1 Cybercrime vergt integrale aanpak Toespraak Commandant der Strijdkrachten, Generaal T.A. Middendorp, ter gelegenheid van het symposium ‘Cybercrime; de digitale vijand voor ons allen’ op 20 nov 2014, te Breda.
Collega’s, dames en heren,
Weet u hoeveel artikelen er in Amerika zijn geschreven over het fenomeen cyberterrorisme? 31.000. En weet u hoeveel slachtoffers er tot nu toe zijn gevallen? Nul. Dat zei Peter Singer in juni in NRC Handelsblad.1 De heer Singer is hoofd van de afdeling veiligheid en inlichtingen van Brookings Institutions, een invloedrijke Amerikaanse denktank. Hij werd door de krant geïnterviewd omdat hij samen met een cyber-expert2 een boek had uitgebracht. Getiteld: In Cybersecurity and CyberWar: What Everyone Needs to Know. Singer vertelde dat een hoge Amerikaanse generaal hem op het idee had gebracht voor het schrijven van dit boek. Want die generaal verzuchtte eens vermoeid in zijn bijzijn: “All this cyber stuff…” Het bracht Singer op het idee om orde te scheppen in – zoals hij het zelf noemt – “de chaotische wereld van cybersecurity”. Een wereld die volgens hem wordt bevolkt door verveelde pubers, terroristen, Chinese patentendieven en Russische fraudeurs. Een wereld ook, waarin creditcardfraude vaak op één hoop belandt met het infiltreren van militaire radarsystemen. En dat bemoeilijkt niet alleen goed beleid volgens Singer, het creëert ook onnodig veel angst.
Dames en heren,
1 2
http://www.nrcreader.nl/artikel/5983/wanneer-begint-nou-die-cyberoorlog Allan Friedman
2
U vraagt zich misschien af waarom ik dit voorbeeld aanhaal op een bijeenkomst over cybercrime. Ik noem het voorbeeld over cyberterrorisme en het interview met Singer, omdat ook hier in Nederland cyber een veelbesproken onderwerp is. Het is ook een belangrijk, relatief nieuw onderwerp, waar veel over wordt gediscussieerd. Deels terecht, want de dreiging die ervan uit gaat is reëel. Het risico op een cyberaanval neemt bijvoorbeeld toe. Omdat sectoren in hoog tempo afhankelijk zijn geworden van IT. En dat maakt kwetsbaar. En ja, het is technisch mogelijk om de luchtverdediging van een land met een cyberaanval uit te schakelen… … en vervolgens ongehinderd het luchtruim van dat land binnen te vliegen. Niet voor niet is Cyber Operations een belangrijk militair vraagstuk geworden.
Maar, hoe reëel de dreiging ook is… …het is wel belangrijk om onderscheid aan te brengen. Wat zijn bijvoorbeeld de motieven? Gaat het om criminaliteit? Gaat het om spionage? Gaat het om een aanval op ons grondgebied? En als we op die vragen antwoord hebben, dan is de volgende vraag: wie moet hier tegen optreden? Het is cruciaal om dat duidelijk vast te stellen, willen we meteen in actie komen.
Neem het onderwerp van dit symposium: Cybercrime. Een belangrijk thema.
3 Dick Schoof noemde zojuist de 9 miljard euro schade die we in Nederland kwijt zijn door cybercriminaliteit.3 En de Secretaris-Generaal van Defensie, Erik Akerboom, benadrukte in zijn openingstoespraak al dat “grootschalige verstoringen van de digitale infrastructuur - binnen de vitale sectoren - kunnen leiden tot uitval van dienstverlening. Met maatschappelijke onrust of ontwrichting als mogelijk gevolg.” Zo is het maar net. En daarom is het zo goed dat er vandaag ook vertegenwoordigers van het bedrijfsleven aanwezig zijn: KPN, de Nederlandse Bank, de Rabobank… Als er van buitenaf instellingen worden veranderd, dan hebben wij hier immers binnen de kortste keren een grote chaos… … waar kwaadwillende mensen misbruik van maken. Dat moeten we met z’n allen zien te voorkomen.
Maar hoe?
Niet door Defensie in te zetten, zoals sommige mensen nog wel eens denken. Defensie is niet de firewall van Nederland. Wij verdedigen geen digitale netwerken. Bij digitale netwerken gaat het om eigen verantwoordelijkheid. Verantwoordelijkheid van particulieren, van bedrijven… Als bij u in huis wordt ingebroken; zegt u ook niet: waarom heeft defensie mijn huis niet verdedigd? Iedereen is zelf voor een deel verantwoordelijk voor de beveiliging van zijn of haar eigen huis, oftewel van de eigen systemen. Daarom beschermt u uw computer als het goed is ook met een met een virusscanner, en met een firewall.
3
Dick Schoof: “Bijna 9 miljard euro schade in Nederland door cybercriminaliteit. Anderhalf procent van ons Bruto Nationaal Product zijn we kwijt aan cybercriminelen. Dat schokkende getal staat in een onlangs verschenen rapport (geschreven in opdracht van McAfee)”.
4
En als u een keer aangevallen wordt, is het ook de bedoeling dat u zelf de systemen herstelt. Of voor de meesten van ons, laat herstellen….. Maar ook daar kan Defensie u niet bij helpen. Dan moet je tenslotte allerlei netwerken van binnen en van buiten kennen. Dat is onmogelijk. Al was het maar omdat 95 procent van de netwerken in Nederland in handen is van private partijen. Als een gemeente of een grote bank dus getroffen wordt door cybercrime is Defensie niet de redder in nood.
Wat doen we dan wel? De kerntaak van een krijgsmacht is om op te treden tegen een tegenstander. Om die tegenstander het handelen onmogelijk te maken. Bij tegenstanders denk ik aan statelijke actoren of kleine groepen die ons land willen ontregelen. Met maatschappelijke onrust als doel. Ik verwacht dat deze ontwikkeling doorzet. De ontwikkeling naar het verzwakken en ontregelen van de tegenstander. Zonder zwaar geschut. Zonder fysieke aanwezigheid. We hebben het dan nog steeds wel over oorlog en gewapend conflict. Maar niet meer uitgevochten met alleen maar bommen en granaten. Veel meer uitgevochten door acties gericht op het ontwrichten van de samenleving.
Aan Defensie de taak om dat te voorkomen. Op Cybergebied is Defensie daarom vooral de counterstrike. De Nederlandse krijgsmacht kan informatie vergaren, maar ook ingrijpen in commandovoering- en informatiesystemen van de tegenstander. Om de ander te desillusioneren.
5 De Nederlandse krijgsmacht kan ook wapen- of communicatiesystemen van de tegenstander uitschakelen. Om het functioneren van de ander onmogelijk maken. Oftewel: de Nederlandse krijgsmacht kan offensief optreden als de situatie daarom vraagt. Want ook bij een cyberaanval geldt: De aanval, is de beste verdediging.
Dat is primair waar de krijgsmacht voor staat als het om cyber gaat. Dat wil niet zeggen dat we helemaal niets kunnen doen in de strijd tegen cybercrime. Integendeel. Defensie helpt en ondersteunt graag. Defensie digitaliseert in snel tempo, en onze eenheden treden meer en meer genetwerkt op. Dat maakt de digitale oorlogsvoering in zowel verdedigend als aanvallend opzicht cruciaal. Dat stelt ook andere eisen aan de inlichtingenwereld. In die snel veranderende omgeving bouwen wij daarom veel expertise op. Expertise die ook civiel wordt opgebouwd als het gaat om de beveiliging van systemen van bedrijven en overheid. Het is dus zaak daarin de krachten te bundelen en kennis en kunde te ontsluiten, zoals we dat op vele specialistische terreinen doen.
Wij kunnen bijvoorbeeld – als dat nodig zou zijn - onze mensen en onze kennis inzetten om anderen te helpen. Zo heeft Defensie bijvoorbeeld het Defensie Cybercommando ter beschikking. Dit commando bestaat uit adviseurs en operators. Zij coördineren en plannen cyberoperaties, cyberverdediging en cyberinlichtingen in militaire operaties. Maar zij kunnen natuurlijk ook kennis uitwisselen met civiele autoriteiten. Dat geldt ook voor onze club cyberreservisten. Defensie maakt gebruik van de kennis en kunde van cyberreservisten voor militaire operaties en oefeningen, én ter ondersteuning bij incidenten.
6
Dat kunnen andere instanties ook doen. Deze groep wordt niet voor niets prominent genoemd in de onlangs verschenen nota ‘Reservisten binnen de krijgsmacht’, die ook hier vandaag verkrijgbaar is.4 Cyberreservisten brengen waardevolle cyberkennis met zich mee van buiten defensie… …en kunnen dus snel onze capaciteit en specifieke deskundigheid uitbreiden… …maar ook civiele autoriteiten ondersteunen als daar vraag naar is.
Wij kunnen dus wel degelijk een bijdrage leveren! Net zoals we dat nu al doen op het gebied van de binnenlandse veiligheid: Zo worden we meer dan tweeduizend keer per jaar ingezet ter ondersteuning voor nationale operaties. Wat mij betreft zetten we ons net zo in op het gebied van cybercrime. Maar waar we vooral naartoe moeten is dat we elkaar heel snel moeten kunnen ondersteunen en er geen concurrentiestrijd van maken. Het gaat niet om hardware. Het gaat niet om software. Het gaat om mensen. Het gaat erom dat we mensen in huis hebben met de capaciteiten om cyberoperaties voor te bereiden én uit te voeren. Dus om de ICT-kennis van individuen.
Defensie heeft kennis en kunde in huis, maar dat hebben de AIVD, de politie, het bedrijfsleven ook… Daar moeten we elkaar vinden en gebruik van maken! We werken niet voor niets nu al samen met de overheid, de private sector en de wetenschap binnen het Nationale Cyber Security Centrum. Via dit Centrum kunnen we capaciteiten aanleveren. En zo digitale systemen veerkrachtiger maken! Daarmee winnen we tijd en is de kans op een succesvolle integrale aanpak het grootst. En daar draait het tenslotte om: een succesvolle integrale aanpak! 4
Dick Scherjon is aanwezig in de zaal en neemt een paar dozen met hard copies mee.
7 Laten we dus vooral samenwerken, onze verantwoordelijkheid nemen en onze ogen open houden voor verbeteringen. Om onze digitale systemen veerkrachtig te houden. En om te allen tijde voorbereid te zijn.
Dames en heren,
In het interview met de krant gebruikte Peter Singer de analogie met gezondheid. Hij zei: “Voor het lichaam is het niet de vraag óf er virussen of bacteriën binnenkomen, maar hoe veerkrachtig het is”. “Als je cybersecurity als een soort publieke gezondheid ziet, dan snappen mensen dat ze niet alleen voor zichzelf verantwoordelijk zijn”. Zijn advies: “Leer kinderen cyberhygiëne: hou je hand voor je mond als je hoest en hou je computer schoon. Dat is goed voor iedereen”.
Dank u.
-0-0-0-
