In 2001 valt een hacker een rioolwaterzuiveringsinstallatie aan in Queensland, Australië. Hij laat miljoenen liters rioolwater overstromen in lokale parken en rivieren.

In 2008 slaagt een 14-jarige hacker erin om voor de lol het tramsysteem in het Poolse Lodz te hacken, waardoor de trams ontsporen. Vier trams crashen en tientallen passagiers raken gewond. Wonder boven wonder weet iedereen het ongeluk te overleven.

In 2011 slagen waarschijnlijk Russische hackers erin om een waterzuiveringsinstallatie in het Amerikaanse Houston te vernielen.

Ook de energie-infrastructuur blijkt kwetsbaar. Zo wordt eind 2015 een energiecentrale in Oekraïne gehackt waardoor 80.000 mensen het zonder elektriciteit moeten stellen. Eerder al vonden er meerdere aanvallen plaats op het energienetwerk in Rio de Janeiro, waarbij maar liefst 3 miljoen mensen zonder elektriciteit kwamen te zitten.

Vorig weekend vond volgens Europol de grootste cyberaanval ooit plaats. Wereldwijd werden ziekenhuizen, bedrijven, overheden en andere organisaties gegijzeld door Wannacry. De aanval was letterlijk levensgevaarlijk: bij verschillende ziekenhuizen werd de spoedeisende hulp gesloten. Sommige kankerpatiënten konden geen chemokuur krijgen omdat dokters hun gegevens niet konden inzien. Ook telecommunicatiebedrijven, spoorsystemen en universiteiten werden de dupe. Nissan en Renault moesten hun fabrieken tijdelijk stilleggen.

Digitale wapens

Dat criminelen met succes onze vitale infrastructuur kunnen aanvallen, laat zien dat het belang van cyberveiligheid zwaar wordt onderschat. ICT wordt overal voor gebruikt. Als in Nederland door een succesvolle aanval de stroom uitvalt, hebben we een enorm probleem. Hackers kunnen ook dreigen met het openzetten van alle sluizen of met het platleggen van overheidsorganisaties.

De overheid moet nu snel aan de slag om ons te beschermen tegen zulke digitale wapens.

Inlichtingen- en veiligheidsdiensten over de hele wereld zoeken onder het mom van terrorismedreiging gaten in de beveiliging van software.

Door deze achterdeurtjes niet dicht te doen, maar stiekem te blijven gebruiken, worden we echter juist allemaal onveiliger. Want niet alleen de overheid kan door die achterdeur naar binnen. Ook cybercriminelen weten de toegang te vinden. En dat is precies wat er afgelopen week is gebeurd.

Internetcriminelen vielen ons aan met beveiligingslekken die nota bene de Amerikaanse veiligheidsdienst NSA zelf hadden verzameld. De criminelen wisten deze informatie van de NSA te stelen om vervolgens te gebruiken voor een aanval.

Iedereen roept nu dat bedrijven en overheden hun software sneller moeten updaten en dat er meer geïnvesteerd moet worden in cybersecurity. Daar ben ik het van harte mee eens. Maar er is ook een fundamentelere discussie nodig.

Hackwet

Recent heeft de Tweede Kamer twee wetten behandeld waarin die discussie ligt verankerd. Het gaat om de ‘hackwet’ (Wet computercriminaliteit III) en de Wet op de inlichtingen- en veiligheidsdiensten (Wiv).

D66 heeft toen met talloze voorbeelden en argumenten geprobeerd de Tweede Kamer en het kabinet ervan te overtuigen dat het gebruik van onbekende veiligheidslekken, en het opsparen daarvan, gevolgen heeft voor onze samenleving, onze economie en vooral onze veiligheid. En dat we dus niet zomaar onder het mom van criminaliteitsbestrijding de computers, telefoons, en andere apparaten met een internetaansluiting potentieel onveilig zouden moeten houden.

Politie en AIVD zouden juist alles op alles moeten zetten om gaten in de beveiliging van onze iPhones en energiecentrales te dichten in plaats van ze open te houden. Hier werd laconiek en haast lacherig op gereageerd door voorstanders als CDA, VVD en PvdA. Maar inmiddels is duidelijk dat deze partijen en het huidige kabinet de gevolgen op de cyberveiligheid zwaar hebben onderschat.

Wat nu?

Onlangs heeft de toezichthouder op de AIVD en de MIVD (CTIVD) gewaarschuwd dat het de diensten niet kan controleren op het beleid rondom het gebruik van onbekende veiligheidslekken. D66 vindt dat hier snel werk van gemaakt moet worden. Het moet duidelijk zijn wanneer een gevonden kwetsbaarheid gemeld moet worden aan de maker zodat het gat in de beveiliging kan worden gedicht.

De ‘hackwet’ en de Wiv moeten nog in de Eerste Kamer behandeld worden. De gebeurtenissen van afgelopen weekend leiden daar hopelijk tot een fundamentele discussie over de maatschappelijke risico’s van het opsparen van beveiligingsgaten (”zero days”) en het inkopen van hacksoftware door de politie. Hoe dan ook moet het kabinet hier internationaal mee aan de slag gaan. Met als doel een Wannacry 2.0 te voorkomen.

Laat dit de digitale watersnoodramp zijn die leidt tot een deltaplan cybersecurity. D66 heeft hier in februari een voorstel voor gedaan. Met digitale vaardigheden op scholen, meer cyberrechercheurs, eisen aan softwareveiligheid, doorlichting van vitale overheidssystemen en meer onderzoek naar cyberveiligheid. Zo kunnen we het internet voor iedereen veiliger maken. Dat dit hard nodig is, moge inmiddels duidelijk zijn. Niet alleen in de ICT-gemeenschap, maar ook in de politiek.

De auteur is Tweede Kamerlid voor D66 en IT-politicus van het Jaar 2016.