In deze editie van het NCSC Magazine spreken we met twee medewerkers van de Staf Unit, afdeling internationaal: specialist internationale samenwerking Angela van der Meer en senior adviseur internationale relaties Jurriën Norder. Angela werkte eerder bij een NGO aan projecten om de cyberweerbaarheid van mensenrechtenverdedigers te vergroten. Jurriën verdiepte zich in verschillende dossiers voor de ministeries van Buitenlandse Zaken en Binnenlandse Zaken. Met hen bespreken we ontwikkelingen in de wereld van cybersecurity, de Nederlandse positie hierin en het belang van internationale samenwerking.
Hoe belanden twee experts op gebied van internationale betrekkingen in de wereld van cybersecurity?
Angela van der Meer: “Ik ben altijd bezig geweest met gamen en programmeren. In mijn vorige baan kwam ik in aanraking met het NCSC. Dat leek me een mooie organisatie om voor te werken: ik wilde niet voor een commerciële partij werken en wel graag iets doen voor Nederland. Ik heb gebeld, gesolliciteerd en ben aangenomen. Veel mensen zijn zich niet bewust van cyberdreigingen. Het voelt goed om daar wel mee bezig te zijn, bewustwording te creëren en die onzichtbare deur dicht te houden.”
Jurriën Norder: “Met mijn achtergrond ben ik geen voor de hand liggende NCSC’er, maar gezien de ontwikkelingen in het veld ook weer wel. Je ziet dat cybersecurity steeds meer in de bestuurskamers terecht komt, zowel in de publieke als in de private sector. Naast hoodies hebben we steeds meer met nette pakken van doen, om het zo te zeggen. Dankzij mijn achtergrond vind ik goed mijn weg in de nationale en internationale wereld van de nette pakken. Ik kan de vertaalslag maken, van internationaal naar nationaal en vice versa, maar ook van technische taal naar managementtaal.”
Hoe heeft het internationale cybersecurity veld zich de afgelopen jaren ontwikkeld?
Angela: “Cyber is steeds meer gepolitiseerd. Het was altijd een kleine gemeenschap waarbinnen je elkaar kent, weet wie je kunt vertrouwen en waar je het samen oplost. Nu is het een geopolitiek onderwerp dat gebruikt wordt in conflicten en oorlogen en dat ook op de binnenlandse politieke agenda staat. Het gaat niet alleen meer over de vraag: hoe patch je iets? Maar ook: wat voor politieke impact heeft het en komen er kamervragen? Daar moet je steeds meer rekening mee houden. Ik zie dit overigens niet als een negatieve ontwikkeling, maar als een kans om aandacht te krijgen voor cyberveiligheid en de noodzaak voor meer capaciteit.”
Jurriën: “De Europese Unie timmert extreem aan de weg op gebied van cyber. Er zijn momenteel vijftien lopende processen, van wetgeving, initiatieven en financieringsbronnen. Dat zijn vijftien schaakborden waar het NCSC namens Nederland positie op moeten kiezen en input op moeten leveren. Dat vraagt onze volle aandacht en dan nog is het niet genoeg vrees ik. We staan hier overigens niet alleen in. Het NCSC werkt nauw samen met onder meer de ministeries van Buitenlandse Zaken en Economische Zaken & Klimaat en de NCTV.”
Op welke manier werkt het NCSC internationaal samen?
Angela: “Ik houd me fulltime bezig met internationale samenwerking op operationeel gebied. Het NCSC zit in een aantal internationale netwerken, zoals Csirts, het International Watch en Warning Network (IWWN) en de European Government Group (EGG). Die zijn allemaal anders van karakter en samenstelling. Dat zorgt voor een andere manier van samenwerken en een ander niveau van vertrouwen. Naast operationele samenwerkingsverbanden, bestaan er ook een aantal meer tactisch-strategische netwerken waar Jurriën onderdeel van is. Via hem komt er ook informatie mijn kant op. Zo kan ik de brug slaan tussen het operationele en het tactisch-strategische deel van de organisatie, want die twee kunnen niet zonder elkaar functioneren.”
Jurriën: “Internationale samenwerking is een kwestie van halen en brengen. Dat geldt ook voor het cyberdomein. Een van mijn taken is om te onderzoeken wat we elders kunnen halen om de cyberweerbaarheid van Nederland op een hoger plan te tillen. De kunst daarbij is een goede vertaalslag maken: ieder land heeft andere middelen en werkwijzen. In de VS hebben ze bijvoorbeeld vaak een batterij mensen aan het werk, terwijl wij het hier met een handvol moeten doen. Hoe pas je hun methoden dan toch doelmatig toe in onze context? Daar zit de crux.”
Angela: “Nederland is goed in coordinated vulnerability disclosure. Volgens de NIS 2 richtlijn, is het inrichten van een proces om kwetsbaarheden te melden voor EU-lidstaten binnenkort verplicht. Veel landen hebben dit proces nog niet ingericht en vragen ons om advies. Voor expertise over host based sensors en monitoring van kwetsbaarheden kloppen wij weer bij bepaalde partners aan. Zo speelt ieder zijn eigen rol en helpen we elkaar de cyberweerbaarheid te verbeteren.”
Jurriën: “Die wederkerigheid is belangrijk. Nederland heeft best veel om trots op te zijn en dat mogen we best meer uitdragen. In Nederland is er bijvoorbeeld sprake van een oprechte, hechte samenwerking met de private sector. Dat zie je in geen ander land ter wereld. We merkten dat bijvoorbeeld toen de Nederlandse tak van een internationaal bedrijf incidenten met ons deelde. Dat is hier vrij normaal, maar in het thuisland blijkbaar nog niet, want ze werden in eerste instantie teruggefloten door het moederbedrijf. Bepalend voor het succes van die publiek-private samenwerking is vertrouwen en een breed gedragen gevoel van gemeenschappelijke verantwoordelijkheid. We krijgen wel eens kritiek dat ons stelsel zo versnipperd is, en dat is deels terecht, maar we weten elkaar wel te vinden als het moet.”
Wat zou er gebeuren als jullie je werk niet zouden kunnen doen?
Angela: “In eerste instantie gebeurt er niet veel. De banden die ik mede onderhoud, lopen ook via collega’s van operationeel. Maar zij hebben de handen vol aan wat er nationaal gebeurt. Om internationale netwerken goed te kunnen onderhouden, heb je iemand dedicated nodig die informatie uit verschillende bronnen kan koppelen. Dus uiteindelijk zou het grote impact hebben: onze informatiepositie verzwakt en internationaal worden minder zichtbaar. Nu pakken we vaker dan voorheen het podium en nemen we initiatief. En dat heeft positieve gevolgen. We zijn dit jaar bijvoorbeeld unaniem verkozen tot voorzitter van de IWWN. Aan het begin van de Oekraïne-crisis hebben we in dat verband wekelijkse calls gehost, zodat leden hun nationale beeld konden delen. Dat bleek waardevol en dat we zoiets kunnen initiëren, komt doordat ik er fulltime op zit.”
Jurriën: “Op korte termijn zullen er geen doden vallen, maar als we niet investeren in internationaal daalt onze cyberweerbaarheid. Dan vernauwt onze blik tot een nationaal niveau en zullen we het wiel steeds opnieuw moeten uitvinden. Daarnaast mis je invloed in onder meer de Europese Unie. Bij de ontwikkeling van de nieuwe Europese richtlijn rondom cybersecurity, NIS 2, hebben we actief gelobbyd om het delen van IP-adressen buiten de EU onder strikte voorwaarden mogelijk te maken. Zo kunnen we partners buiten Europa waarschuwen en beter helpen door meer relevante indicators of compromise te delen. Het heeft flink wat inspanning gekost, maar ik denk oprecht dat het de internationale samenwerking en daarmee onze eigen cyberweerbaarheid ten goede komt.”
Angela: “Log4j was voor mij de eerste crisis waar internationale samenwerking zo duidelijk van belang was. Mijn operationele collega’s hebben toen via GitHub een lijst met kwetsbare software bijgehouden. We waren niet de enige die een lijst bijhield. Als team internationaal hebben we meteen aan de bel getrokken bij internationale partners en gevraagd om te synchroniseren of samen te gaan. We wilden een centrale lijst, een single point of truth. Uiteindelijk hadden we wereldwijd de meest complete lijst, maar dat heeft wel wat voeten in aarde gehad. Andere landen willen natuurlijk ook voorop lopen en dan zie je hoe binnenlandse politiek een steeds grotere rol speelt in het cyberdomein. Er is inmiddels een serie meetings gepland met partners om in de toekomst operationeel beter samen te werken. Dat is een mooie opbrengst van deze crisis.”
Jurrien: “Ons werk is ook van belang voor de capaciteitsopbouw in landen die op gebied van cyberweerbaarheid minder ontwikkeld zijn. Samen met het ministerie van Buitenlandse Zaken werken we aan de opbouw van een poule van experts en trainers die we kunnen koppelen aan specifieke vragen uit onder meer landen op de Balkan, in Afrika en Azië. Door middel van training, advies en coaching helpen we hen om kennis en structuren op gebied van cyber naar een hoger plan te brengen.”
Welke trends en ontwikkelingen zien jullie in jullie vakgebied?
Angela: “Met vooruitgang van technologie zie je ook verandering van aanvalstechnieken. Ik ben benieuwd waar dat heen gaat. Het is belangrijk dat de NCSC hier grip op houdt en de ontwikkelingen een stap voor blijft. Daar zijn collega’s druk mee bezig. Ik verwacht dat het veld nog verder gepolitiseerd raakt. Cyber wordt nu al gebruikt in geopolitieke situaties en conflicten, maar ik denk dat het nog meer ingezet wordt als militair middel. Dan krijgt het een andere dimensie. Het vraagt bijvoorbeeld om nog meer samenwerking met defensie.”
Jurriën: “Met de oorlog in Oekraïne is er geopolitiek een interessante fase aangebroken. Hoe gaat Rusland zich opstellen en wat betekent dat voor de positie van China? Trekken ze zich nog iets aan van internationale cybernormen en -waarden of gaan ze hun eigen weg? China heeft in december per wet vastgelegd dat alle kwetsbaarheden die Chinese bedrijven en hackers vinden exclusief met de overheid gedeeld moeten worden. Ali Baba heeft inmiddels een boete gekregen, omdat ze de Log4j-kwetsbaarheden wereldkundig hebben gemaakt. De zogenaamde Chinese firewall kan op belangstelling van andere landen rekenen. Het is aan ons om daar tegenwicht aan te bieden en te zorgen dat landen onze visie op cyber overnemen: die van een vrij en open internet. De capaciteitsopbouw die ik eerder noemde is daarin een belangrijk instrument. Samen met partners over de hele wereld werken we daar hard aan. Ik geloof namelijk dat de wereld beter af is met openheid en samenwerking in het cyberdomein.”