Energiebedrijven moeten virtuele voordeur vergrendelen, maar wie trekt de buidel? AMSTERDAM (Energeia) - Analoog aan de vergroening moet er ter financiering van de beveiliging van de stroomvoorziening tegen fysieke gevaren en tegen gevaren in cyber space een opslag op de stroomprijs komen. Dat zegt Jaap Schekkerman, directeur Global Cyber Security bij CGI. Energiebedrijven realiseren zich heel goed dat er iets moet gebeuren, maar de kosten die dit met zich meebrengt zijn volgens Schekkerman niet te financieren uit de huidige stroomprijs. Probleem: massale desinteresse bij publiek en politiek.
De grote stroomstoring die Noord-Holland eind maart trof, legde het haarfijn bloot: zonder stroomvoorziening stagneert het maatschappelijke leven. En die stroomvoorziening wordt voortdurend bedreigd. Door technische incidenten kunnen storingen optreden, maar dat gevaar lijkt in Nederland goed onder controle. Moedwillige storingen daarentegen hebben we niet of nauwelijks onder controle, stelt Schekkerman. En we nemen het gevaar bovendien niet serieus. Schekkerman (1953) weet waar hij over praat. Lang voordat het zo genoemd werd -sinds halverwege de jaren ’70- werkt hij in de ICT-sector. Zijn meest bekende expertise is enterprise architecture, een combinatie van bedrijfskunde, informatiekunde en informatica gericht op de ontwikkeling van een organisatie als geheel, waarover Schekkerman diverse boeken en publicaties schreef. Sinds 2008 werkt hij als directeur Global Cyber Security bij het ICT-bedrijf CGI, waar hij tevens te boek staat als 'thought leader' op het gebied van onder meer bescherming van kritische infrastructuur en de veerkracht (Engels: resilience) ervan.
Jaap Schekkerman (Bron: Text100)
Intelligentie Schekkerman constateert dat de energiesector aan de vooravond van een enorme transitie staat. Niet alleen de veelbesproken hernieuwbare transitie, maar ook de hier deels mee samenhangende transitie naar intelligente systemen en netwerken. Smart grids, smart meters: het zijn inmiddels ingeburgerde termen die onvermijdelijk terrein winnen. Daarbij wordt
gemakkelijk vergeten dat het systeem dat al honderd jaar naar behoren werkt in de elektriciteitssector –centrale opwekking, transport en distributie, verbruik- vrij plotseling wordt losgelaten, met de nodige gevolgen. Er komen nieuwe gadgets, nieuwe toepassingen, nieuwe verbeteringen en kansen, maar ook: nieuwe gevaren. Die gevaren kunnen relatief klein zijn. Neem bijvoorbeeld het gevaar dat een crimineel na het hacken van een slimme meter eenvoudig kan vaststellen of een huishouden op vakantie is of niet. Vervelend voor het gezin dat wellicht met een inbraak te maken krijgt, maar niet meteen funest voor de kritische infrastructuur. Dat wordt al snel anders wanneer niet een slimme meter gehackt wordt, maar een besturingssysteem van een netbeheerder. En wanneer de dader niet een kruimeldief is, maar een vijandige staat. En het doel niet diefstal is, maar ontwrichting van de maatschappij. Maar is dat gevaar wel zo groot? Is niet het beste bewijs dat het wel meevalt met het gevaar van politiek gedreven cyberterroristen dat er nog niets noemenswaardigs is gebeurd op dit vlak? De wereld telt een aantal clubs die een ogenschijnlijke terugkeer naar de Middeleeuwen ambiëert, maar desondanks floept in het Westen na een druk op de knop gewoon het licht nog aan. Niet aan de grote klok Schekkerman nuanceert graag het beeld dat er niets noemenswaardigs is gebeurd. Dat het niet aan de grote klok wordt gehangen is een tweede, maar volgens hem zijn de meeste (industriële) grote bedrijven al wel eens gecompromitteerd geweest. Waarbij een hack gebruikt wordt voor politieke of economische spionage, en waarbij de dader een buitenlandse concurrent of zelfs een natiestaat is. Het slachtoffer heeft weinig te winnen bij bekendmaking hiervan, en wel wat te verliezen: zijn goede naam. Ook de relatieve anonimiteit die de daders genieten, draagt bij aan de stilte rond incidenten. Meestal is al lastig te bewijzen dat er sprake is van een hack, laat staan dat aantoonbaar is wie er achter zit en met welk doel. Er is met andere woorden vaak bijzonder weinig te melden. Toch wringt het. Door het inhuren van een stel whizzkid-huurlingen zou een groep als Isis of Al-Qaida de grote vijand de Verenigde Staten of een ander Westers land plat kunnen leggen. En in dat Westen zou de deur bovendien
gewoon open staan. Niet eens de achterdeur, volgens Schekkerman staat bij de meeste organisaties de virtuele vóórdeur wagenwijd open. Maar waarom gebeurt er dan niets ergs? Atoombom Schekkerman heeft geen antwoord op die vraag. "Ik kan niet in de hoofden kijken van dit soort terroristen", aldus de CGI-directeur. Een gerichte aanval op de stroomvoorziening van een heel land is het cyberequivalent van een atoombom. Zou een groep als Isis of Al-Qaida, gesteld dat hij er toe in staat was, een atoombom op Amerika durven gooien? Het is speculatie waar Schekkerman zich niet aan waagt. Het enige dat de directeur Global Cyber Security wel met zekerheid kan zeggen, is dat die voordeur echt openstaat. Dat er tot nu toe niemand met grote en zichtbare consequenties door die deur is gekomen, wil niet zeggen dat die deur dan maar open kan blijven staan. Bovendien: mondiaal gezien zijn er heus wel wat voorbeelden te noemen waar cyberaanvallen met politieke motieven hebben plaatsgevonden. Schekkerman verhaalt over Stuxnet, "zéér geavanceerde malware" die in 2010 zijn weg heeft gezocht naar Iraanse nucleaire installaties met als kennelijk doel die te vernietigen. Een smoking gun is nooit gevonden, maar aangenomen wordt dat de VS en Israël erachter zaten. Als reactie –dit is tevens onbewezen– heeft Iran het Saoedische oliebedrijf Saudi Aramco op de korrel genomen, waar met malware onder de naam Shamoon gegevens op 30.000 systemen tegelijkertijd eerst vermoedelijk is gestolen en daarna gewist. Israël en de Iron Dome Een land dat cyber security duidelijk wel serieus neemt, vertelt Schekkerman, is het land dat doelwit is van de meeste cyberaanvallen: Israël. Zeker de beveiliging van de energiesector is prioriteit. Vergelijkbaar met de fysieke Iron Dome, een soort raketschild dat het land beschermt tegen raketaanvallen van de diverse vijanden van Israël, is ook een virtuele Iron Dome gecreëerd. Belangrijkste beschermeling: de energiesector. Het staatsbedrijf Israel Electric Company (IEC) heeft samen met het bedrijf Prest Systems, dat ook de fysieke Iron Dome heeft ontworpen, een systeem ontwikkeld dat elektrisch terrorisme moet voorkomen. Afgelopen november werd het systeem officieel gepresenteerd.
Daar kan Europa wat van leren, wil Schekkerman maar zeggen. Tegen redelijk aanvaardbare kosten bovendien. Het beveiligen van de voordeur en de meest opzichtige achterdeuren van de energiesector zou Europa als geheel jaarlijks ongeveer EUR 3 mrd kosten, stelt Schekkerman. Bij een grof afgerond Europees stroomverbruik van 3 mrd MWh zou een opslag op de stroomprijs van EUR 1 per MWh ofwel 0,1 eurocent per kWh afdoende zijn om dit te bekostigen. Voor een Nederlands huishouden betekent dit om en nabij de EUR 3 per jaar. Smartphone en facebook Geld, zo vreest Schekkerman, dat niet beschikbaar komt. Want wie interesseert het? De smartphone gebruikende facebookende burger, die met dat gedrag zijn eigen veiligheid in de waagschaal stelt, in elk geval niet. In het bedrijfsleven is het besef beter geland, maar concurrentieposities voorkomen investeringen en dus wordt naar de overheid gekeken. Maar op de politieke agenda komt het onderwerp niet of nauwelijks voor –zie weer de ongeïnteresseerde burger. Misschien moet het eens goed misgaan, om zo besef te kweken? Zelfs dat zou nauwelijks werken, denkt Schekkerman, die zichzelf in plaats van een optimist een realist noemt. Ten eerste is een cyberaanval lastig aantoonbaar. Zo is met de nu beschikbare kennis bijvoorbeeld niet uit te sluiten dat de stroomstoring van eind maart in Noord-Holland een cyberaanval was. Kom er maar eens achter. En dan nog: zelfs als Tennet kennis zou hebben van een cyberaanval, zou die kennis dan openbaar gemaakt worden? In antwoord noemt Schekkerman een voorval in Brazilië, waar een Duits bedrijf in 2014 een storing in één van de hoogovens meemaakte. Schade: EUR 500 mln. Oorzaak: onbekend. Via omwegen is heel aannemelijk te maken dat een cyberaanval de storing veroorzaakte, stelt de CGI-man. Maar niemand die het officieel bevestigt, laat staan aan de grote klok hangt. Van zo’n voorval groeit het maatschappelijke bewustzijn dat er een reële dreiging bestaat dus ook niet. Decentralisatie Heil kan misschien komen uit onverwachte hoek, besluit Schekkerman. Decentralisatie van de energievoorziening wint als grassroots-beweging langzaam terrein. Onafhankelijkheid van de grote, centraal geleide en veelal fossiele brandstoffen verstokende energiebedrijven is daarbij vaak het streven. Dit streven naar een goed beveiligde zelfvoorziening zou weleens het antwoord kunnen vormen op de cyberdreiging, denkt Schekkerman. Wie met
zonnepanelen en een goede accu het energienet niet meer nodig heeft, wordt ook niet blootgesteld aan de gevaren die dat net bedreigen. http://energeia.nl/nieuws/464064-1505/energiebedrijven-moeten-virtuele-voordeurvergrendelen-maar-wie-trekt-de-buidel
