Tags

Cyber- of informatieoorlog als de oorlog van morgen en onvergelijkbaar met de vorige oorlog; zorgen zijn er niet minder om want precedentloos

‘HET GAAT MIJ NIET GEBEUREN’, IS NIET MEER VAN DEZE TIJD

Dick Berlijn: ‘Je wordt gehackt, dat is een zekerheid’ (Jerry Huinder, Profiel Veiligheid, Analyse./analysenederland.nl, MEDIA European mediapartner, september 2018, nr 1)

Van oorlog in real life naar oorlog in cyberspace. Het lijkt een grote stap, maar dat is het absoluut niet. Want de echte oorlog wordt allang niet meer alleen gevoerd met mitrailleurs, kernwapens en tanks, weet Dick Berlijn.

Dus de grote vraag is dan: Hoe dan wel?

‘Als we gegevens, nieuws en overheden niet meer kunnen vertrouwen, dan krijgt de samenleving het echt moeilijk’

Ofwel: het leven wordt dan onmogelijk aangezien zonder gestaafde feitenkennis er niet valt te leveren en te verspreiden door transport, stort de economie in vanwege chaos; laat staan door oneerlijke concurrentie. En dan staat de deur open voor dictators die de macht grijpen.

Of we in oorlog zijn? “Een lastige vraag”, zegt Dick Berlijn, cybersecurity expert. “Dat hangt ervan af wat je onder oorlog verstaat.” Volgens de voormalig Commandant der Strijdkrachten is het antwoord in de klassieke zin van het woord oorlog een duidelijk nee. We zijn niet letterlijk in oorlog, land tegen land. “Maar dat betekent niet dat cybercrime niet heel veel schade aanricht. En dat betekent ook niet dat er geen landen zijn die andere landen aanvallen. Er zijn staten die heimelijke acties uitvoeren die het functioneren van andere landen ondermijnen. En dat zorgt voor heel veel problemen.”

Geheime diensten zijn van alle tijden en dit is dan ook een vervolg blog op de vorige op deze site.

Wat is het worst case scenario op het gebied van cybercrime?

“Dat we onze data en onze netwerken niet meer kunnen vertrouwen. Als dat gebeurt, dan komt de maatschappij langzaam tot stilstand. Haast alles in onze maatschappij is gericht op goed werkende IT-systemen, als die stilvallen, dan kunnen we nog wel houthakken en brood bakken, maar dan kunnen we niet meer leven zoals nu.”

‘Langzaam tot stilstand’? Neen, direct tot stilstand.

Hoeveel kost cybercrime ons per jaar? In 2013 noemde u het getal 10 miljard.

“Het is heel moeilijk om daar een getal op te plakken. Wat tel je mee en wat niet? Maar goed, officiële onderzoeken van bijvoorbeeld TNO rekenen ons voor dat we 1,5 à 2 procent van ons Bruto Binnenlands Product kwijt zijn aan cybercrime.
In Nederland betekent dit ongeveer 10 miljard. Maar hoeveel het ook is, het is een hoop geld, het is een hoop schade. Dat geld kunnen we ook aan iets anders besteden.”

Is het eigenlijk wel in geld uit te drukken? ‘Veiligheid en vertrouwen zijn essentieel voor de samenleving’, zegt u vaak: hebben we die twee voorwaarden voor een goed werkende samenleving nog wel op orde?

“Dat vind ik dus zo pijnlijk aan het debat over fake news, want die hele discussie tast het principe van een goed werkende samenleving aan. Als we gegevens, nieuws en overheden niet meer kunnen vertrouwen, dan krijgt de samenleving het echt moeilijk. En hoe zegt je dat ook al weer: vertrouwen komt te voet en gaat te paard.”

Kanttekening: ‘Als we gegevens, nieuws en overheden niet meer kunnen vertrouwen, dan krijgt de samenleving het echt moeilijk’, is volgens mij een onterechte generalisatie. Want: algemeen erkende én geaccepteerde gegevens zullen niet veranderen; nieuwe gegevens vloeien voort uit die oude en betrouwbare zekerheden. Het persbureau-‘nieuws’ van erkende persbureaus eveneens.

Het gaat dus altijd om ‘niet’ – vaak irrelevant nieuws dus – terzakedoend nieuws dat verwarring veroorzaakt, en ook dat doel wordt geproduceerd door trollenfabrieken. De maatschappij draait nu probleemloos door omdat het gaat om ‘zekerheden’ en vaste procedures, die ook van een gedegen back-up zijn voorzien.

Maar een veel groter gevaar is volgens mij een wereldwijde fall-out of ‘downfall’ van elektra, door onverklaarbare omstandigheden zoals bijvoorbeeld een elektromagnetische verandering van het aardmagnetisch veld. Dan is er wereldwijd geen licht meer mogelijk – generators zijn snel uitgeput – en dan ligt alles binnen een enkel etmaal vanwege de noodaggregaten – geheel plat en algemene paniek breekt uit.

U vergelijkt het cyberprobleem vaak met het klimaatprobleem: alleen kan je het niet oplossen. Maar als landen als Rusland niet mee willen doen, wat dan?

“Als je door redeneert vanuit het klimaatprobleem, dan zie je dat als één land afspraken aan zijn laars lapt, je het probleem simpelweg niet oplost. Het belangrijkste is dat het besef er bij iedereen is dat we allemaal verantwoordelijk zijn. Het individu, de staat, bedrijven, regio’s, allemaal. Er wordt in de discussie over verantwoordelijkheid veel te veel naar elkaar gewezen, terwijl we het moeten hebben over ‘wat is goed gedrag’ en ‘hoe gaan we daar naar leven’. Noem het een nieuw ecosysteem waarin je een bonus krijgt als je het goed doet, en een tik op de vingers als je het slecht doet. Maar bovenal moet er een indringende discussie komen over wat ieder zijn verantwoordelijkheid is. Een lastige discussie, we zullen het niet gelijk met elkaar eens zijn, maar dat is bij de klimaatdiscussie ook het geval.”

Er zijn verschillende partijen die een rol spelen op het gebied van cybersecurity, van individuen tot aan overheden. Ook bedrijven spelen een grote rol. Wat kunnen bedrijven leren van het leger op het gebied van cyberwarfare?

“Laat ik vooropstellen dat beide partijen van elkaar kunnen leren. Dat gezegd hebbende, is er één ding dat het leger altijd heel goed doet en dat is risico’s inschatten en plannen maken om met dat risico om te gaan. Welke partijen hebben het op ons gemunt, en wat gaan we daaraan doen? Dat is een goede les voor bedrijven, want je moet een antwoord hebben. De vraag is niet of je aangevallen wordt, de vraag is wanneer. Ik heb acht jaar bij Deloitte mogen werken en daar was het mantra: secure, vigilant, resilient. Bedrijven moet de basisveiligheid op orde hebben, moeten monitoren of ze worden aangevallen en moeten veerkrachtig zijn als dit daadwerkelijk gebeurt. Ze moeten kunnen incasseren.”

Hoe kwetsbaar zijn bedrijven in Nederland?

“Dat verschilt heel erg. Er zijn bedrijven, zoals de financials, die vaker zijn aangevallen. Die hebben hun lesje wel geleerd. Maar er zijn ook partijen die er nog nooit mee te maken hebben gehad en die zijn vaak kwetsbaar. Neem ziekenhuizen bijvoorbeeld. In mijn tijd bij Deloitte kwam ik daar weleens en dan zeiden ze: ‘Wat valt er nou bij ons te halen?’. Nou, data denk ik dan! Er ligt een berg, zeer gevoelige, data bij ziekenhuizen die heel interessant is voor criminelen, daar moeten ziekenhuizen zich bewust van zijn.”

Zijn bedrijven voorbereid op een worst case cyber incident?

“Dat is één van de vragen die ik bedrijven altijd als eerste stel: wat is uw meest verschrikkelijke cyber-scenario? En als ik daar antwoord op krijg: heb je er alles aan gedaan om dit te voorkomen of de risico’s te mitigeren? Dit is niet alleen van belang bij grote bedrijven, ook midden- en kleinbedrijven moeten hierover nadenken. ‘Het gaat mij niet gebeuren’, is niet meer van deze tijd. En de samenleving is niet meer zo tolerant als bedrijven onnodige risico’s nemen met cybersecurity.”

Penetratietesten, software patchen, awareness creëren, risicoanalyses: bedrijven kunnen van alles doen, maar worden uiteindelijk toch gehackt. Is het een kwestie van schade beperken?

“Dat moet inderdaad het uitgangspunt zijn. Je wordt gehackt, je bent een keer aan de beurt, dat is een zekerheid. De vraag is wanneer en ben je erop voorbereid? Dat dwingt tot nadenken. Dat dwingt ook tot risicospreiding. Zie het zo: als je straks in de auto stapt en je weet zeker dat je een ongeluk krijgt, dan check je je veiligheidsriem beter, dan rijd je langzamer, dan ben je je bewust van het gevaar. Zo werkt het bij cybersecurity ook.”

Stel: u start morgen uw eigen bedrijf. Wat is dan uw ideale game plan om cyber secured te zijn?

“Dan ga ik ervan uit dat ik ook aan de beurt kom en zal ik specialisten benaderen om me te helpen. Als je niet zeker van je zaak bent, dan is ‘get help’ mijn advies.”

De conclusie luidt dat dit een uiterst informatief interview was met de expert Berlijn, die ons in de eerste plaats heeft duidelijk gemaakt dat er geheel nieuwe militaire strategieën ontwikkeld omdat ‘het’ oude materieel met tanks en klassiek geschut niet meer terugkomt. En de vraag is dan hoe de Navo zich op nieuwe oorlogsvoering voorbereidt.

In de tweede plaats – in de chronologie van het interview – dat cyberoorlogen die informatie- en data-oorlogen zijn, een operatie zal zijn zonder precedent en dus volledig onbekend. Daarom is het mijn conclusie (als oud-dienstplichtige) dat het geen zin heeft om in de Tweede Kamer defensiedebatten te houden want ‘hoe‘ worden de oude ‘saneringsgaten’ gedicht? Niet door gemoderniseerde’ oude wapens in ieder geval.

Alleen door een goede en adequate grensbescherming van de EU, waar de Russen kunnen binnenvallen. In de VS is dat al onmogelijk en dus heeft Trump makkelijk praten. Maar omdat het om ‘cyberwerk’ (of cyberruimte?) gaat, moet er in heel andere termen over gesproken gaan worden en in dat jargon is de Kamer niet ‘thuis’. Parlementaire controle is op dit vlak (net als onze inlichtingen- &veiligheidsdiensten zoals ik gisteren schreef) niet meer mogelijk. En het kabinet mag de Kamer ook niet informeren omdat ook direct terechtkomt in het Kremlin bij Poetin. Het wordt allemaal erg ingewikkeld, om maar met een cliché af te ronden…

Feit:
Dick Berlijn is oud-Commandant der Strijdkrachten. Hij begon zijn carrière bij defensie als gevechtsvlieger en was één van de zes Starfighter-piloten die in 1977 overvloog bij de treinkaping bij De Punt. Na zijn carrière bij defensie werd hij cybersecurity expert, maar niet voordat hij op de fiets zijn hoofd leegmaakte. Berlijn fietste van Nederland naar Santiago de Compostela (en nog iets verder zelfs: naar Cabo Finesterre): 2600 kilometer in 24 dagen.

http://analysenederland.nl/article/dick-berlijn-je-wordt-gehackt-dat-is-een-zekerheid.html

Advertisements