdere redenen toegang tot onze systemen. “Ze zijn op zoek naar onze kennis en onze technologieën, want we hebben een hoog-technologisch bedrijfsleven. En ze zijn ook op zoek naar informatie over personen. Wie is hier belangrijk, wat willen onze politici? Soms willen die landen onze politieke agenda beïnvloeden, of het beeld over bijvoorbeeld China of Rusland bijstellen. De afgelopen tijd zien we ook echte sabotage-acties. Om een land te straffen of de dienstverlening te beschadigen.”
Modi operandi
“De AIVD gaat achter de schermen op zoek naar de dader, het slachtoffer en de modus operandi, zodat we ook een handelingsperspectief kunnen bieden. Als we iets zien gebeuren, informeren we de slachtoffers. Vaak ook via een van onze partners, zoals het NCSC. We proberen vooral ook nieuwe modi operandi te ontdekken. Hoe doen ze het? Kun je het herkennen in de systemen? Wat staat je te doen als je zo wordt aangevallen? Sinds een jaar geven we ook cyberadviezen. Zodat we niet alleen mededelen: ‘U bent gehackt’, maar ook kunnen zeggen: ‘Dit kunt u eraan doen.”
Samenwerking
De AIVD werkt veel samen. Internationaal met andere inlichtingendiensten (”op dagelijkse basis”), ook nationaal is er nauwe samenwerking. “Bijvoorbeeld in de Cyber Intel/Info Cel (CIIC), een samenwerkingsverband met de politie, het NCSC, de NCTV, de MIVD en het Openbaar Ministerie. Op deze manier kunnen we beter reageren op aanvallen en onze partners informeren. Ruim 200 van die digitale incidenten bij de overheid en in vitale sectoren hebben we beter kunnen duiden.” Akerboom zou graag zien dat er een ‘trusted community’ komt met bedrijven, universiteiten, veiligheidsdiensten en de overheid. “Om vertrouwelijke informatie over de aanvallen en aanvallers snel uit te kunnen wisselen. Dat kun je niet alleen als overheid.”
Trends in cyberaanvallen van statelijke actoren
Akerboom ziet een aantal trends in de cyberaanvallen van statelijke actoren.
- Crime as a service: vijandige overheden kopen digitale misdaden gewoon in. Sommige staten richten zich zelfs op criminele winsten, bijvoorbeeld in de cryptowereld.
- Zo groot mogelijk aanvalsvlak: aanvallers gebruiken zoveel mogelijk manieren tegelijkertijd om binnen te komen: via de uitvoering, via de e-mails of via de top.
- Steeds meer complex en geavanceerd, bijvoorbeeld door binnen te komen via een leverancier.
Puzzel
Het vinden van de dader, slachtoffer en modus operandi wordt steeds ingewikkelder. “Dat is vaak een echte inlichtingenpuzzel. Via de kabel, via een dataset, via menselijke bronnen; we moeten alle stukjes aan elkaar vlechten om de dader te herkennen. Dat puzzelen is kernwerk geworden van de dienst.”
Tips voor bestuurders
Met wat er achter de schermen allemaal gebeurt, heeft Akerboom een aantal concrete tips voor bestuurders. “Je kunt de drempel echt verhogen.”
- Stel je voor dat je gehackt wordt en jouw systemen met persoonlijke informatie van burgers worden gegijzeld door ransomware. Wat komt er dan allemaal op je af? Wat ga je vertellen?
- Oefen, en doe mee aan de Overheidsbrede Cyberoefening.
- En het allerbelangrijkst: stel vragen aan je CISO of IT-medewerker.
- Waar staan je data eigenlijk, in welk land? En wat kunnen die landen daarmee?
- Wanneer is de laatste security update gedaan? Als die niet is gedaan, staat je achterdeur open, en weten hackers dat ook.
- En natuurlijk: ‘Wat heb je nodig, hoe kan ik je helpen?’
Tijdelijke wet op de Inlichtingendiensten
Dit interview word je aangeboden door het overheidsbreed cyberprogramma. Net als de volgende verhalen: