U gaat het op IID2017 hebben over cyberwar en cyber violence. Kunt u duiden wat u met de verschillende termen bedoelt?

Cyber Violence is internet gemedieerde agressie. Cyber violence is online gedrag dat het fysieke, psychologische of emotionele welbevinden van een mens of groep benadeelt.

Cyber Warfare is een virtueel conflict, van politieke of maatschappelijke aard. Het is een online aanval op het informatie systeem van 'de vijand' (Herring, 2002).

De betekenis verschilt hiermee niet veel van traditioneel geweld of oorlog, de aanvallen of acties vinden in een online omgeving plaats en kunnen offline effecten hebben.

Zijn we inmiddels beland in een permanente staat van cyberwar, dat voornamelijk aan de gewone burger en het bedrijfsleven voorbij gaat?

Een permanente staat van oorlog doet mij denken aan hoe de koude oorlog was, waarin geleefd werd in een continue dreiging wachtend op het moment waarin de koude oorlog warm werd. Permanente staat van oorlog is misschien wel teveel geredeneerd vanuit de gedachte van offline oorlog voeren. Waarin een lange periode van dreigingen, sancties politieke woorden en waarschuwingen een aanval aankondigt. Bij offline oorlogsvoering, weet je weet wie je 'vijand' is, het is fysiek. Met cyberwar is dat anders. Een aanval hoeft niet fysiek te zijn, er is geen waarschuwingsperiode, geen aankondiging, de aanval komt plotseling en je weet niet precies wie je 'vijand' is. Of het cyber violence of cyber warfare is, het is een nieuwe vorm van criminaliteit. En door de anonimiteit en toegankelijkheid van cyber spaces, moeten we ons ook op een andere manier verdedigen. De gewone burger en het bedrijfsleven zou zich ook moeten verdedigen, maar ervaart hier naar mijn mening te weinig urgentie.

Wat zijn de grootste gevaren voor het Nederlandse bedrijfsleven in geval van cyberwar?

Daar kan ik kort over zijn, die zijn groot. De concrete gevaren zitten in het stelen van gevoelige data zoals Intellectual Property (IP). We hebben het dan over cyberviolence, dit komt heel vaak voor. Gemerkt en onopgemerkt. Sommige aanvallen zijn niet eens gericht op een specifiek bedrijf of specifieke sector, maar hebben grote gevolgen. Denk hierbij aan Wannacry en Petya van dit jaar.

De WannaCry ransomware van 12 mei jongstleden onderstreept dit. Voor de mensen die op vakantie waren: bedrijven zijn stilgelegd door ransomware, gegijzelde documenten. Zo waren liters bloed in Engelse ziekenhuizen niet meer bruikbaar door foutieve labeling van het bloedtype. Door het betalen van losgeld in bitcoins werd de toegang tot de gegevens weer mogelijk. De ransomware verspreidde zich door een beveiligingslek in een verouderde versie in de code van een besturingssysteem, maar er werd ook snel een kill switch gevonden om verspreiding te stoppen. Op 27 juni 2017, ongeveer zes weken later is er een nieuwe, meer geavanceerdere ransomware verspreid, genaamd Petya. Deze ransomware verspreidde zich net zo snel als Wannacry, maar dit keer zonder kill switch. Het virus trof bedrijven als pakketbezorger TNT, medicijnfabrikant MSD, en containerrederij Maersk.

En dat is nog maar ransomware, maar geeft goed weer wat de mogelijke bedreigingen zijn. Kun je nagaan wat er kan gebeuren als hackers een pakketdistributie, containerschepen of medicijnproductie kan controleren.

Als we kijken naar cyber violence, is de algemene beschikbaarheid van hackingtools geen gevaar voor verharding in de digitale samenleving?

Nee, de algemene beschikbaarheid van de tools is het probleem niet. Ik zou zelfs durven stellen dat het beschikbaar maken van deze tools, hacking beschikbaar maken voor mensen zonder slechte bedoelingen. Onder 'hackingtools' verstaat men bijvoorbeeld ook vulnerability scanners, een tool die ook veel systeem beheerders helpt om kwetsbaarheden binnen een netwerk te identificeren zodat potentiele risico's en gemitigeerd kunnen worden.

Is de wetgever in uw optiek wel goed voorbereid op bestrijding van cyber violence?

Ik vraag me af of de wetgever in staat is om cyber violence te bestrijden. Zelf al zou dat kunnen vraag ik me af of wij dat moeten willen. Cyberspaces kunnen gezien worden als plek waar mensen samenkomen, in cyberspaces komen je vrienden en je vijanden. Er zijn veilige plekken en minder veilige plekken, net zoals in de stad waar ik woon. De ene wijk is gewoon veiliger dan de andere. Maar op plekken waar cyber violence plaatsvindt is de infrastructuur waarop wij elkaar ontmoeten geen eigendom van de overheid zoals de straten van steen. De infrastructuur in cyberspaces is voor 85% in handen van de private sector. Het is mijns inziens dus niet haalbaar om van de wetgever te vragen dit te reguleren.

Los van deze gedachte wil ik wel zeggen dat de staat van beveiliging en bestrijding tegen cyberviolence de laatste tijd is verbeterd bij de overheid.

Is in uw optiek de internationale gemeenschap in staat cyberwar aan regels te onderwerpen?

Dat weet ik niet, maar mooi om te proberen! We zouden de huidige verdragen binnen de Nato als uitgangspunt kunnen gebruiken en nog wat toe kunnen voegen over bijvoorbeeld spionage.

Cyberspaces hebben eigen regels, dat zien we door onder andere de verharding waar we het net over hadden. Maar ook regelsystemen zoals blockchain zitten echt goed in elkaar, het dwingt ons anders naar omgangsvormen te kijken. Dat biedt perspectief voor internationale overeenstemming.

Acht u de vitale sectoren in Nederland in staat om een (beperkte) cyberwar te kunnen doorstaan?

Nee op dit moment niet.

Daar zijn wat mij betreft twee belangrijke factoren in, de eerste is de interactie tussen systemen en mensen. Gemiddeld zit er één fout in 2500 regels code. Dat zit dus in het besturingssysteem van je laptop, tablet en telefoon. Je kunt het zien als muur met een gaten. Het is voor hackers een kwestie van geduld en tijd om de gaten in de muur te vinden en binnen te dringen.

Naast dat het onbetaalbaar is om een systeem helemaal waterdicht te maken, is de reactietijd ook een gevaar bij cyberviolence. Stuxnet is hier een goed voorbeeld van. Stuxnet is een zeer schadelijk virus dat werd ontdekt in 2010 door een fabrikant van antivirussoftware uit Wit-Rusland. Het beïnvloedt de werking van Siemens apparatuur en is vermoedelijk ontwikkeld om de Iraanse ultracentrifuges voor het nucleaire programma te saboteren. Het is tot op heden onbekend of en hoe dit virus momenteel nog actief is en kan in veel gevallen ongedetecteerd zijn gang gaan.

Wat zou moeten gebeuren om Nederland beter te kunnen beschermen tegen de gevolgen van een cyberwar?

Internet is ontworpen voor een klein groepje wetenschappers of militairen (er is nog steeds een discussie gaande wie er eerder was). Maar een groepje mensen dat elkaar vertrouwden. Inmiddels hebben ruim drie miljard mensen internet, dat is 40% van de wereldbevolking. Dat is meer dan een groepje intimi. We moeten een manier vinden om het vertrouwen te simuleren met computers, bijvoorbeeld via de slimme contracten van ethereum.

Heeft u nog behoefte iets toe te voegen dat we niet hebben behandeld in de vorige vragen, en zo ja, wat is dat?

Het compleet uitsluiten van cyberwarfare of cyberviolence is in de praktijk onmogelijk. Door kwetsbaarheden inzichtelijk te maken kan een gedeelte beveiligd worden en bewustzijn van de risico's moet het overige deel dekken. Kwetsbaarheden kunnen via veel verschillende kanalen misbruikt worden, de belangrijkste verdediging is daardoor verhoogd bewustzijn te creëren bij de gebruikers en beheerders van de te beveiligen omgeving.