Tekst BKB
Na een jarenlange, internationale carrière is Hester Somsen terug in Nederland, als plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en directeur Cybersecurity en Statelijke Dreigingen. Welke prioriteiten heeft zij gesteld bij haar aantreden? Welke ontwikkelingen houdt zij scherp in de gaten? En welke stappen moeten we gezamenlijk zetten om Nederland digitaal veilig te houden?
Hoe kijk je vanuit je internationale ervaring naar het huidige cyberdomein?
‘Vanuit mijn vorige functie als directeur Veiligheidsbeleid bij het ministerie van Buitenlandse Zaken was ik bekend met counter terrorism, statelijke dreigingen en het cyberdomein. Ik wilde graag weer meer nationaal aan de slag dus deze functie was voor mij een schot in de roos. Het belang van cybersecurity is de afgelopen jaren alleen maar gestegen. Zoals de afgelopen jaren ook in het Cybersecurity Beeld Nederland is geschetst: de dreiging neemt toe, mede doordat bijvoorbeeld aanvallen steeds geavanceerder worden. Ook dreiging van statelijke actoren neemt toe en dat heeft onder meer invloed op de politiek, de internationale betrekkingen en op de economische veiligheid van Nederlandse topsectoren. Bedrijven moeten zich realiseren dat er voortdurend spionage plaatsvindt vanuit economische motieven. Statelijke actoren hebben meer capaciteit en middelen, waarmee ze soms ook weer criminelen inzetten. Een ingewikkeld, maar interessant speelveld kortom.’
‘Bedrijven moeten zich realiseren dat er voortdurend spionage plaatsvindt’
‘Onlangs hebben we samen met de AIVD en de MIVD het eerste dreigingsbeeld statelijke actoren gepubliceerd. Dit beeld is uniek, omdat we samen met de AIVD en MIVD alle dreigingen schetsen in een openbaar stuk. De beïnvloeding door de Turkse overheid van de diaspora in Europa komt aan bod, maar ook economische spionage en beïnvloedingsactiviteiten vanuit China. Een ander aandachtspunt is de territoriale dreiging vanuit Rusland en de oneigenlijke politieke druk die zij uitoefenen. In Nederland zijn we ons niet zo bewust van dreiging uit Rusland door onze geografische ligging. In landen als Zweden en Finland is het bewustzijn er bijvoorbeeld wel. Cyberdreiging houdt zich niet aan geografische grenzen en bufferzones. Sterker nog, we hebben in Nederland een groot en aantrekkelijk digitaal aanvalsoppervlak, onder andere door de goede digitale infrastructuur en aanwezigheid van hoogwaardige technologische bedrijven.’
‘Door de coronacrisis is dat aanvalsoppervlak alleen maar groter geworden, omdat we massaal op afstand werken, digitaal vergaderen en online campagnevoeren. Bedrijven, organisaties en politieke partijen moeten weten wat te doen als er iets gebeurt, bij wie ze dat moeten melden en hoe ze risico’s kunnen beperken. Tijdens de afgelopen Tweede Kamerverkiezingen hebben we politieke partijen hierover samen met het NCSC voorlichting gegeven. Er waren weinig incidenten, maar het is wel belangrijk dat risico’s en handelingsperspectief bekend zijn.’
Podcast Let’s talk about hacks
Onlangs werd Hester geïnterviewd voor de podcast-serie ‘Let’s talk about hacks’ van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Welke strategische keuzes maakt de NCTV om Nederland digitaal veilig te maken en te houden? En welke maatregelen moeten er worden genomen om cyberdreigingen het hoofd te bieden? Welke noodzakelijke stappen moeten we zetten om de vitale belangen van Nederland en de Nederlandse economie te beschermen?
Wordt er in Nederland voldoende geluisterd naar cybersecurity experts?
‘Ik denk dat op dit vlak nog veel te winnen is. Dat heeft alles te maken met bewustzijn van het probleem en in staat zijn de juiste beveiligingsmaatregelen te treffen, en hier ook op het hoogste niveau in de organisatie aandacht voor hebben. Meer bewustzijn in alle lagen van de organisatie kan een belangrijke rol spelen om dit te verbeteren, juist ook aan de bestuurstafel. Cybersecurity experts moeten daarnaast ook naar zichzelf kijken. We moeten nagaan hoe we beter kunnen communiceren en ons vak begrijpelijker kunnen maken.’
Wat kunnen organisaties zelf doen?
‘Ik geloof dat openheid heel erg helpt. De universiteit van Maastricht is daar een goed voorbeeld van. Zij zijn heel open geweest over wat hen is overkomen en hoe die situatie heeft kunnen ontstaan. Ze hebben andere onderwijs- en onderzoeksinstellingen wakker geschud om eens na te gaan hoe het nu eigenlijk in de eigen organisatie geregeld is. Dat is superbelangrijk. Het aantal cybersecurity incidenten zal toenemen helaas, maar je kunt je wel voorbereiden. Dan is openheid, het gesprek op gang brengen en de discussie aanzwengelen een belangrijke eerste stap op weg naar betere cyberweerbaarheid. Uiteindelijk wil je toe naar een situatie waar aandacht voor cybersecurity onderdeel is van de bedrijfscultuur en organisatiestructuur. Het moet besproken worden in de boardrooms en op de werkvloer. Het zou een vast onderdeel moeten zijn van contracten en voorwaarden voor aanbestedingen.’
‘Bedrijven en mensen zijn zich er gelukkig in toenemende mate van bewust dat ze iets met cyberveiligheid moeten. Hoe meer berichten van ransomware aanvallen of WhatsApp-scams openbaar worden, hoe beter. Bewustzijn is er dus in toenemende mate, maar er ook echt iets aan doen is een tweede. Je ziet bijvoorbeeld bij de recente kwetsbaarheid in Microsoft Exchange dat het nog best lang duurt voordat patches zijn uitgevoerd. Dat is een punt van aandacht. Daarnaast zijn bedrijven niet altijd genegen om incidenten naar buiten te brengen en dat is een zorg, want dat bemoeilijkt preventie en opsporing.’
Wat kunnen we de komende tijd van de NCTV verwachten?
‘Het Landelijk Dekkend Stelsel (LDS) is cruciaal om de digitale weerbaarheid in Nederland te vergroten. Dit stelsel stelt het NCSC in staat om snel en efficiënt dreigingsinformatie te delen, zodat organisaties met die informatie ook beveiligingsmaatregelen kunnen treffen. Het stelsel is nog vrij jong en nog niet af. Ik vind het belangrijk om het stelsel te versterken zodat we daadwerkelijk die landelijke dekking hebben en de cybersecurity samenwerkingsverbanden binnen het stelsel ook bijdragen om de weerbaarheid in de eigen sector te verhogen.’
‘Wetgeving heeft wat mij betreft prioriteit om informatiedeling beter te kunnen organiseren’
‘Wetgeving heeft wat mij betreft prioriteit om kennis- en informatiedeling beter te kunnen organiseren. Verschillende sleutelorganisaties zijn onlangs OKTT geworden of worden dat binnenkort. Daardoor kunnen we meer informatie met ze delen. Dat is een stap voorwaarts in de ontwikkeling van het LDS. Maar er is ook aanpassing van wetgeving nodig, want we kunnen nog steeds niet voldoende informatie met OKTTs en CERTs delen. Daar is een aanpassing van de Wbni voor nodig.’
‘Ik hoop en verwacht verder dat er de komende tijd meer een wisselwerking op gang komt en dat er veel meer informatie wordt gedeeld tussen OKTTs en CERTs. We willen toe naar een voortdurende stroom van informatie binnen het LDS. Vanuit cybersecurity samenwerkingsverbanden naar het NCSC en andersom.’
‘Crisismanagement is relatiemanagement: je moet elkaar weten te vinden. Oefenen is hierbij cruciaal. Daarom vindt binnenkort ISIDOOR plaats, een oefening van een groot cyberincident met circa 90 organisaties en bijna 2000 deelnemers uit onder andere Rijksoverheid en vitale sectoren. We oefenen tijdens ISIDOOR het Nationaal Crisisplan Digitaal en hoe we moeten omgaan met consequenties van crises in het digitale domein voor het fysieke domein, zoals de drinkwatervoorziening, telecomsector of het wegennet. Want in een cybercrisis komen die twee werelden samen. Daarom doen veiligheidsregio’s ook mee aan de oefening.’
Hoe kijk jij naar de toekomst?
‘De Cyber Security Raad heeft onlangs een advies uitgebracht aan het volgende kabinet om de cyberweerbaarheid te verhogen. Daarin staat dat het onderwerp chefsache moet zijn, dat de regie beter moet. Dat wordt deels gezocht in een onderraad van de ministerraad die zich specifiek op cybersecurity en digitalisering moet richten. Politieke sturing op dit onderwerp is belangrijk.’
‘Ik hoop dat er in het nieuwe kabinet voldoende aandacht is voor cybersecurity en digitalisering. Het is zeker geen doom and gloom in Nederland. We staan er op het gebied van cybersecurity best goed voor als je kijkt naar de internationale lijstjes. Maar we zijn wel aan het zakken. Tegelijkertijd wordt de dreiging alleen maar groter, dus daar moeten we iets mee. We willen in het linkerrijtje bovenaan blijven, om het in voetbaltermen te vatten en daar is wel wat voor nodig.’
