Digitale veiligheid is een grondrecht. Daarom moet de overheid alles uit de kast halen om de cyberveiligheid te garanderen. Haast is daarbij geboden, want spionnen en criminelen ontdekken voortdurend zwakke plekken in de digitale samenleving.
Tot nu toe genomen maatregelen van overheid en bedrijfsleven tegen cyberdreigingen blijken niet toereikend. In de strijd tegen de steeds professionelere methoden van cybercriminelen, cyberspionnen en hackers is daarom extra geschut nodig, want op alle fronten woedt een digitale strijd. Dit blijkt uit een recent verschenen rapport van het Rathenau Instituut, dat op verzoek van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) onderzoek deed naar digitale criminaliteit in Nederland. Versterken van cybersecurity moet in Nederland de hoogste prioriteit krijgen, vinden de samenstellers. Die mening is ook het nieuwe kabinet toegedaan. Daarom is in het regeerakkoord een bedrag van ruim 95 miljoen euro gereserveerd voor de bestrijding van digitale criminaliteit.
Patricia Zorko, plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), juicht dat toe, want ook uit het jaarlijks Cybersecuritybeeld Nederland (CSBN) blijkt dat de digitale weerbaarheid van Nederland achterblijft op de digitale dreiging. De grootste dreiging gaat op dit moment uit van beroepscriminelen en actoren die handelen uit naam van een nationale overheid en schade kunnen aanrichten via digitale aanvallen, vertelt Zorko. “Daarnaast zien we ook dat consumenten en bedrijven nog te weinig doen om zichzelf digitaal veilig te maken. Overheid, bedrijfsleven en burgers nemen tal van stappen om de digitale weerbaarheid te vergroten, maar dit gaat niet snel genoeg.” Ze is dan ook blij dat cybersecurity in de brede zin veel aandacht krijgt in het nieuwe regeerakkoord, zowel via financiële middelen als door de versterking van de positie van het Nationaal Cybersecurity Centrum (NCSC).
Nationale digitale veiligheid
Internationaal wordt Nederland gezien als een van de meest ICT-intensieve economieën; de digitalisering vordert in rap tempo. Dat biedt volop kansen, maar tegelijkertijd zijn we daarmee volgens Zorko ook in tal van opzichten afhankelijk geworden van informatie- en communicatietechnologie. “Afgelopen maand hebben we daarom een nationale crisisoefening georganiseerd vanuit de NCTV om te zien of Nederland klaar is voor digitale aanvallen. Uit de resultaten van die oefening blijkt dat de basis van de samenwerking tussen vitale bedrijven en de overheid stevig is.”
Cyberdreigingen ondergraven het innovatie- en concurrentievermogen van het Nederlandse bedrijfsleven en het vertrouwen in de digitale samenleving, waarschuwen deskundigen. Vooral het toenemend gebruik van het Internet of Things (IoT), waarmee tal van apparaten en systemen worden aangestuurd, versterkt die kwetsbaarheid. Doordat de beveiliging van ‘slimme’ apparaten vaak niet op orde is, kunnen deze worden gehackt en ingezet voor grootschalige aanvallen door gijzel- of andere software. Dat maakt ook infrastructurele voorzieningen kwetsbaar, zoals onlangs bleek toen containerterminals in de Rotterdamse haven buiten bedrijf raakten door vijandige digitale operaties. Bijna op hetzelfde moment werden tienduizenden reizigers in het openbaar vervoer zwaar gedupeerd nadat de nationale website met reisinformatie door digitale criminelen werd belaagd.
Om de weerbaarheid tegen cybercriminelen te versterken, raden ingewijden binnen de overheid en uit het bedrijfsleven aan vitale sectoren, zoals telecom, transport, drinkwater- en energievoorziening en de zorg, jaarlijks een hacktest uit te laten voeren. Toezichthouders als de Autoriteit Consument en Markt en het Agentschap Telecom zouden krachtiger moeten optreden tegen het op de markt brengen van onveilige digitale producten. Tot slot zou de overheid, die in Nederland circa 30 procent van de beveiligingsproducten en -diensten afneemt, nadrukkelijker een voorbeeldrol moeten vervullen als launching customer.
“Samenwerking is nodig, want samen houden we Nederland digitaal veilig”, stelt Zorko en zij vindt dat iedereen daarbij verantwoordelijkheid moet nemen. Dat geldt volgens haar zowel voor overheidsinstellingen als voor particulieren. Maatregelen die iedereen zou kunnen nemen lopen uiteen van het aanschaffen en installeren van betrouwbare virusscanners tot het regelmatig maken van back-ups en het actualiseren van software. “Voor bedrijven gaan maatregelen natuurlijk wat verder en adviseren we bijvoorbeeld ook netwerksegmentatie en het gebruik van versleuteling”, zegt zij. Ook wijst Zorko op de website Veilig internetten waar lijsten staan met tips voor consumenten. Daarnaast worden op de website van de NCSC voortdurend adviezen voor organisaties gepubliceerd.
Onzichtbare inkt
Schrijfmachines, handgeschreven notities en ouderwetse maar zwaar beveiligde telefoonlijnen. Russische geheime diensten zouden ze weer in ere hebben hersteld om zo te voorkomen dat gevoelige informatie in verkeerde handen valt. Gaat Nederland weer terug naar de tijd van de onzichtbare inkt en de microfilm? Dat lijkt onwaarschijnlijk, zegt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens (AP). “Onze hedendaagse samenleving kan niet meer functioneren zonder digitale toepassingen. Maatschappelijke veranderingen zijn vrijwel uitgesloten zonder gebruik te maken van ICT-toepassingen. Dat gegeven dwingt ons ervoor te zorgen dat persoonlijke informatie veilig is.”
Wolfsen benadrukt dat bescherming van privacygevoelige gegevens een grondrecht is. Daarom moeten de overheid en het bedrijfsleven er alles aan doen om dat te waarborgen. Hoewel er nog flink wat kan worden verbeterd, ziet hij wel vooruitgang. Ook neemt binnen het ambtelijk apparaat de belangstelling voor de bescherming van persoonsgegevens toe, stelt hij vast. “Onlangs gaf ik over dit onderwerp een lezing voor een aantal topambtenaren. Een van mijn medewerkers maakte mij er op attent dat tijdens de vier uur durende bijeenkomst over privacy niemand naar zijn telefoon greep of voortijdig de zaal verliet. Ook op dit niveau is er dus wel degelijk aandacht voor het onderwerp.”
Dat wordt ook hoog tijd, vindt hij, want de urgentie om de veiligheid van persoonsgegevens te verbeteren is hoog. Als voorbeeld wijst op hij de bijna 5700 datalekken die in 2016 zijn doorgegeven. Vorig jaar waren organisaties die een ernstig datalek vaststelden, voor het eerst verplicht dit te melden aan de AP. Van een dergelijk lek is sprake als er een inbreuk mogelijk is op de beveiliging van persoonsgegevens. Ook als er gegevens zijn vernietigd of gewijzigd of er toegang is geweest tot informatie zonder dat dit de bedoeling is, wordt dit aangeduid als een datalek. Komt bijvoorbeeld een e-mail met persoonsgegevens terecht bij de verkeerde ontvanger of raak iemand een usb-stick kwijt waarop persoonsgegevens staan die dan ook nog niet zijn versleuteld, wordt dat beschouwd als een datalek.
Ernstige datalekken
Bijna een derde van alle gemelde datalekken komt uit de sector gezondheid en welzijn, blijkt uit het jaarverslag van de AP. Daarbij gaat het om 1645 meldingen. Met 975 incidenten neemt de financiële sector de tweede plaats in, het openbaar bestuur komt op de derde plaats met 861 meldingen en met 662 meldingen grijpt de sector informatie en communicatie net buiten een podiumplaats. Volgens de AP wil dit overigens niet zeggen dat zich in deze sectoren de zwaarste overtreders bevinden. Doordat met name in deze branches veel gevoelige persoonsgegevens zoals informatie over de gezondheid, financiële gegevens worden verwerkt, moeten deze sectoren eerder een melding doen.
Hoewel deze aantallen in absolute zin nog mee lijken te vallen, moeten ze wel in het juiste perspectief worden gezien. Zo was er in sommige gevallen sprake van enkele benadeelden, maar deden zich ook incidenten voor waarbij het ging om honderdduizenden gedupeerden. Vorig jaar heeft de AP in ruim vierduizend gevallen een onderzoek ingesteld. Op basis van de eerste bevindingen kregen ruim honderd organisaties een waarschuwing. In enkele tientallen gevallen was het eerste, oriënterende onderzoek aanleiding om dieper te graven.
“Als bestuurder of manager moet je in staat zijn de juiste vragen te stellen en de antwoorden op waarde te kunnen schatten.”
Topmanagers en -ambtenaren komen er niet meer mee weg als ze zeggen dat cyberveiligheid een zaak is voor de IT-afdeling, vindt Wolfsen. Zonder de digitale wereld te kennen, kun je tegenwoordig geen leiding meer geven. “Als bestuurder of manager moet je in staat zijn de juiste vragen te stellen en de antwoorden op waarde kunnen schatten. Beveiliging van persoonsgegevens behoort fundamenteel geborgd te zijn. Tegelijk moet de top van een bedrijf of ambtelijke organisatie zich realiseren dat problemen op dit vlak zich binnen alle geledingen kunnen voordoen. In de digitale wereld hangt immers alles met alles samen.”
Mensen als een postpakketje
Exploitanten van websites proberen zoveel mogelijk gegevens van hun bezoekers te verzamelen. Dat is niet nieuw en al enige jaren verschijnt bij een eerste bezoek aan een webpagina de verplichte ‘cookiemelding’ die aangeeft dat er informatie wordt verzameld. Schokkender is dat de AP vaststelde dat zelfs ziekenhuizen informatie over de bezoekers van hun websites doorspelen aan commerciële partijen.
Daarnaast hoeft men niet eens te surfen om een digitaal spoor achter te laten. Iemand die door een winkelstraat loopt, wordt gevolgd en met de huidige techniek is het zelfs mogelijk om vast te stellen welke etalages op bijzondere belangstelling kunnen rekenen. Wifitracking heet dat in vaktermen. Dat mag echter alleen als er een wettelijke grondslag voor is. Ook gemeenten en organisatoren van omvangrijke evenementen maken er gebruik van, bijvoorbeeld om loopstromen in kaart te brengen en bij te houden hoeveel bezoekers op een bepaalde plaats blijven.
Onschuldig? Volgens de AP niet, want de organisatie legde vorig jaar een dwangsom op aan een bedrijf dat locatiegegevens van winkelbezoekers en voorbijgangers verzamelde. Knelpunt daarbij was dat het bedrijf het publiek niet over die activiteit informeerde. Bovendien werden er meer persoonsgegevens verzameld dan mocht. Metingen waren bijvoorbeeld niet voldoende afgebakend naar tijd en plaats. Na de maatregel van de AP is het bedrijf gestopt met wifitracking in en rond winkels.
Privacygevoelige gegevens
Rustig op de bank naar favoriete tv-programma kijken? Ongetwijfeld kijkt de telecomprovider over de schouders mee. Het lijkt op een extra dienstverlening als aanbieders van streaming video’s op basis van eerder bekeken films een aantal suggesties doen of als digitale muziekservices voorbeelden geven van muziek die mogelijk ook in de smaak vallen. Dat kan natuurlijk handig zijn, maar wat gebeurt er met de gegevens die worden verzameld? En, nog belangrijker, in hoeverre hebben gebruikers zelf invloed op het gebruik van die informatie?
Dit zijn slechts enkele voorbeelden van de manier waarop privacygevoelige gegevens worden verzameld en de gevaren die dat met zich mee kan brengen. Positief noemt Wolfsen dat het publiek zich steeds vaker realiseert welke risico’s er kleven aan onvoldoende beveiliging van digitale gegevens. Zo maakte de AP vorig jaar tal van organisaties erop attent dat zij hun beveiliging beter op orde moesten brengen nadat ongeruste gebruikers melding van een mogelijk datalek hadden gedaan. “Uiteindelijk doen we het daar toch allemaal voor. Het is niet voor niets dat de Algemene verordening gegevensbescherming (AVG), die op 25 mei 2018 in werking treedt, in artikel 1 zegt dat de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens een grondrecht is, en dat eenieder recht heeft op bescherming van zijn of haar persoonsgegevens.”