Het is een onzichtbare oorlog, maar hij wordt wel degelijk gevoerd en de strijd kan grote gevolgen hebben: de cyberoorlog, die zich richt op de vitale infrastructuur van de 27 EU-lidstaten. Ziekenhuizen, het elektriciteitsnet, spoorwegen en universiteiten worden voortdurend aangevallen door hackers uit vooral Rusland en ook China. Vrijdag ontdekte RTL Nieuws dat een Nederlands vaccinbedrijf slachtoffer is geworden van een ransomware-aanval.

Om zich daar beter tegen te beschermen, presenteerde Eurocommissaris Margrethe Verstager donderdag een actieplan. Het Europees Parlement kwam op dezelfde dag met een wet die de lidstaten verplicht om hun vitale infra voortaan beter te beveiligen. Doet een gemeente of ziekenhuis dat niet goed genoeg en zijn de computerservers niet op orde, dan volgt er een boete.

Een papieren afspraak

“Die wet is als het ware de 2.0-versie van een bestaande wet”, zegt specialist cybercrime Jort Kollerie van Orange Cyberdefense. De komst ervan is een goede stap, zegt hij: “Maar het is een regulering, een papieren afspraak. Ik vraag me af of dit de beveiliging gaat afroepen die nodig is. Zo staat er onder meer in dat er risico-analyses gemaakt moeten worden door vitale en essentiële bedrijven en instellingen, maar het is niet precies duidelijk wat er dan precies gedaan moet worden.”

EU-lidstaten, dus ook Nederland, blijven wel in eerste instantie zelf verantwoordelijk voor de beveiliging van hun computernetwerken. Is Nederland daarbij voldoende bewapend? Kollerie kan daar moeilijk een algemeen oordeel over vellen, maar ziet het niet per se somber in: “Er worden zeker inhaalslagen gemaakt. Op ons drinkwater, bijvoorbeeld, is nu meer controle en grip. Dat moet ook, want door de geopolitieke dreiging wereldwijd, worden nu vaker cyberwapens ingezet.”

Het stille gevaar

Met ‘vaker’ moeten we niet denken in termen van per dag of per week. Het is eerder continu, weet Lodi Hensen, specialist cyberveiligheid bij Tesorion, een bedrijf dat zich richt op het bestrijden van cybercriminaliteit. “Alleen al als het gaat om de zogeheten gijzelsoftware heb je verschillende varianten waar de groepen die deze gebruiken steeds grootschaligere aanvallen uitvoeren. Daarnaast heb je wat ik noem ‘het stille gevaar’. Dat zijn onder andere statelijke actoren die bijvoorbeeld via een openstaand digitaal deurtje zijn binnengeslopen en zich stilhouden tot het moment dat er interessante informatie weg te sluizen valt. Vervolgens slaan ze toe.” De vijand is dus soms al binnen zonder dat vitale bedrijven dat in de gaten hebben. Hacken gebeurt ook via omwegen, vertelt Hensen: “Soms worden medewerkers omgekocht en komt de crimineel of vijandelijke staat op die manier binnen.”

Boekhoudkantoortje op de hoek

Hensen wijst erop dat ziekenhuizen, energiebedrijven, de watervoorziening en andere essentiële onderdelen van de samenleving in wezen niet anders opereren dan bij wijze van spreken het boekhoudkantoortje op de hoek: “Zij maken vaak gebruik van dezelfde, computersystemen en software met dezelfde kans op kwetsbaarheden of misconfiguraties. Een vergelijkbare situatie geldt ook voor computersystemen gebruikt voor de bediening van een zeesluis. Het blijven normale organisaties, ook al zijn ze van de staat, of anderszins vitaal. Echter is de impact van een cyberincident vaak vele malen groter.”

Hensen is daarom blij dat Brussel de wet nu heeft aangescherpt: “Bestuurders van vitale organisaties kunnen bijvoorbeeld nu makkelijker op het matje worden geroepen als ze de beveiliging niet op orde hebben.”

Wat hoort er bij de vitale infrastructuur? Er vallen nogal wat instanties en sectoren onder de noemer ‘vitale infrastructuur’. Het ministerie van justitie en veiligheid heeft een complete waslijst opgesteld van ‘vitale processen’ die gevaar lopen. Een greep: opslag, productie en verwerking van nucleair materiaal, inzet defensie, inzet politie, het hoofdwegennet (personenauto’s en vrachtvervoer), het betalingsverkeer, drinkwatervoorziening, vlucht- en vliegtuigafhandeling, internettoegang en dataverkeer, gasproductie, olievoorziening, communicatie van hulpdiensten, scheepvaartafwikkeling. Al die diensten samen kunnen meer dan in hun eentje, vindt het ministerie van justitie en veiligheid. Daarom werkt de overheid aan een landelijk dekkend samenwerkingsverband op het gebied van cybersecurity. De bedoeling is om informatie over computerveiligheid tussen publieke en private partijen ‘breder, efficiënter en effectiever’ te delen ‘met als doel de slagkracht van die partijen te versterken’.

