Bas Dunnebier, AIVD: ‘Digitale aanval net zo ontwrichtend als fysieke aanval’

Bas Dunnebier, hoofd unit Weerbaarheid van de AIVD.

De twee Nederlandse veiligheids- en inlichtingendiensten – de AIVD en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) vallen onder de Wet op de inlichtingen- en veiligheidsdiensten (Wiv). In de Wiv staat beschreven wat onze taken en verantwoordelijkheden zijn en hoe het toezicht daarop is geregeld.

In de meeste landen zijn de rollen van inlichtingen vergaren en veiligheid verzorgen gescheiden. De AIVD/MIVD voeren beide taken uit: het verzamelen van inlichtingen - waaronder via aftappen en hacks - en het in de gaten houden van de veiligheid van Nederland, onder meer op het gebied van terrorisme.

Rol unit Weerbaarheid

De AIVD en de MIVD staan vooral bekend om inlichtingen verzamelen, om zo politieke intenties van andere landen te achterhalen. Ook het aspect veiligheid is echter van groot belang, zoals het inschatten van terreurdreigingen. De unit Weerbaarheid kijkt vooral naar wat er tegen die dreigingen gedaan kan worden, en draagt bij onder meer de overheid mogelijkheden aan, vertelt Dunnebier. Het gaat onder meer om economische veiligheid, terreurdreiging, bedreiging van vitale infrastructuren. Naarmate die dreigingen groeien in aantal en omvang, neemt het belang van de afdeling weerbaarheid binnen de AIVD toe.

Nederland staat volgens Dunnebier op cybergebied hoog aangeschreven. “Ons land is enorm gedigitaliseerd. Dat maakt ons op IT-gebied goed. Ook de IT-capaciteiten van de AIVD zijn goed ontwikkeld. Zo hebben we een cyber-unit die actief is op het gebied van etherinterceptie. Zij zijn heel goed in het via hacks binnendringen in computers. En Nederland is misschien een klein land, maar geen kleine economie. We staan net in de top20 van mondiale economieën. Ook hebben we veel te bieden op innovatiegebied, met topbedrijven en instellingen, maar ook met ons waterbeheer. Dus hebben we ook veel te beschermen.”

Divers palet bedreigingen

En dat beschermen gebeurt tegen een divers palet aan dreigingen. Terreurdreigingen – links- en rechtsextremisme – maar ook landen, ofwel statelijke actoren. De meest in het oog springende statelijke actor is volgens Dunnebier Rusland, zeker na de inval in Oekraïne: een wereld-veranderende actie die veel partijen wakker heeft geschud. Een met grote economische effecten – zoals hoge energieprijzen en inflatie.

“Het heeft het belang van een bondgenootschap als de NAVO benadrukt, het onderstreept het belang van het bezit van moderne militaire technologie. Er is veel sprake van nepnieuws, van beïnvloeding van media. Rusland is ook veel meer van politieke beïnvloeding naar economische spionage opgeschoven. Allemaal effecten die nog langere tijd zullen aanhouden. We schetsen dit ook in een brochure die we naar aanleiding van een jaar oorlog in Oekraïne hebben uitgebracht.”

Iran en China

Twee andere belangrijke statelijke actoren zijn Iran en China. Voor wat betreft Iran gaat het vooral om belangstelling voor nucleaire technologie en het in de gaten houden van hun diaspora. Vrij klassiek, stelt Dunnebier.

“De grootste dreiging voor de langere termijn voor westerse democratieën is echter China. Dit land wil wereldleider worden en heeft daartoe een langjarige strategie. Ze zetten alles in wat ze in kunnen zetten om dit te realiseren: een whole of society approach. Veel van wat ze doen is legaal, zoals investeren in bedrijven en havens, in universiteiten. Maar ook op het gebied van inlichtingen vergaren zetten ze alle mogelijke middelen in, legaal en niet legaal. Fysiek en digitaal.”

Bas Dunnebier vertelt over de statelijke actoren die momenteel de grootste bedreiging vormen voor de veiligheid van Nederland.

Spionage verandert door digitalisering

Het gevolg is dat spionage en cybersecurity steeds meer in elkaar overlopen. Dunnebier hierover: “Vroeger ging het toch vooral om mensen en in beperkte mate etherinterceptie. Digitalisering heeft hele andere soorten vormen van inlichtingen vergaren met zich meegebracht, aanvallen die veel moeilijker te traceren zijn. Een cyberaanval kun je op het darkweb kopen.”

Voor statelijke actoren is cyberspionage heel interessant omdat ze het vanaf eigen grondgebied kunnen uitvoeren. Er zijn bij wijze van spreken zalen vol hackers in China en Rusland die 24/7 niets anders doen dan overheden en bedrijven hacken. Het is veel lastiger om te achterhalen wie welke aanvallen uitvoert, merkt de AIVD. “Vroeger was Russische spionage vooral politiek ingegeven en bij China economisch. Nu loopt het veel meer in elkaar over.”

Ontwrichting door cyberaanvallen

Wat veel mensen zich niet realiseren, is dat cyberaanvallen net zo ontwrichtend kunnen zijn als fysieke aanvallen. Iedereen boven een bepaalde leeftijd weet waar ze waren tijdens 9/11 (de terreuraanvallen op het WTC in New York en het Pentagon op 11 september 2001, red.), maar vrijwel niemand denkt nog veel terug aan ontwrichtende ransomware-aanvallen zoals NotPetya en Wannacry.

Een reden hiervoor is volgens Dunnebier dat er op het oog geen mensenlevens verloren gingen door de ransomware-aanvallen. “In Nederland was in 2011 Diginotar echter vrij ontwrichtend. Veel voorheen solide lijkende overheidswebsites lagen opeens plat. NotPetya was gericht op een Oekraïens boekhoudpakket, maar de gevolgen waren wereldwijd groot. Hetzelfde gold voor Wannacry. Of de crisis als gevolg van de Citrix-kwetsbaarheid enkele jaren terug. Alleen neigen we ernaar dit soort aanvallen te vergeten, tenzij je getroffen werd: zoals Maersk, de Britse NHS, of Deutche Bahn. Er niet de hele tijd aan denken is prima, want we moeten zonder voortdurende angst voor ransomware kunnen leven en werken. Maar het is belangrijk om ervan te leren en die lessen toe te passen.”

Voorbereiding op ‘assumed breach’

Dunnebier weet vanuit de ervaring van zijn unit dat een verdediger niet de optie heeft om ergens een gat te laten vallen. “We proberen alle mogelijke voorstelbare aanvallen van statelijke actoren tegen te gaan. Maar in veel gevallen moet je er vanuit gaan dat een partij met de hulpbronnen van zo’n statelijke actor een keer succes zal hebben. Organisaties moeten zich dus voorbereiden op zo’n ‘assumed breach’. Als een hacker eenmaal binnen is, wat moet je dan doen? Hoe is je weerbaarheid, hoe snel kun je weer op krabbelen – met goede backups. Kun je achterhalen wat er gebeurd is, wat de modus operandi is - middels goede logging en monitoring. Zo kunnen we in ieder geval een volgende partij helpen om veiliger te worden.”

Awareness is in ieder geval heel belangrijk. Dat onderstreept de AIVD zelf door steeds meer naar buiten te treden, ook samen met partners zoals de MIVD, de Nationale politie en het Nationaal Cyber Security Centrum (NCSC). “Dan nog kunnen statelijke actoren binnen komen. Overheden, maar ook steeds vaker bedrijven in vitale sectoren zoals energie en communicatie kunnen dan om onze hulp vragen. Als we het nodig achten omdat het van essentieel belang is voor de veiligheid van Nederland, kunnen we ons incident coördinatie team sturen om in kaart te brengen wat er gebeurd is, wat er nog kan gebeuren en wat mogelijke opties zijn om de security en weerbaarheid te verbeteren. Dat in de praktijk brengen, zal dan weer met een andere – vaak commerciële - partij moeten gebeuren.”

De AIVD treedt steeds meer naar buiten, ook met partners zoals de MIVD, de Nationale politie en het Nationaal Cyber Security Centrum (NCSC).

Wat, tegen wie, risicobereidheid

Dunnbier noemt tot slot drie elementen om op het gebied van security goed in de gaten te houden: wat moet je beschermen, tegen wie, en welk risico ben je bereid te nemen? Voor het eerste element geldt: breng in kaart wat je wil én (wettelijk) moet beschermen. Veel organisaties denken dit overzicht te hebben, maar het is vaak onvolledig of verouderd. Je intellectueel eigendom beschermen is logisch, maar dat geldt – in het kader van de AVG - ook voor personeelsbestanden. “Ik raad bestuurders altijd aan om hierover te sparren met hun CIO, hun CISO, met belangrijke partners. Eigenlijk moet er ook niet geconcurreerd worden op cybersecurity. Iedereen moet veilig zijn, dus help elkaar daarin.”

Ten tweede: tegen wie moet je je beschermen? Criminele actoren, statelijke actoren? Dunnebier: “Een klein bedrijf kan denken dat zij niet belangrijk zijn, maar misschien zijn zij dat wel voor een partner: elke keten is zo sterk als de zwakste schakel. De derde en laatste stap aan de voorzijde is het risico dat je bereid bent te nemen. Wettelijke regels, maar ook het eigen risicobereidheid speelt mee.”

Resilience op orde

“Als het dan toch mis gaat, is belangrijk dat je je resilience op orde hebt. Je backups, je incident response, de snelheid waarmee je overeind komt. En, superflauw: breng je basis-hygiene op orde. Cybercriminelen en hackers zoeken altijd de zwakste plek. Multifactor-authenticatie, tijdig patchen: het gebruikelijke riedeltje, maar toch te vaak niet of onvoldoende in de praktijk gebracht.”

In dit alles heeft de CIO volgens Dunnebier een grote en groeiende rol. Richting het bestuur, richting de organisatie. “Het NIS2-raamwerk stelt ook duidelijk dat bestuurders persoonlijk aansprakelijk kunnen zijn voor als er een incident is en je hebt onvoldoende gedaan om je te beschermen. Dat kun je straks niet langer afschuiven op je IT-ers. Investeer dus in iemand die deze materie goed begrijpt, of huur iemand in, want niets doen is echt geen optie meer.”