calendar tag arrow download print
Image
Deel 3 Bits for Peace blog
artikel
23 februari 2020

Juist in vredestijd is praten over aanvalsregels in cyberspace belangrijk

Cybersecurity desinformatie de-escalatie Blogserie
Illustratie: Max Kisman
Wat moeten burgers weten over het oplopende internationale cyberconflict? En hoe komen we tot de-escalatie? In deze blog, onderdeel van de serie 'Bits for Peace', interviewen we directeur Corporate Affairs Jochem de Groot, die bij Microsoft werkt aan een veiligere digitale wereld. Wat is er volgens hem aan de hand? En welke stappen moeten bedrijven en overheden nemen?

In het kort

  • Microsoft-directeur Corporate Affairs Jochem de Groot ziet landen als het grootste gevaar in cyberspace.
  • Overheden en bedrijven moeten intensief samenwerken om tot goede internationale afspraken te komen.
  • Om die samenwerking aan te wakkeren is publiek bewustzijn essentieel. Voor een veiligere digitale wereld moeten alle stakeholders de urgentie voelen. Technologiebedrijven kunnen helpen de gezamenlijke dialoog te voeren.

Cyberspace wordt steeds onveiliger. Vrijwel alle landen gebruiken cyberwapens om elkaar te bespioneren, en sommige landen voeren zelfs cybersabotage uit of verspreiden desinformatie. Burgers staan daarbij in het kruisvuur: banken, ziekenhuizen en universiteiten worden bestookt. Het is daarom tijd voor een debat over het cyberconflict, zodat burgers kunnen deelnemen aan de politieke besluitvorming en richting kunnen geven aan een veilige en vrije digitale toekomst. Dat constateerden we in ons onderzoek Cyberspace zonder Conflict. Met deze blogserie Bits for Peace geven we een aanzet tot dit debat.

Van ziekenhuizen, havens en andere vitale infrastructuren tot uw privé-pc thuis: ze draaien vaak op technologie van deze Amerikaanse multinational. En ze worden inderdaad ‘dagelijks aangevallen’, zegt Jochem de Groot, directeur Corporate Affairs bij Microsoft Nederland. ‘Niet alleen door criminele hackers of pubers op zolderkamers, maar vooral door staten.’ De Groot bevestigt daarmee wat wij eerder beschreven in ons onderzoek Cyberspace zonder conflict.

Landen vormen de grootste dreiging

U bent echt bezorgd over cyberaanvallen door landen.
‘Ja, want het is naïef om te denken dat er aan de ene kant een paar staten zijn die cyberaanvallen uitvoeren en dat er aan de andere kant ook enkele private partijen zijn die dat doen. Die laatste zijn er veel minder. De impact door cyberaanvallen is het grootst door aanvallen van landen.

Je zag het gebeuren in de Amerikaanse verkiezingen van een paar jaar geleden. En onlangs in Madagaskar, waar Rusland de verkiezingen heeft gemanipuleerd, met misschien zelfs toestemming van de mensen rondom Poetin. We weten het niet zeker, maar het wordt genoemd in verschillende media. We hebben het hier over cyberaanvallen met impact op democratische waarden, en op de weerbaarheid van de samenleving. Overheden zouden daar hard tegen moeten optreden.’

Investeren in internationale samenwerking

Welke rol ziet u voor bedrijven als Microsoft? Hoe kunnen technologiebedrijven de landen en partijen ondersteunen die ons tegen cyberaanvallen kunnen beschermen?
‘Je moet hierover de dialoog voeren, met zo veel mogelijk verschillende stakeholders. Dat is het best haalbare in het huidige tijdsgewricht, en gegeven de huidige geopolitieke realiteit. Die dialoog is soms moeilijk en grillig, maar essentieel om te komen tot de juiste normen.

Zo hebben we in een jaar tijd duizend medeondertekenaars gekregen voor de Paris Call for Trust & Security in Cyberspace, uit allerlei verschillende sectoren. We hebben onder de ondertekenaars nu 72 landen, waarvan 12 in Afrika, 13 in Azië en 10 in Latijns-Amerika. Het is dus niet een 'West vs. The Rest'-feestje. We bouwen aan een wereldwijde geopolitieke coalitie.

Daarbij ben ik met name blij met het zelfbewustzijn van de bedrijven die de technologie bouwen, innoveren en beheren, en erbovenop zitten. Zij hebben gezegd: we doen voor 100% aan ‘defence’ en voor 0% aan ‘offence’. Dat is ook onze stellingname, zeker als het gaat om het faciliteren en ondersteunen van overheden. Wij hebben hier een voortrekkersrol op ons genomen.’

Waarom doet Microsoft dat?

‘Dat heeft te maken met het feit dat wij al 45 jaar bestaan en weten hoe belangrijk het is om dit soort langetermijnprojecten in gang te zetten. En ook omdat wij heel veel technologie draaien die wordt aangevallen. We merken het dagelijks. Het maken van goede afspraken is voor Microsoft dus niet alleen maar een business opportunity, of een manier van sociaal verantwoord ondernemen. Dit raakt aan de kern van de veiligheid en betrouwbaarheid van onze technologie. En daarmee aan onze waarde voor de klanten, de consumenten en de maatschappij waarin we actief zijn.’

Goede afspraken maken raakt aan de kern van de veiligheid en betrouwbaarheid van onze technologie
Jochem de Groot, Microsoft Nederland

Overheden ondersteunen

Je ziet een belangrijke rol voor technologiebedrijven, waaronder Microsoft zelf, bij het ondersteunen van overheden tegen cyberconflicten. Hoe ziet die ondersteuning van overheden er concreet uit?
‘Wereldwijd hebben we een extreem groot netwerk, met hardware en software, dat we zelf bedienen en draaien. We hebben ook veel klanten, van individuele consumenten en hele grote bedrijven tot staatspartijen, die met kwetsbare vitale infrastructuren werken. Die worden op grote schaal aangevallen en daar maken we ons zorgen over. Op verschillende manieren proberen we die klanten te helpen.

Zo delen we onze zorgen, op basis van onze kennis, in relevante politieke overlegverbanden en met andere coalities. Ook al zijn wij natuurlijk geen verkozen vertegenwoordiger en dragen we geen democratische verantwoordelijkheid. We willen dan ook geen politieke keuzes maken, maar wel het politieke proces ondersteunen.

Daarom hebben we bijvoorbeeld onlangs, samen met onder meer de Hewlett Foundation en Mastercard, het Cyber Peace Institute in Genève opgericht, een non-gouvernementele organisatie met een onafhankelijke status. Marietje Schaake, voormalig lid van het Europees Parlement en International Director van het Cyber Policy Center aan Stanford, is daar de president van geworden. Deze organisatie heeft drie doelen: in de eerste plaats de assistentie voor kwetsbare slachtoffers, ten tweede het bevorderen van cybernormen en verantwoord gedrag en het derde doel is het analyseren en onderzoeken van digitale aanvallen. Maar het is niet aan ons, als bedrijf dat niet de taak heeft om dit te doen, om schuldigen aan te wijzen – om aan te wijzen waar het fout gaat. Dat moeten overheden zelf doen.’

Wat zouden staten volgens Microsoft moeten doen voor cybervrede?
‘Een paar jaar geleden bepleitte Brad Smith, de president van Microsoft wereldwijd, dat er een ‘Geneefse conventie’ moest komen op het gebied van cyberveiligheid. Want juist in vredestijd moet zo’n overeenkomst worden opgesteld, met als doel om onschuldige burgers in oorlogstijd te ontzien.

Het idee achter zo’n conventie is dat het een kickstart kan geven om over het onderwerp na te denken. Dat is winst. Tegelijk zitten er ook haken en ogen aan. Het is een onderwerp met veel nuances, waar we zeker oog voor hebben. We hebben dan ook een volgende stap gezet door met stakeholders de dialoog aan te gaan. Want de urgentie is groot. Dat probeerden we de afgelopen jaren aan te tonen, door continu het gesprek aan te gaan met overheden, met de boodschap: jullie eigen vitale infrastructuur is kwetsbaar en we willen graag data uitwisselen om ervoor te zorgen dat we een goed beeld krijgen van wat er gebeurt.’

De vitale infrastructuur is kwetsbaar

U geeft aan dat de vitale infrastructuur van landen kwetsbaar is. Kunt u daar voorbeelden van geven?
‘In mei en juni 2017 waren er grote cyberaanvallen met gijzelsoftware: WannaCry en Petya. Die voorbeelden maken duidelijk hoe groot de schade kan zijn. In het Verenigd Koninkrijk moesten ziekenhuizen sluiten en de containerterminal van APM in Rotterdam heeft vijf dagen stilgelegen. Dat leidde voor Maersk tot ongeveer tussen de 200 en 300 miljoen euro schade. En eind september nog, kort na de publicatie van het boek waarin hij over onder meer de Stuxnet-aanval berichtte, kwam Huib Modderkolk met een artikel over Pulse Secure, een van de grootste VPN-aanbieders, dat niet goed beveiligd was. In april 2019 waarschuwde het Nationaal Cyber Security Centrum (NCSC) daar al voor, maar pas toen Modderkolk zijn artikel erover publiceerde werd de beveiliging door veel bedrijven en overheidsorganisaties gerepareerd.

Deze voorbeelden zeggen veel over het gebrek aan cyberveiligheid bij zowel kleinere bedrijven en MKB, waarvan het begrijpelijk is dat ze er geen prioriteit aan geven, als ook bij grote bedrijven - die belangrijk zijn voor de Nederlandse vitale infrastructuur. In het laatste geval komt het echt dicht bij huis, letterlijk en figuurlijk.

Als Microsoft willen we dit soort voorbeelden gebruiken om de urgentie aan te tonen  Dit doen we daarom ook, op drie domeinen waar mensen weinig verstand van hebben: voor inlichtingendiensten, in de IT en bij diplomatie. Zeker IT is een onderwerp waar bijvoorbeeld Kamerleden vaak zo weinig mogelijk mee te maken willen hebben. Het is een onderwerp waar ze zich snel aan kunnen branden en wat snel gezeur oplevert. Om die reden is de kennis bij Kamerleden, enkele uitzonderingen daar gelaten, niet erg groot. Maar het is in de strijd tegen cyberaanvallen cruciaal om cyberveiligheid op orde te hebben en achterdeurtjes tijdig te sluiten. Wij zijn daarom geen voorstander van een minister van IT, want het moet een gezamenlijk probleem zijn. Dit gaat de hele samenleving aan. Dit is dus chefsache geworden en zou boven aan de agenda moeten staan.’

In de strijd tegen cyberaanvallen is het cruciaal om cyberveiligheid op orde te hebben en achterdeurtjes tijdig te sluiten.

Cyberveiligheid is nog te abstract

Wat vindt u van het publieke debat over cyberveiligheid? En van de informatie die overheden en bedrijven willen prijsgeven over conflicten in cyberspace?
‘Helaas is het een onderwerp dat heel onzichtbaar is. Heel abstract. Als je het vergelijkt met stikstof is de omgang heel anders. Stikstof lijkt ook abstract, maar als het directe impact heeft op de praktijk van boeren, bouwers en anderen, wordt het meteen een heel reële discussie. Ik kan me voorstellen dat dit op een gegeven moment ook gaat gebeuren op het gebied van cybersecurity.

Daar moet echter wel wat voor gebeuren. Mensen moeten dan eerst vergaande problemen ervaren. Bijvoorbeeld dagen of wekenlang in de kou zitten, omdat energiebedrijven zijn gehackt, zoals in Oekraïne. In het VK is er al wel iets meer gedebatteerd; daar hebben we mensen gesproken die maandenlang moesten wachten op een operatie, omdat het ziekenhuis waar ze geopereerd zouden worden was gehackt. Dat ging om een paar duizend mensen. De paradox is dat we dat gelukkig nog niet hebben meegemaakt in Nederland – maar dat we het er daardoor ook niet over hebben gehad.’

Bent u optimistisch over de veiligheid van Nederland in cyberspace?
‘Bedrijven begrijpen inmiddels wel wat de schade van WannaCry en Petya kan zijn, maar dit geldt nog niet, of onvoldoende, voor burgers. Als ik bedenk hoe Nederland er over tien jaar voor staat? Dan zijn we wellicht helaas door schade en schande wijzer geworden, zijn we een superveilig land waarin alles volledig digitaal is dichtgebouwd. Maar wel alleen omdat er eerst een grootschalig incident is geweest.’

Kwetsbaarheden rapporteren

Nog even over het prijsgeven van informatie, bijvoorbeeld over kwetsbaarheden in digitale systemen. Politie en justitie mogen onder bepaalde voorwaarden hacken. Hoe zouden ze volgens u met die bevoegdheden moeten omgaan?
‘Het begint ermee dat de veiligheidsdiensten kwetsbaarheden direct moeten rapporteren, zeker ook aan leveranciers zoals Microsoft. En als ze gebruikmaken van die kwetsbaarheden, moeten ze onderling goed afstemmen wat ze ermee doen. Het systeem van checks and balances is nu nog niet waterdicht.

Tegelijkertijd is het belangrijk om de mogelijkheden van veiligheids- en opsporingsdiensten op dit vlak, en de risico’s van hun bevoegdheden, niet te overschatten. Neem bijvoorbeeld de politie in Driebergen: die beschikt niet over extreem veel, zeg, duizenden, voor anderen onbekende kwetsbaarheden waar ze gebruik van kunnen maken.’

En hoe denkt u over informatie delen op het niveau van de inlichtingendiensten?
‘Ik vermoed dat inlichtingendiensten hun kwetsbaarheden niet snel heel breed met andere diensten zullen delen, laat staan met de samenleving. Voor hen is het juist cruciaal dat zij beter, slimmer, sluwer en sneller geheime informatie kunnen verzamelen dan anderen. Ze hebben er bijvoorbeeld geen belang bij om waardevolle kennis over kwetsbaarheden te delen met diensten die zwakker of kleiner zijn dan zij. Het blijft dus primair een strategische uitruil van informatie tussen diensten die geheimen verzamelen.’

U bent van harte welkom om te reageren op deze blogs. Neem hiervoor contact op met Jurriën Hamer.