Cyberterrorisme is dichterbij dan je denkt

Bestaat cyberterrorisme? Een terechte vraag in een beveiligingswereld die regelmatig gedreven wordt door de"'angst van de dag'. Het bestaan van cyberterrorisme is in de eerste plaats een kwestie van de definitie van terrorisme.

Een definitie die voorgesteld is door de VN zegt dat er sprake moet zijn van acties gericht op de dood of verwonding van burgers of niet-militairen. Op basis van deze definitie ben ik nog geen voorbeelden tegengekomen van cyberterrorisme. Er zijn echter ook  definities waarbij het begrip terrorisme wel degelijk ook in de cyberwereld aanwezig is. Als we bijvoorbeeld het Wetboek van Strafrecht er op naslaan is de definitie een stuk breder, want hier wordt gesproken over het aanjagen van vrees van de bevolking of een deel daarvan, of het ontwrichten van onder andere economische en sociale structuren van een land of internationale organisatie. Op basis van deze definitie zijn er wel voorbeelden van cyberterrorisme. Bijvoorbeeld de recente aanvallen op websites van de Litouwse overheid en bedrijven. Vergelijkbare security incidenten vonden een jaar eerder plaats in Estland. In beide gevallen waren het politiek gemotiveerde aanvallen, die massaal publieke en private websites troffen.

Het Amerikaanse Homeland security programma schetst al vele jaren de verschillende gevaren voor wat de vitale infrastructuur wordt genoemd. Hieronder valt bijvoorbeeld de olie en (petro-) chemische industrie. Een industrietak die steeds afhankelijker is geworden van informatietechnologie en met de invoering van informatietechnologie gebaseerd op Open systeem technologie ook in toenemende mate kwetsbaar is. Het Govcert trendrapport 2008, signaleert een sterke toename van botnets die in staat zijn ontwrichtende aanvallen op landen uit te voeren. Een rapport dat verder een somber beeld schetst over de kwetsbaarheid van onze it-systemen.

Uiteraard ontstaat langzaamaan ook bewustwording bij de Europese overheden. Zo heeft in Nederland het Nationaal Adviescentrum Vitale Infrastructuur recent een aantal 'Handreikingen' uitgebracht voor onder meer de olie en chemie industrie. Ook bundelt het Nationale Infrastructuur Cyber Crime (NICC) de krachten in de Nederlandse industrie om het it-beveiligingsniveau te verhogen, bijvoorbeeld door het organiseren van seminars. Ook internationaal gebeurt het een en ander, de NAVO heeft recent een cyberdefensie instituut geopend in Estland om tegen deze nieuwe wijze van oorlogsvoering een verdedigingslinie op te werpen.

Ook binnen de industrie ontstaan initiatieven. Bedrijven inventariseren hun it-beveiligingsniveau en ontwikkelen nieuwe bedrijfsrichtlijnen om deze te verbeteren. Inhaalprogramma's voor verbetering van de beveiliging tegen computervirussen en het reduceren van de systeemkwetsbaarheden zien we steeds vaker. Ook neemt de druk op de leveranciers van systemen toe om veilige systemen te leveren. Toch verschilt de mate van bewustwording en urgentie nogal tussen alle betrokkenen.

Is het nog wel van deze tijd dat kritische it-systemen niet beschermd zijn tegen computervirussen, of dat systemen niet beschermd zijn tegen van het Internet te downloaden computeraanvallen? Mijns inziens niet en zou de overheid wat dwingender de regelgeving rondom het beschermen van de nationale vitale infrastructuur moeten aanscherpen om het verbeteringsproces te versnellen. Er zijn hiervan verschillende voorbeelden, één daarvan is de Noorse Olf guideline 104, waarin de offshore industrie richtlijnen krijgt welke maatregelen genomen dienen te worden. In hoeverre kan it-beveiliging nog het exclusieve terrein blijven van private ondernemingen zoals het vandaag is als de omgeving van de vitale infrastructuur steeds dreigender en in toenemende mate onbeheersbaar lijkt te worden? Moet er niet een nationaal instituut komen dat beoordeeld of de beveiliging in de industrie wel toereikend is?