Browse eens door artikelen over ransomware, online spionage of DDoS-aanvallen; grote kans dat je op de naam Ronald Prins stuit. Hij en zijn Fox-IT hebben sinds 1999 een serieus trackrecord in computer- en netwerkbeveiliging opgebouwd. Zo serieus dat de Nederlandse Staat haar staatsgeheimen aan hen toevertrouwt. We interviewden Ronald Prins over zijn visie op de beveiliging van de publieke sector.

Ronald Prins

directeur en mede-oprichter Fox-IT

Verwoorden we dat correct?

‘Beveiliging voor online dreigingen’, nuanceert Prins onmiddellijk. ‘Safety- en security-maatregelen verschillen namelijk wezenlijk van elkaar. Actie ondernemen om toevallige verstoringen te repareren – denk aan een netwerkcrash – heeft met safety te maken. Cybersecurity is echt iets heel anders. Dat gaat over de omgang met permanente dreiging van buiten én van binnenuit. Ik denk dat publieke organisaties nog te veel denken vanuit safety-incidenten. Ziekenhuisnetwerk plat? Dan wijken we toch gewoon uit naar een andere locatie? Kan. Maar wat als een ransomware-virus zich landelijk verspreidt?’

Vorig jaar werden Engelse ziekenhuizen slachtoffer van een cyberaanval. Kun je een reden bedenken waarom de cybercrime het op zorginstellingen heeft gemunt?

‘Nee. Die is er namelijk niet. Kijk, wat er vorig in het Verenigd Koninkrijk gebeurde, was geen gerichte aanval op die ziekenhuizen. Dat was gewoon collateral damage van een grotere ransomware-aanval. En precies dat maakt goede beveiliging urgent. Ook al ben je geen primair target, leveranciers en partners kunnen je systemen onbedoeld en ongemerkt besmetten. Geloof me: dan is je standaard antiviruspakket echt niet toereikend. Je hoort nog weleens dat zorgverzekeraars interesse zouden hebben in patiëntgegevens. Dat is echt een broodjeaapverhaal. Dankzij gegevens over medicijngebruik weten die verzekeraars toch wel wat er speelt in zorgland.’

Cybersecurity lijkt in een stroomversnelling te zitten. Hoe komt dat?

‘Dankzij Internet of Things en gelinkte netwerken, vindt er steeds meer uitwisseling van gegevens plaats. Denk aan het elektronisch patiëntendossier. Daar profiteren alle partijen van, maar digitalisering van het primaire proces dwingt organisaties om na te denken over beveiliging tegen cyberdreiging. Even los van de overheid: publieke organisaties zijn van oudsher niet gewend om te gaan met dreiging. Die was er namelijk niet. Inmiddels ziet de wereld er anders uit: Chinese hackers maken terabytes aan bedrijfsgevoelige data buit in het Westen en de Russische overheid verstoort de Oekraïense infrastructuur. Niet met bommen, maar door een online boekhoudprogramma te infecteren met NotPetya, een virus dat schade aanricht bij de gebruiker. 
 
‘Elke organisatie kan slachtoffer worden van een cyberaanval, ook door een ‘toevallige’ besmetting of diefstal. Die Chinese hackers die ik noemde, zijn vaak niet bewust op zoek naar specifieke informatie. Ze stelen gewoon grote hoeveelheden informatie, en kijken pas later wat voor wie relevant kan zijn. Op de globale zwarte markten is er altijd wel iemand te vinden die grof geld overheeft voor informatie over de radarsystemen van de TU Delft. Of voor unieke kennis van Wageningen University, over zaadveredelingstechnieken. Onze onderzoeken wijzen uit dat hackers gemiddeld 280 dagen in een netwerk kunnen rondneuzen voordat de gekraakte partij dit doorheeft. Dat vind ik echt schokkend.’

Welke rol heeft de overheid volgens jou?

‘Internet is in handen van private organisaties, maar feitelijk is het publieke ruimte. Ik vind dat de overheid de plicht heeft om er de veiligheid te handhaven. De houding is nu: laat de markt dat maar oplossen. Maar dat is niet eerlijk. Daarnaast heeft de overheid een defensietaak. Vroeger wachtten we netjes op een oorlogsverklaring, voordat we het leger mobiliseerden. De wereld ziet er nu anders uit. Ik verzeker je dat wereldwijd de eerste cyberlegers al klaarstaan. Geen afgetrainde mariniers, maar bleke jongetjes met paardenstaarten beschermen ons straks als de virtuele bom barst.’
 
‘De dreiging komt van landen die nu al in staat zijn fake news te verspreiden. De taak van onze overheid is om te voorkomen dat diezelfde landen onze waterkeringen of stroomvoorziening platleggen. Nederland is zich echt wel bewust van de risico’s, bovendien neemt het kabinet cyberrisico’s serieus. De grote vraag is wie nu de regie pakt. Een minister van informatieveiligheid zou voor mij een logische keuze zijn. Mét voldoende budget natuurlijk.’

Wij zien dat de awareness binnen organisaties groeit. Er is veel animo voor cybersecurity-events. Zie jij binnen Nederland ontwikkelingen die je toejuicht?

‘Zeker. Je ziet nu bijvoorbeeld dat gemeenten hun krachten bundelen in security operations centers. Zelfs de ellende die jochies vanaf hun zolderkamer kunnen veroorzaken, wordt te complex voor individuele IT-afdelingen. Die moeten vooral snappen bij welk probleem ze welke specialist moeten benaderen. Eigenlijk zoals de huisarts en specialisten in een ziekenhuis. Cybersecurity kun je alleen goed doen als je permanent bijleert en op de hoogte bent van de nieuwste dreigingen. Ook al heb je als IT-afdeling een heel ruim budget, dan is het nog steeds lastig om securityspecialisten aan je te binden. Die willen minstens één hack per week oplossen, anders vinden ze hun werk saai, haha!’

Wat raad je organisaties in het publieke domein aan?

‘Ontwikkel een strategie. Niet volgende week, maar vandaag. De aanvallen van afgelopen jaar hebben Nederland wakker geschud, maar nu is het tijd om in actie te komen. We behoren tot de meest digitale landen van de wereld: met AMS-IX in Amsterdam hebben we ’s werelds belangrijkste internethub en Google koos de Groningse Eemshaven voor een tweede datacenter van veertig hectare. Willen we die koppositie vasthouden, dan moeten we investeren in de confidentiality, integrity en availability – de CIA – van onze data.’

Cybersecurity gaat ten koste van onze privacy. Terechte angst of niet?

‘Voor mij niet. Nederland staat een beetje dubbel in het sociale contract dat we hebben met de staat. We geven politie en leger wapens om ons te beveiligen, maar online willen we dat niet. De overheid heeft een imagoprobleem als het om IT gaat. En dat is maar deels terecht, want Nederland was óók het eerste land met een eigen Nationaal Cyber Security Centrum. Die privacyangst zie je nu ook weer in de discussie over de Wet inlichtingen- en veiligheidsdiensten. Daar zitten in mijn ogen genoeg privacybuffers in. We speuren nu continu het luchtruim af naar Russische MiGs en hebben binnen tien minuten twee F16’s in de lucht als het moet. Maar cybersecurityspecialisten van de overheid mogen nu alleen maar optreden nadat het kwaad is geschied. Best scheef, vind je niet?’