Vrijwel geen dag ging er voorbij zonder incident sinds minister Opstelten het NCSC officieel opende, zegt Wil van Gemert, directeur Cyber Security van de Nationaal Coördinator Terrorismebestrijding en Veiligheid en verantwoordelijk voor het NCSC.

Een 17-jarige jongen hackt in januari 2012 de systemen van KPN. Een maand later verschijnen de gegevens van 500 klanten op internet. Het telecombedrijf blokkeert 24 uur lang de e-mailtoegang van 2 miljoen klanten. De schade voor KPN is aanzienlijk.

Een serie storingen in het verkeersleidingsysteem van ProRail noopt de NS ertoe op 22 maart het treinverkeer stil te leggen. Een groot deel van de Randstad ligt plat.

Hackers plaatsen diezelfde maand kwaadaardige software op nu.nl. Ze besmetten daarmee naar schatting 100.000 computers van bezoekers van de populaire nieuwssite.

Een brand zorgt er in april voor dat de airconditioning uitvalt bij Vodafone. De netwerkapparatuur raakt oververhit. Miljoenen mensen in de Randstad kunnen niet meer mobiel bellen, sms’en of internetten.

Het is slechts een greep uit de incidenten die het NCSC, als de spreekwoordelijke spin in het cyberweb, op zijn bord krijgt. Van Gemert: „Het zijn de techneuten achter grote schermen die het hart van ons centrum vormen. Ze herkennen en beoordelen dreigingen. Analyseren de risico’s. Coördineren de aanpak van incidenten. Onze mensen houden alles in de gaten, twaalf uur per dag. En als ze gaan slapen, waken collega’s in Australië verder.”

Het NCSC geeft dagelijks beveiligingsadviezen aan bedrijven en burgers. Medewerkers schrijven trendrapporten over nieuwe ontwikkelingen, organiseren oefeningen en lanceren publiekscampagnes voor meer digitale bewustwording.

Niet dat pas vorig jaar het licht aan ging. Met de organisatie Govcert.nl werkte de overheid al tien jaar lang aan informatiebeveiliging en streed zij tegen digitale criminaliteit. Maar cyberdreiging is niet langer alleen een probleem van het Rijk en dus wilde Den Haag een breder platform.

Het NCSC maakte een snelle ontwikkeling door en groeide het afgelopen jaar uit tot een nationaal kenniscentrum. „We werken samen met politie en justitie, maar bijvoorbeeld ook met wetenschappers en internetproviders. Vroeger waren opsporing en handhaving het domein van de overheid, nu is er een breed netwerk van private beveiligingsbedrijven en ethische hackers bij gekomen.”

Loopt de overheid zo niet het risico de regie te verliezen? „Nee. Er is een goede relatie tussen alle partners binnen het NCSC. Natuurlijk zijn er verschillende interpretaties. Maar onafhankelijkheid is belangrijk. Een samenwerking met bijvoorbeeld Microsoft betekent niet dat het bedrijf een andere behandeling krijgt. Maar die samenwerking leidt wel tot een effectievere aanpak van dreigingen.”

En dat is nodig, zeker omdat de complexiteit van ict steeds verder toeneemt. „Om de Eagle in 1969 op de maan te laten landen waren 7500 regels programmeercode nodig. Een gemiddelde smartphone bevat nu 12 miljoen regels code. De toegenomen complexiteit van software, systemen en apparaten zorgt voor nieuwe kwetsbaarheden. Die kunnen we alleen het hoofd bieden door brede samenwerking.”

Dat Nederland kwetsbaar is, is voor de AIVD-veteraan zonneklaar. „Van de Nederlandse huishoudens heeft 94 procent toegang tot het web. Er is geen land waar mensen zo veel internetbankieren als Nederland. Bij Amsterdam ligt een van de grootste internetknooppunten ter wereld. Veel gebruik betekent een hoog risico.”

Tegelijkertijd zijn we steeds beter beveiligd, stelt Van Gemert. „In Europa behoren we tot de koplopers als het gaat om aandacht voor digitale veiligheid. Maar de bewustwording moet beter. Mensen realiseren zich onvoldoende de enorme verwevenheid met ict.

Het is volstrekt normaal dat de overheid bij sneeuw zorgt voor bestrooide wegen. Burgers rijden voorzichtig, iedereen houdt rekening met de omstandigheden. Zo’n heldere rolverdeling is er op het wereldwijde web niet: de overheid beheert immers niet de digitale infrastructuur. Die is in handen van bedrijven.”

Mensen zijn in grote mate afhankelijk van computers en internet. Daarbij gaat functionaliteit te vaak boven veiligheid. Van Gemert: „Kwetsbaarheden zijn weliswaar eerder bekend, maar worden ook sneller misbruikt. Fabrikanten hebben vanwege de complexiteit van hun software meer tijd nodig om problemen te herstellen.”

Die grote afhankelijkheid van informatietechnologie is een van de grootste dreigingen die het NCSC signaleert in zijn jaarlijkse trendrapporten. Uitval van belangrijke systemen kan ontwrichtend werken, zo veel is wel duidelijk na de incidenten bij Vodafone en ProRail.

Maar dat is niet het enige. Zorgen zijn er ook en vooral over cybercriminelen die zich online steeds beter organiseren. En opvallend: de dreiging van andere landen neemt toe.

Daarbij gaat het vooral om digitale spionage. Zo zijn aanvallen bekend op Nederlandse bedrijven in onder meer de petrochemische industrie. Wie er achter de hacks zitten, is onduidelijk. Al gaat de verdenking al snel richting landen zoals China.

Een van de grote problemen waar het NCSC tegenaan loopt is dat cyberdreiging niet stopt bij de landsgrenzen. Dat maakt het aanpakken van buitenlandse hackers juridisch lastig. Toch zijn er ook daar de afgelopen jaren slagen gemaakt, zegt Van Gemert. „Er is Europese wetgeving in de maak die hier meer rekening mee houdt. Vanuit politie en justitie zijn er goede contacten met buitenlandse opsporingsdiensten. Het NCSC heeft lijnen met meer dan 250 crisisresponsteams wereldwijd. Zo kunnen we toch effectief opereren tegen buitenlandse dreiging.”

Dat de grenzen voortdurend schuiven blijkt ook uit de recent door het NCSC gepubliceerde richtlijn voor ‘ethisch’ hacken. Die biedt goedwillende hackers handvatten voor het melden van zwakke plekken in systemen, zonder dat ze bang hoeven te zijn om als crimineel te worden bestempeld.

Het leverde het centrum de nodige kritiek op, zowel van de hackergemeenschap waarvoor de regels nog niet ver genoeg gaan, als van degenen die elke vorm van hacken afwijzen. Van Gemert: „We willen ruimte om kwetsbaarheden te melden, maar hacken is niet vrijblijvend.”

Na één jaar NCSC ziet de cyberdirecteur het aantal incidenten eerder toe- dan afnemen. „Informatietechnologie is overal. Dat vraagt grote defensieve inspanningen, van iedereen. Als je veilig wilt zijn, is opsporing echter de laatste stap. Het begint met bewustwording, want de mens is nog altijd de zwakste schakel.

Het zou jammer zijn als het alleen gaat over dreigingen; kijk naar de voordelen die informatietechnologie ons biedt. In potentie is iedereen op de wereld bereikbaar. Met ict kunnen we de wereld veranderen, verbéteren. En de Nederlandse aanpak van digitale beveiliging kan maar zo een exportproduct worden.”

Dit is het eerste deel van een tweeluik. Woensdag in puntkomma een interview met een ”ethische” hacker.

Wat is het NCSC?

Het Nationaal Cyber Security Centrum is op 12 januari 2012 geopend en zetelt in Den Haag. Het centrum waakt over de digitale veiligheid –ofwel cyber security– van de overheid en vitale sectoren zoals energie- en drinkwatervoorziening, gezondheidszorg en financiële infrastructuur.

Het NCSC is meldpunt voor dreigingen en incidenten en coördineert de aanpak in het geval van crisissituaties. Daarnaast biedt het kennis en advies op het gebied van digitale veiligheid en werkt het aan bewustwording en preventie voor burgers, bedrijven en overheidsorganisaties.

De Nationaal Coördinator Terrorismebestrijding en Veiligheid van het ministerie van Veiligheid en Justitie is verantwoordelijk voor het centrum.