AIVD opent deuren voor cyber-samenwerking

Event | Cybersec Netherlands 2024

Nog steeds zijn er organisaties die cyberrisico’s onderschatten en denken ‘die patch kan later wel’. Volg echter bij een dreiging altijd het advies van de NCSC. Dat benadrukte Bas Dunnebier, chief science & technology officer bij de AIVD (Algemene Inlichtingen- en Veiligheidsdienst), tijdens zijn aftrap van de vakbeurs Cybersec Netherlands, deze week in de Jaarbeurs in Utrecht. Daarbij riep hij op tot meer samenwerking tussen de inlichtingendiensten, andere overheidsinstanties en het bedrijfsleven. ‘We kunnen niet alles zelf.’  

Voor cyberexpert Bas Dunnebier is het glas altijd half vol. Ondanks de vele (cyber)dreigingen van statelijke actoren, China voorop, waar de AIVD en de MIVD (Militaire Inlichtingen- en Veiligheidsdienst) hun handen vol aan hebben. ‘Wij zijn in staat om deze dreigingen te weerstaan. ‘We can keep the Netherlands great’, houdt hij zijn toehoorders voor. Een kwinkslag naar de Amerikaanse verkiezingswinst van Donald Trump? Daar kan hij niks over zeggen, antwoordt hij desgevraagd na zijn presentatie. ‘De AIVD is neutraal en doet geen politieke uitspraken.’

Statelijke actoren

In zijn keynote ging hij in op het gevaar van de ‘nation state actors’, landen (‘statelijke actoren’) die de westerse waarden op allerlei manieren proberen te ondermijnen en daarmee de nationale veiligheid kunnen bedreigen. Toen Dunnebier acht jaar geleden bij de AIVD begon merkte hij een kentering. Het westerse idee van vrede en democratie na het einde van de Koude Oorlog kwam onder vuur te liggen door staten die er andere wereldorde-opvattingen op na houden. Het belangrijkste kwartet: Rusland, Noord-Korea, Iran en China.  

Dunnebier gaf in zijn presentatie een korte karakterschets van elk van de vier landen. Rusland bijvoorbeeld is sinds de bezetting van de Krim steeds agressiever worden, onder meer met het verspreiden van alternatieve feiten, nepnieuws en trollencampagnes. Het land probeert zich een positie te verwerven in vitale sectoren, zoals de sterke Nederlandse semiconductorindustrie, al lijkt het de laatste tijd rustig. Dat wil niet zeggen dat het gevaar geweken is. ‘We zien ze niet’ betekent vaak ‘we zien ze nog niet’.

Niet naiëf zijn

De AIVD-expert bestempelt Noord-Korea  als een opportunistische staat waar vooralsnog vooral financiële motieven (ransomware) een rol spelen bij cyberspace-acties. Bij Iran zie je dan weer van oudsher een focus op nucleaire technologie. Ook volgt de Iraanse overheid in andere landen burgers die Iran zijn ontvlucht. ‘Iran moeten we niet onderschatten. En dat moeten we helemaal niet doen met China’. Van deze statelijke actor komt de grootste dreiging, een risico waar Dunnebier al eerder herhaaldelijk op heeft gewezen.

Hij wijst er op dat China al lang een visie heeft, een honderdjaren-plan om in 2049 de grootste wereldmacht te zijn, zowel op militair als economisch terrein. Daarvoor hebben ze veel kennis nodig en die halen ze in het westen. Dat doen ze door samenwerking op universitair vlak en met overheden en bedrijven, maar ook door cyberspionage. ‘Nederland kent een aantal hoogwaardige sectoren die voor China zeer interessant zijn. De Chinese inlichtingendiensten zijn elke dag bezig met het vergaren van informatie, daar moeten we niet naiëf zijn.’

Advanced Persistent Threat

Dunnebier gebruikt de term APT (Advanced Persistent Threat: hoogwaardige aanhoudende dreiging). Daar waar het bij ransomwaregroepen om de korte termijn handelt, gaat het bij ‘nation state actors’ om het langetermijndenken. Hij vertelde dat de AIVD zicht had op een APT-cyberaanval op een Nederlands bedrijf die al zo’n tien jaar bezig was. Als het dan een poos rustig was, hield dat niet in dat de aanvallers waren gestopt. Hebben ze eenmaal een kwetsbaarheid gevonden en zijn ze binnen dan is de volgende stap een aanval op de supply chain. Denk aan beruchte voorbeelden als Solar Winds en Midnight Blizzard. Het uithoudingsvermogen van een APT is heel sterk, aldus Dunnebier.

Overigens kan Nederland zich ook gedragen als een ‘nation state actor’ maar een groot verschil is dat als de AIVD een APT zou willen uitvoerig daar nationale regelgeving en verantwoording voor bestaat en veel overleg, stelt hij. Dat kennen Russen of Chinezen niet. Dunnebier toont een foto van een kantoorruimte vol Chinese hackers in bureauopstelling die aan het hacken zijn. ‘Vergeet niet, China beschikt over meer dan honderdduizend, door de staat ondersteunde hackers. Voor één APT werken soms wel tienduizend hackers samen op kantoor.’

We hebben een hoop te beschermen in ons ‘gaaf’ landje.

Bas Dunnebier, chief science & technology officer bij de AIVD

De massaliteit hiervan en het gevaar van een cyberaanval worden nog steeds onderschat in Nederland, luidt zijn waarschuwing in de keynote. Hij komt nog regelmatig organisaties tegen die geen backup-plan hebben, de fysieke beveiliging niet op orde hebben, tweefactorauthenticatie niet gebruiken of denken ‘die patch kan later wel’. Men vergeet vaak dat aanvallen makkelijker is dan verdedigen; één kwetsbaarheid kan genoeg zijn om binnen te komen bij een it-omgeving, stelt hij. Een tip: volg altijd het advies van de Nationaal Cyber Security Centrum (NCSC) bij een geconstateerde dreiging.   

‘Je kunt niet  van de overheid verwachten dat die jouw digitale veiligheid voor haar rekening neemt, vervolgt hij. ‘Wel kan zij meehelpen om het bewustzijn voor cyberrisico’s te verhogen.’ Dunnebier vindt het een goede zaak wanneer directieleden over een bepaalde basiskennis van technologie zouden beschikken. Zeker nu ontwikkelingen rond artificiële intelligentie razendsnel gaan en quantum computing aanstaande is. ‘Reken maar dat statelijke actoren hier nu al mee bezig zijn. Maar we kunnen als inlichtingendiensten niet alles zelf doen. Daarom hebben we onze deuren geopend, figuurlijk dan, en zoeken we samenwerking met het bedrijfsleven op cyberbeveiligingsvlak. We hebben een hoop te beschermen in ons ‘gaaf’ landje.’