Columns & opinie
527: Cyberoorlog
Jan van den Berg, hoogleraar Cyber Security, wordt in januari directeur van de nieuwe Cyber Security Academy in Den Haag, een samenwerkingsverband tussen de Universiteit Leiden, De Haagse Hogeschool en de TU Delft.
woensdag 18 december 2013

Wat wekte uw interesse voor cyberveiligheid?

‘We zijn met z’n allen razendsnel op het web gedoken en er totaal afhankelijk van geworden. Zo rond 2000 werd het internet vrij plots gebruikt voor e-commerce, terwijl het systeem helemaal niet voor dat doel ontworpen was en zeker niet veilig. Veel complexe processen zijn goed beveiligd, maar in cyberspace is dat niet zo.’

Heeft u een voorbeeld?

‘Ik vertel al jaren in mijn colleges dat het mogelijk is om via het internet industriële systemen te beïnvloeden. Vorig jaar werd dat ook duidelijk toen de sluizen van de Zeeuwse gemeente Veere betrekkelijk eenvoudig via internet waren te openen en te sluiten.

‘Je mag hopen dat de Oosterscheldekering niet aan het internet hangt. Niet dat dat een garantie is. Het Stuxnet-virus waarmee in 2010 Iraanse centrifuges voor de verrijking van uranium werden lamgelegd, stond op usb-sticks. Zo werd het in eerste instantie verspreid.’

Kan Nederland zo’n aanval ver­wachten?

‘Dat is niet waarschijnlijk. Er staan waarschijnlijk andere landen hoger op het lijstje. Stuxnet betrof geen zaterdagmiddag-akkefietje door een paar hackers. Voor deze aanval was veel detailkennis van de getroffen apparatuur nodig. Mogelijk heeft Siemens, die de machines maakt, informatie geleverd. Het was een virus dat specifiek geactiveerd werd in de apparatuur waarop deze was gericht.’

Maar minister Opstelten van Veiligheid presenteerde onlangs toch de ‘Nationale Cyber Security Strategie’?

‘Er staan leuke aanzetten in, maar de oorlog win je er niet mee. Er is bijvoorbeeld zes miljoen euro beschikbaar gesteld voor research. Als je het goed wilt aanpakken dan kost het honderden miljoenen. Ter vergelijking: de NSA heeft een miljard dollar te besteden aan alleen al haar internetspionageactiviteiten.’

U stelt dan ook een ‘deltaplan’ voor.

‘Er wordt in Nederland heel veel geld besteed aan de bescherming tegen het water. Uiteraard is bij een overstroming de schade heel groot. Maar vergis je ook niet in de gevolgen van een energie-blackout door een cyberaanval. Dat is heel ingrijpend en niet onwaarschijnlijk dat het gaat gebeuren.’

Wat moet er dan gebeuren?

‘We moeten per sector door de risico’s goed in kaart brengen, dat gaan we ook in onze master doen. Verder moet helder zijn waar verantwoordelijkheden liggen. Een provider die ziet dat een gebruiker malware op zijn computer heeft staan. Die vraagt zich af: moet ik ingrijpen? En mag dat wel? Want dan schend ik de privacy van de klant.

‘Uiteindelijk dient iedereen te begrijpen wat zijn/haar bijdrage kan en moet zijn aan het voldoende veilig maken van cyberspace.’ VB