Martijn Kregting - 27 mei 2023

'Spionage en cybersecurity lopen steeds meer in elkaar over'

Spionage en cybersecurity lopen steeds meer in elkaar over. Voorheen ging spionage vooral om mensen en in beperkte mate etherinterceptie. Digitalisering heeft hele andere soorten vormen van inlichtingen vergaren met zich meegebracht, aanvallen die veel moeilijker te traceren zijn, stelde Bas Dunnebier van de AIVD onlangs in een interview met Dutch IT Leaders. "Een cyberaanval kun je op het darkweb kopen.”

'Spionage en cybersecurity lopen steeds meer in elkaar over' image

Voor statelijke actoren is cyberspionage heel interessant omdat ze het vanaf eigen grondgebied kunnen uitvoeren. Er zijn bij wijze van spreken zalen vol hackers in China en Rusland die 24/7 niets anders doen dan overheden en bedrijven hacken. Het is veel lastiger om te achterhalen wie welke aanvallen uitvoert, merkt Dunnebier, hoofd van de unit weerbaarheid van de AIVD. “Vroeger was Russische spionage vooral politiek ingegeven en bij China economisch. Nu loopt het veel meer in elkaar over.”

Ontwrichting door cyberaanvallen

Wat veel mensen zich ook niet realiseren, is dat cyberaanvallen net zo ontwrichtend kunnen zijn als fysieke aanvallen. Iedereen boven een bepaalde leeftijd weet waar ze waren tijdens 9/11 (de terreuraanvallen op het WTC in New York en het Pentagon op 11 september 2001, red.), maar vrijwel niemand denkt nog veel aan ontwrichtende ransomware-aanvallen zoals NotPetya en Wannacry. Een reden is volgens Dunnebier dat er op het oog geen mensenlevens verloren gingen door de ransomware-aanvallen.

“In Nederland was in 2011 Diginotar echter vrij ontwrichtend. Veel voorheen solide lijkende overheidswebsites lagen opeens plat. NotPetya was gericht op een Oekraïens boekhoudpakket, maar de gevolgen waren wereldwijd groot. Alleen neigen we ernaar dit soort aanvallen te vergeten, tenzij je getroffen werd: zoals Maersk, de Britse NHS, of Deutche Bahn. Er niet de hele tijd aan denken is prima, want we moeten zonder voortdurende angst voor ransomware kunnen leven en werken. Maar het is belangrijk om ervan te leren en die lessen toe te passen.”

Wat, tegen wie, risicobereidheid

Dunnbier noemt drie elementen om op het gebied van security goed in de gaten te houden: wat moet je beschermen, tegen wie, en welk risico ben je bereid te nemen? Voor het eerste element geldt: breng in kaart wat je wil én (wettelijk) moet beschermen. Veel organisaties denken dit overzicht te hebben, maar het is vaak onvolledig of verouderd. Je intellectueel eigendom beschermen is logisch, maar dat geldt – in het kader van de AVG - ook voor personeelsbestanden. 

“Ik raad bestuurders altijd aan om hierover te sparren met hun CIO, hun CISO, met belangrijke partners. Eigenlijk moet er ook niet geconcurreerd worden op cybersecurity. Iedereen moet veilig zijn, dus help elkaar daarin.”

Bas Dunnebier, AIVD

Bas Dunnebier, AIVD: "Er moet eigenlijk niet geconcurreerd worden op cybersecurity."

Ten tweede: tegen wie moet je je beschermen? Criminele actoren, statelijke actoren? Dunnebier: “Een klein bedrijf kan denken dat zij niet belangrijk zijn, maar misschien zijn zij dat wel voor een partner: elke keten is zo sterk als de zwakste schakel. De derde en laatste stap aan de voorzijde is het risico dat je bereid bent te nemen. Wettelijke regels, maar ook het eigen risicobereidheid speelt mee.”

Het interview met Bas Dunnebier gemist? Lees het alsnog op Dutch IT Leaders.