Digitale ontwrichting

Ons land wordt net als veel andere landen steeds vaker geconfronteerd met verstoringen van digitale infrastructuur, zoals DDOS aanvallen op het betalingsverkeer of de digitale overheid. Nederland is voorbereid op verschillende rampenscenario’s maar wat te doen bij een digitale ontwrichting? Wie grijpt dan in? Met welke bevoegdheid? Hoe bereiden we ons voor? Nu cyber steeds verder verknoopt raakt met fysieke infrastructuren en het sociale weefsel van onze samenleving, is cybersecurity alleen niet langer voldoende.

In 2018 startte de WRR een adviestraject over hoe Nederland kan omgaan met een mogelijke cyberramp. Voorbereiden op digitale ontwrichting verscheen september 2019 en is een ongevraagd advies van de WRR aan de Nederlandse regering. Belangrijkste conclusie: de overheid en andere belangrijke partijen zijn onvoldoende voorbereid op digitale ontwrichting. Juist deze voorbereiding is essentieel nu de digitale en fysieke wereld steeds meer met elkaar verweven raken.

Aanbevelingen

In het rapport Voorbereiden op digitale ontwrichting formuleert de WRR vijf aanbevelingen om Nederland en Europa beter voor te bereiden op de aanpak van een digitale ontwrichting en een publiek debat te entameren over de wijze waarop de Nederlandse samenleving is toegerust op een digitale ontwrichting:

  1. Creëer een helder afgebakende wettelijke bevoegdheid voor digitale hulptroepen.
  2. Stel in aanvulling op het huidige Cybersecuritybeeld een Cyberafhankelijkheidsbeeld op, dat inzichtelijk maakt van welke partijen, digitale processen en diensten het functioneren van vitale processen in de Nederlandse samenleving afhankelijk is.
  3. Besteed bij het beleid voor vitale infrastructuur meer aandacht aan de ketens en netwerken die vitale processen ondersteunen. Onderzoek bovendien of digitalisering het nodig maakt de prioritering van die processen aan te passen.
  4. Stimuleer onderzoek naar de haalbaarheid van een Nederlandse of Europese cyberpool om schade als gevolg van digitale ontwrichting te verzekeren.

Benut nationale en internationale incidentdata beter om lessen te trekken met het oog op  toekomstige verstoringen.

Podcast Vogelvlucht #9 Digital Disruption

Deze podcast is speciaal gemaakt als voorbereiding op ‘The Covid-19 crisis and dependence on digital means - a crossroads between The Netherlands and France’, een webinar dat in samenwerking met France Stratégie in februari 2021 is georganiseerd.

#9 Digital Disruption

Transcriptie podcast WRR Digital disruption

Voice over
In 1912 voer de Titanic haar ondergang tegemoet terwijl het orkest dit lied speelde. Hoewel het schip er robuust uitzag, was het eigenlijk heel kwetsbaar. Het beschikte niet over een waarschuwingssysteem voor het gevaar waar het uiteindelijk mee werd geconfronteerd. Door één enkel gat liep het schip volledig vol water. Er was geen effectief reddingsplan en er waren veel te weinig reddingsboten. 

Ruim honderd jaar later publiceerde de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) in Nederland een rapport over digitale ontwrichting. Het beschrijft maatregelen om te voorkomen dat er binnen onze digitale wereld een ernstige ongeval plaatsvindt met onnodige fatale gevolgen. Luister naar deze podcast om te horen hoe we kunnen voorkomen dat onze samenleving ten onder gaat in ijskoud water.

Erik Schrijvers
We definiëren ontwrichting als een situatie waarin de continuïteit van de samenleving op het spel staat.

Voice over
In tegenstelling tot fysieke rampen en verstoringen die de mensheid tot nu toe heeft meegemaakt, is digitale ontwrichting niet zichtbaar en ook niet slechts lokaal. Incidenten kunnen plaatsvinden op grote schaal, met de snelheid van het licht en met verwoestende gevolgen.

Corien Prins
Digitale ontwrichting kan ook betekenen, of in ieder geval een effect hebben op de democratie, op het vertrouwen in de democratie.

Voice over
Ook al weten we niet precies wat we kunnen verwachten, een snelle reactie is essentieel.

Erik Schrijvers
Een incident kan ontwrichtend zijn als we niet in staat zijn om de gevolgen op te vangen.

Voice over
In zijn rapport over digitale ontwrichting wil de Raad het land voorbereiden op het 'onbekende onbekende'. Want als er één gemene deler is in digitale incidenten die ons de afgelopen decennia hebben getroffen, dan is het dat we pas wisten wat ons overkwam toen het incident al had plaatsgevonden. Dus hoe kunnen we ons voorbereiden?

Corien Prins
De toekomst is onbekend, maar niet blanco, wat betekent dat je wel middelen hebt om in ieder geval je weg in het onbekende te vinden. Die middelen moet je zoeken.

Voice over
Je luistert naar de stem van Corien Prins, voorzitter van de Raad, en je hoort ook Erik Schrijvers, senior onderzoeker. Samen zijn ze verantwoordelijk voor de verkenningen die zijn uitgevoerd om erachter te komen welke methoden we kunnen toepassen als zich serieuze incidenten voordoen.

Corien Prins
Uiteindelijk kunnen we ons niet voor honderd procent voorbereiden, maar we kunnen ons voorbereiden door op zijn minst maatregelen te nemen die ons in staat stellen te onderzoeken welke gegevens ontbreken, en daar rekening mee houden.

Erik Schrijvers
De manier van denken over cyber security is nog wat ouderwets: het beveiligen van individuele gebouwen en individuele organisaties. Maar bij incidenten gaat het altijd om netwerken van organisaties. Het gaat om kettingreacties. Het gaat erom dat verschillende landen tegelijkertijd worden getroffen. Vrijwel alle grote incidenten waren incidenten die te maken hadden met problemen met de toeleveringsketens. Dit is bijvoorbeeld het geval met de NotPetya-aanval en met WannaCry.

Voice over
In juni 2017 zijn verschillende organisaties in de Oekraïne aangevallen met 'malware' genaamd NotPetya. Deze malware nam de controle over van verschillende servers en computers om van daaruit andere computers in de Oekraïne en elders in de wereld binnen te vallen. Informatie werd geblokkeerd en kon weer beschikbaar worden gemaakt door het betalen van losgeld. De infiltratie en de verspreiding met de malware was mogelijk door kwetsbaarheden in reguliere Microsoft-software. NotPetya leek op WannaCry, een wereldwijde cyberaanval van een paar maanden eerder. Naar verluidt veroorzaakte NotPetya een schade van naar schatting tien miljard dollar. Onder de getroffenen waren rederij Maersk, FedEx, Mondelez en Saint Gobain, een grote Franse bouwonderneming.

Corien Prins
In ons rapport formuleren we enkele typische kenmerken van deze nieuwe vorm van ontwrichting. Netwerkketens zijn er daar een van. Een andere is de interactie tussen de digitale wereld en de fysieke wereld.

Voice over
Tijdens de aanval van NotPetya in 2017 kwamen de werkzaamheden van rederij Maersk wereldwijd tot stilstand, ook in Rotterdam.

Erik Schrijvers
Het hele bedrijf moest wereldwijd weer orders met de hand gaan uitschrijven. Alle containers stapelden zich op in de havens. Er ontstonden files. De gemeente Rotterdam wilde weten wat er aan de hand was, maar kreeg geen informatie van Maersk.

Corien Prins
De gemeente kreeg in eerste instantie geen toegang tot Maersk. Stel je voor dat een brandweerman aan de deur staat om het vuur te blussen en dat een bedrijf zegt: geen toegang.

Voice over
Dit roept vragen op over autoriteit. Wie is verantwoordelijk voor het bestrijden van de ramp en wie mag het toneel betreden? Als een brandweer wordt opgeroepen om een brand te blussen, zijn de procedures duidelijk. Bij een digitaal incident moeten de rollen van de betrokken partijen opnieuw worden gedefinieerd om snel te kunnen reageren. Dit kan beter van tevoren worden gedaan.

Corien Prins
We zien bijvoorbeeld dat overheden bij het aanpakken van dit probleem sterk afhankelijk zijn van de private sector. Een Nederlandse overheidsorganisatie die wordt aangevallen is sterk afhankelijk van bijvoorbeeld een 'cloud provider' of Microsoft of een ander groot particulier bedrijf over de grens. Publieke en private sector moeten samenwerken, evenals verschillende naties.

Voice over
Om langdurige discussies in de nasleep van een incident te voorkomen, als tijd geld is, moet er op nationaal en Europees niveau nieuwe wetgeving worden opgesteld.

Corien Prins
En natuurlijk zien we wel dat er een verschil is tussen het betreden van een poort in de fysieke wereld en het betreden van een datasysteem, vertrouwelijke data, maar dat moet in de wetgeving geregeld worden. Bedrijven krijgen dan ook zekerheid over wat de overheid wel en niet mag doen bij het betreden van een systeem.

Voice over
De samenleving is afhankelijk geworden van een klein aantal grote aanbieders van infrastructuur. Dit legt veel macht bij slechts een handjevol spelers en dat verhoogt ook de kwetsbaarheid van systemen. Als er maar een klein deel van de  software is aangetast, kan zich dat als een virus onmiddellijk wereldwijd verspreiden. Neem bijvoorbeeld het bedrijf SolarWinds. In 2020 waren Russische hackers in staat om de software van SolarWinds te infiltreren, een bedrijf dat levert aan alle divisies van het Amerikaanse leger, het Witte Huis, 425 van de Fortune 500-bedrijven, alle vijf van de vijf topaccountantskantoren en honderden universiteiten en hogescholen.

Voice over
Hackers wisten binnen te dringen in een software-update van Orion, een netwerkbeheerproduct van SolarWinds. Gebruikers die de gecorrumpeerde update hebben gedownload en geïnstalleerd, gaven hackers onbewust toegang tot hun netwerken. 18.000 netwerken zijn geïnfiltreerd, gevoelige data zijn gestolen en veel services zijn gecompromitteerd. Het IT-bedrijf SolarWinds heeft 300.000 klanten over de hele wereld. Verwijzend naar deze enorme hack waarschuwde Microsoft-president Brad Smith voor een wereldwijde digitale 9/11 als regeringen en bedrijven niet de juiste maatregelen nemen tegen deze mogelijk ontwrichtende dreigingen.

Corien Prins
Het heeft ook te maken met perceptie. Eind vorig jaar deed zich een incident op lokaal niveau voor in het oosten van Nederland, bij de gemeente Hof van Twente. Inwoners van het gebied werden zwaar getroffen want openbare voorzieningen waren niet langer beschikbaar. Het lijkt erop dat het maanden zal duren om de digitale infrastructuur daar te reconstrueren. Mensen verwachten van de overheid dat de overheid handelt. We vertrouwen erop dat de overheid dit soort situaties aanpakt.

Voice over
De Raad adviseert de Nederlandse regering om op vier niveaus te handelen: Paraatheid, Signalering, Bestrijding en Herstel en wederopbouw.

Corien Prins
Deze vier fasen zijn bekend in de wereld van crisisvoorbereiding, in de wereld van brandweerlieden. Paraatheid betekent dat we een overzicht hebben van de bedrijven waarmee we digitaal verbonden zijn. Het is cruciaal om die informatie vooraf te hebben. Welke dienstverleners zijn dat? Zijn ze in Nederland gevestigd, komen ze uit Frankrijk, Groot-Brittannië, de Verenigde Staten? Voorbereid zijn betekent zowel je positie in de digitale wereld kennen als de interactie met de fysieke wereld. Dat is punt 1, paraatheid.

Erik Schrijvers
Signalering is ook erg belangrijk en kost nog steeds erg veel tijd. Het European Union Agency for Cybersecurity Enisa zegt bijvoorbeeld dat het gemiddeld zes maanden duurt om een cyberaanval op te sporen. Dit is natuurlijk een gemiddelde, maar het kost dus veel tijd om het te ontdekken. Dit moet dus worden verbeterd. Bij grote incidenten, bijvoorbeeld met SolarWinds, zitten de indringers meestal al maanden in het netwerk. Maar de verdediging tegen hackers is een stuk moeilijker dan het aanvallen van een organisatie. Je moet het hele netwerk verdedigen, terwijl een aanvaller maar één klein gaatje nodig heeft om binnen te komen.

Erik Schrijvers
Het belangrijkste middel om de signalering te verbeteren, is het delen van informatie. We moeten informatie delen over incidenten, maar ook over de context waarin organisaties opereren en de digitale dienstverleners waarvan we afhankelijk zijn.

Corien Prins
Bestrijding betekent dat je weet wanneer je de server moet uitzetten en wanneer niet, en onder welke omstandigheden. Want als de server uitvalt, kunnen we het dan nog steeds met de hand doen, op de ouderwetse manier? Het vermogen te kunnen terugvallen op handmatige processen is voor bepaalde vitale processen cruciaal. We hebben een back-upfaciliteit nodig. Een van die cruciale back-upfaciliteiten is menselijke handelen.

Voice over
To be connected or not to be connected? Het lijkt praktisch om alle systemen met internet te verbinden, maar dit kan gevaarlijk zijn, zoals blijkt uit het geval van DigiNotar. Dit Nederlandse bedrijf is in 2011 gehackt. Als 'trusted third party' verstrekte het certificaten voor websites waarmee ze konden aantonen dat ze werkelijk de websites waren die ze zeiden te zijn. De hacker die DigiNotar infiltreerde, kon ongeveer vijfhonderd valse certificaten produceren en verspreiden. Nepwebsites konden zich voordoen als hun legitieme originelen en informatie van gebruikers bemachtigen. Toen dit werd ontdekt, ging het vertrouwen tussen veel gebruikers en websites verloren. Cruciale informatie-uitwisseling met en tussen websites van de Nederlandse overheid werd onbetrouwbaar, waardoor processen als inklaring, banktransacties en toeslagen in gevaar kwamen. De hack is onbedoeld gefaciliteerd door medewerkers van DigiNotar, die de hoofdserver van de certificaten met internet hadden verbonden, terwijl deze uit voorzorg daarvan afgezonderd had moeten blijven.

Corien Prins
Nu de laatste fase: Herstel en wederopbouw. We komen hier met twee belangrijke aanbevelingen. Eén daarvan is: leren van je fouten. Ik bedoel, voorkom dat ze zich herhalen. En dat betekent dat je moet evalueren en dat je daar lering uit moet trekken. Op dit moment hebben we een heel goed instrument waarmee we van fouten kunnen leren, en dat is de melding van datalekken in onze Europese wetgeving. Die datalekken moeten worden gemeld bij de toezichthouders. Maar wat we constateren, althans in Nederland, is dat ze weliswaar worden gemeld, maar dat we de gegevens niet naast elkaar leggen. We trekken er geen of in ieder geval onvoldoende conclusies uit. Wat tonen ze ons? Wat laten deze datalekken ons zien in het soort actoren, het soort kwetsbaarheden, het soort afhankelijkheid? Digitale technieken zijn een belangrijk hulpmiddel bij geopolitieke conflicten.

Corien Prins
Het tweede punt is verzekering. Je moet als samenleving verder kunnen gaan. Je hebt geld nodig  voor de wederopbouw en een verzekering kan daarbij van nut zijn. We realiseren ons natuurlijk wel dat het voor verzekeraars best lastig is om grip te krijgen op de risico's en de mogelijke schade. Hoeveel geld is hier mee gemoeid? De overheid zou moeten ingrijpen en in ieder geval moeten bespreken en onderzoeken of er een fonds moet worden gecre�erd zijn dat zekerheden biedt voor verzekeringsmaatschappijen.

Voice over
De vraag is dan natuurlijk: moet de verzekeringsmaatschappij dekking bieden op basis van een bepaalde polis?

Corien Prins
Na aanvallen als WannaCry en NotPetya zeggen verzekeringsmaatschappijen steeds vaker: deze schade is oorlogsgerelateerd, dus die sluiten we uit.

Voice over
De huidige coronapandemie heeft aangetoond dat we tegenwoordig sterk afhankelijk zijn onze digitale infrastructuur. Als corona twintig jaar eerder had toegeslagen, zou de samenleving veel dieper zijn geraakt. Er hebben zich het afgelopen jaar geen serieuze digitale incidenten voorgedaan, maar het was soms kantje boord en het gevaar is nog niet geweken.

Corien Prins
Wat als er zich een aanval WannaCry voordoet tijdens deze crisis? Wat als de Citrix-problemen zich tijdens deze crisis voordeden?

Voice over
Eind 2019 werd het Nationaal Cyber Security Centre geïnformeerd over bepaalde kwetsbaarheden in software genaamd Citrix. Citrix is een programma dat wordt gebruikt om mensen die thuis of elders werken te verbinden met hun kantoor. Tientallen steden in Nederland, waaronder Amsterdam en Rotterdam, schakelden na advies de hun verbindingen uit, evenals een aantal parlementsleden. Diverse universiteiten en de luchthaven Schiphol volgden. De mogelijke lekken zijn ontdekt na cyberaanvallen op een universiteit in een middelgrote stad. Enkele maanden later, in 2020, was de software nog steeds niet naar tevredenheid gerepareerd. Ongeveer vijftig procent van de Nederlandse gemeenten gebruikt Citrix.

Corien Prins
Wat gebeurt er nu als een grote cyberaanval werk- of gezondheidsgerelateerd is?

Voice over
In 2017 werden ziekenhuizen in Groot-Brittannië getroffen door ransomware genaamd WannaCry. Communicatiesystemen gingen op slot, bestanden werden versleuteld, 19.000 afspraken van patiënten werden geannuleerd en noodhulp moest worden verplaatst.

Corien Prins
Geopolitiek cruciale spelers in de huidige pandemie, zoals Pfizer, zoals de Wereldgezondheidsorganisatie, worden aangevallen.

Voice over
Overheid en bedrijfsleven dienen tal van maatregelen te nemen, maar zijn er voorzorgsmaatregelen die gewone burgers kunnen nemen om zich te wapenen tegen cyberincidenten?

Erik Schrijvers
Het is erg moeilijk voor burgers om de zeer complexe digitale wereld te begrijpen. We vinden in de eerste plaats dat het de verantwoordelijkheid is van organisaties en overheid om voorbereid te zijn. Maar burgers kunnen natuurlijk wel een aantal dingen doen. Ze kunnen bijvoorbeeld hun eigen achtervang organiseren door sommige dingen op papier te bewaren, in plaats van al hun belangrijke gegevens in de computer te zetten. En ze kunnen bijvoorbeeld wat geld op zak hebben, in plaats van volledig op digitale geldmiddelen te vertrouwen. Maar dit zijn maar beperkte voorzorgsmaatregelen in vergelijking onze voorstellen ter voorbereiding op digitale ontwrichting.

Voice over
Het installeren van antivirussoftware is verstandig, evenals een gezond wantrouwen ten aanzien van ongevraagde digitale berichten, omdat privécomputers kunnen worden gebruikt voor grootschalige aanvallen.

Corien Prins
Wees je dus bewust van je verantwoordelijkheid, ook al ben je klein en heb je geen invloed op het grotere geheel. Vergelijk het met een brandje: het begint klein. Wanneer het vuur groter wordt, red je het niet meer in je eentje. Dan moet je de brandweer bellen. Kleine incidenten zijn voor de burger nog behapbaar. Maar houd er rekening mee dat je een onderdeel bent van een grote keten en dat kan een cruciaal onderdeel zijn.

Voice over
En wat voor het individu geldt, geldt voor elk groter geheel.

Corien Prins
Ons rapport gaat niet over preventie. Het rapport gaat over: het gebeurt. En zijn we daarop voorbereid?

Voice over
Wat gebeurt er met dit rapport in Nederland? Tot nu toe heeft de Nederlandse regering de Tweede Kamer laten weten een aantal aanbevelingen te zullen overnemen. De Tweede Kamer heeft op haar beurt bij het kabinet aangedrongen op een schets van de verwevenheid van Nederland in de digitale wereld, zoals is aanbevolen in het rapport over digitale ontwrichting.

Eerdere publicaties verschenen rondom dit onderwerp