Sinds november 2014 is hij hoofd van het Nationaal Cyber Security Centrum (NCSC): Hans de Vries. We praten met hem over het NCSC en zijn visie op cybersecurity. Waar staat Nederland, en wat zijn de grootste bedreigingen?
Leestijd: +/- 3,5 minuten
Na een carrière in het bedrijfsleven bij onder andere Vroom & Dreesmann en als hoofd ICT-Beheer bij het ministerie van BZK, was het Nationaal Cyber Security Centrum voor Hans de Vries een logische volgende stap. “Met mijn rechtenachtergrond en veelzijdige ICT-kennis is deze functie een hele mooie koppeling van al die verschillende facetten. Van nationale belangen, het internationale spel tot IT en het belang van publiek-private samenwerking. Het zit in mijn bloed.”
>> Lees ook 3x cyber: cybercrime, cybersecurity en cybersloomheid
>> Lees ook Iedereen wordt ooit slachtoffer van cybercrime
Wat zijn de hoofdactiviteiten van het NCSC?
“Onze organisatie is de Nederlandse CERT, een Computer Emergency Response Team. We staan 24/7 paraat om signalen, die leven bij bedrijven, te adresseren en te constateren of er iets vreemds aan de hand is; ICT-inbreuken in de vitale infrastructuur, die maatschappelijke onrust kunnen veroorzaken. Vindt zo’n incident plaats, dan klopt de betreffende partij bij ons aan. Niet vanuit de rol dat wij toezichthouder zijn, want die rol hebben we niet. Maar wel een helpende rol. Stel een partij belt ons omdat zij te maken hebben met een DDoS-aanval. We helpen niet om die DDoS te mitigeren. Dat is de verantwoordelijkheid van het bedrijf zelf. Wel kunnen wij zien of in bredere context ook niet partij B, C enzovoorts worden aangevallen. Is er iets anders aan de hand? Let wel, cybersecurity is overal cruciaal. ICT is overal, zichtbaar en onzichtbaar. Binnen de vitale sectoren zien we dat nadrukkelijk. Neem de grote stroomuitval in Noord-Holland van eerder dit jaar als voorbeeld. Een dergelijk incident veroorzaakt een domino-effect. Na vele uren zonder stroom vallen ook de telecomlijnen uit met alle gevolgen van dien.”
Hans de Vries vervolgt dat het NCSC Nederland helpt ‘klaar’ te zijn voor het geval er een ICT-crisis plaats vindt. “De crisismanagementstructuur en de voorbereiding daarop is essentieel. Daarom ook dat wij vooraf veel met partijen praten. Hoe zijn zaken georganiseerd? Ontstaat er dan toch een crisis, dan kunnen we snel en effectief handelen.”
De crisismanagementstructuur en de voorbereiding is essentieel
Wat versta je onder een ICT-crisis?
“Een ICT-crisis kan ontstaan als er een ontwrichtende verstoring of uitval optreedt in de ICT-systemen. Met wellicht grote effecten buiten de eigen organisatie. Bedrijven informeren ons als er een dergelijke crisis optreedt of dreigt op te treden. De rol van het NCSC is dan heel concreet: adviseren en partners informeren, 24/7. Dus zorgen voor verbinding. Ik heb het dan over met name de relatie met de vitale bedrijven en de Rijksoverheid. Door de focus op deze partijen hebben we invloed op heel Nederland. Iedereen maakt gebruik van vitale structuren.”
Dus het NCSC kijkt naar het effect van een calamiteit?
“Inderdaad. We nemen de verantwoordelijkheid niet over, maar laten die waar die hoort, namelijk bij het bedrijf of de instantie. Maar we laten het andere niet. Is er een incident en een partij vraagt om mee te denken, dan helpen we. Daarnaast brengt het NCSC regelmatig veiligheidsadviezen uit, deze zijn voor een ieder te raadplegen via www.ncsc.nl.”
Cyber Security Beeld Nederland
Gevraagd naar de grootste bedreigingen van dit moment verwijst Hans de Vries naar het Cyber Security Beeld Nederland (CSBN)-5 dat in oktober jl. is uitgekomen. Het CSBN geeft inzicht in de trends en dreigingen op het gebied van cybersecurity en maakt daarbij onderscheid tussen verschillende vormen van dreigingen. Voor de ontwikkeling van het CSBN zijn inzichten gebundeld, waarover AIVD, MIVD, KLPD, NCTV en NCSC op basis van hun taak beschikken, aangevuld met de kennis die met hen is gedeeld door de private partijen met wie zij samenwerken.
Cryptoware en Ransomware
‘Gijzelvirussen’ die computerbestanden versleutelen die daarna niet meer te openen zijn, tenzij je ervoor betaalt – blijken bij uitstek de cybercriminele businessmodellen te zijn. Partijen willen hierop reageren. Maar het is slimmer om dat niet te doen. Betalen ze, dan is het nog niet zeker dat ze bestanden terug krijgen.
Phishing
Internetfraude die bestaat uit het lokken naar een valse site die een kopie is van een echte, met als doel inloggegevens boven water te krijgen. Phishing is door de gebruiker nauwelijks te herkennen. Dus is het van belang phishing moeilijker te maken, bijvoorbeeld door het gebruik van bepaalde standaarden.
De Vries: “Maar ook de geopolitieke spanningen vormen een bedreiging. Daarnaast wijzen we in het CSBN op het feit dat alternatieven voor ICT-systemen wegvallen en de afhankelijkheid ervan groter wordt. En tot slot zien we dat software nog steeds veel fouten bevat met alle risico’s van dien. De secure software development, beter gestructureerde software, is één van de startpunten om cybersecurity te verbeteren.”
Afhankelijkheid van ICT wordt steeds groter. Is dat niet ‘eng’?
“Natuurlijk is het een risico, maar ik zie die afhankelijkheid ook als een kans om alles goed georganiseerd te krijgen. En om als exportmiddel te gebruiken. In april jl. hebben we de Global Conference of CyberSpace gehad. Volgend jaar zijn we Europees voorzitter. Internationaal worden we als ‘gidsland’ gezien. Kijk naar hoe wij omgaan met responsible disclosure, het gezamenlijk openbaar maken van ICT-kwetsbaarheden op basis van een vastgesteld beleid. We praten met ethical hackers. Hoe kunnen we situaties verbeteren? Vele landen kijken naar onze leidraad om deze vervolgens naar hun situatie te vertalen. Daar mogen we als Nederland best trots op zijn.”
Internationaal worden we als gidsland gezien
Hoe hebben we dat voor elkaar gekregen?
“Nederland beschikt over veel creatieve geesten. Het succes ligt ook in de goede publiek-privaat samenwerking, wat essentieel is om ons weerbaar te maken en te houden tegen cybersecurity dreigingen. In andere landen zien we soms dat daar de overheid alleen gewend is om opdrachten te geven. Een goed en gelijk gesprek is dan niet mogelijk. Wij echter waarderen kennis en ervaringen van genoemde partijen en andersom. Samen zorgen we er voor dat het beter gaat. Als voorbeeld, het NCSC kent liaisons, mensen die vanuit vitale, publieke en private partijen bij ons in huis zitten ten behoeve van een nog betere samenwerking. Een samenwerking gebaseerd op vertrouwen. Meldt een partij een incident, dan weten zij dat wij een inschatting kunnen maken voor welke andere sectoren het incident relevant is. Dit om de BV Nederland te beschermen. PPS – of Publiek Private Participatie om het steviger te zeggen – zie ik daarom als een randvoorwaarde. Juist in het digitale domein heeft niemand het kennismonopolie. Dat betekent dat we door het delen van informatie en kennis samen tot een beter beeld kunnen komen, wat de dreigingen zijn en hoe we ons daar weerbaar tegen maken.”
Vertrouwen, samenwerking, communicatie, deze begrippen liggen altijd aan de basis van succes.
“Klopt. Ook cybersecurity is mensenwerk. Dat vergeet ‘de gewone mens’ wel eens. En ook dat cybersecurity van ons allen is. We kunnen allemaal last hebben van een cyberaanval. Vandaag overkomt het bank A, morgen bank B, enzovoorts. Dus moeten we cybersecurity samen oppakken en elkaar er vooral niet op beconcurreren. Gelukkig dringt dat besef steeds meer door.”
Dit artikel verscheen in Security Management 11/ 2015