Voormalig MIVD-directeur Pieter Cobelens heeft in zijn carrière computertechnologie tot volle wasdom zien komen en de trend gevolgd van fysieke techniek naar de digitale wereld, van fysieke wapens naar offensive cyber, waarmee cybersecurity gelijke tred hield. Als strategisch adviseur draagt Cobelens bij aan de totstandkoming van de HUB-defensie, een omgeving voor veilige Nederlandse dataopslag: “We zijn het verplicht om onze belangen te verdedigen en om een zo veilig mogelijke cyberomgeving te creëren. Zo voorkomen we dat kwaadwillenden onze maatschappij ontwrichten.”
tekst Menno Jelgersma
In de eerste jaren van deze eeuw werd al snel duidelijk dat computertechnologie niet alleen handig was, maar ook een snelle evolutie doormaakte naar cybertechnologie, “een volwassen trede hoger op de escalatieladder”, zoals Cobelens het omschrijft: “Het werd gewoon een wapen.” Aanvankelijk ging het nog om computers en computerbeveiliging die betrekking had op de bescherming van fysieke computers en andere apparaten inclusief het correct updaten en patchen van deze systemen. Dit groeide door naar cyberbeveiliging die al deze activiteiten kan omvatten door de bescherming van gegevens die zijn opgeslagen in netwerken en op computers, printers en meer.
Waarom zou ik mijn vijand doodmaken als ik hem zijn identiteit kan ontnemen
Cyberbeveiliging beschermt alles wat digitaal met elkaar is verbonden. “Waarom zou ik mijn vijand doodmaken als ik hem zijn identiteit kan ontnemen en zijn bankrekening kan leegmaken; dan ben ik er ook.” Vanaf dat moment was cybertechnologie een steeds geavanceerder wapen. Cobelens is eigenlijk al vanaf die tijd bezig om Nederland veiliger te maken, hoewel hij zich ook weer geen illusies maakt. “We zijn er nog lang niet.” Om een analogie met vroeger te maken: “De Koude Oorlog is er nu op het gebied van cyber. Je kunt allerlei veiligheidsmaatregelen nemen, terwijl de vijand er alles aan doet om dat weer om te draaien met tegenmaatregelen.”
Voorop lopen en niet in paniek raken
Tot zover niets nieuws onder de zon. Wachten we dan alleen af tot we weer aangevallen worden? “Zo zou het zijn als je alleen reactief bent, maar ik ben een groot voorstander van offensive cyber. Dat klinkt heel agressief, maar als je als Nederland 900 miljard per jaar omzet hebt en in het bezit bent van de grootste digitale stekkerdoos ter wereld, dan zijn we het aan onze stand verplicht om een zo veilig mogelijke cyberomgeving te creëren. Als je dat doet, moet je vooroplopen met veiligheid en moet je niet in paniek reageren op een aanval die als je hem hebt afgeslagen, nooit meer terugkomt.” Wil je voor de boeggolf uit willen komen dan moet je volgens Cobelens offensieve cybercapaciteit ontwikkelen. “Je moet als land zelf de wapens ontwikkelen, deze in een virtueel doosje stoppen, jezelf ertegen beveiligen en gebruiken wanneer dat nodig is.”
Inmiddels doet de overheid dat met het Defensie Cyber Commando (DCC). Het DCC is een onderdeel van de Nederlandse krijgsmacht dat verantwoordelijk is voor de integratie van operationele cyberoperaties in militaire operaties. De oprichting van het DCC vloeide voort uit de Defensie Cyberstrategie uit 2012, waarin onder meer werd bepaald dat de Nederlandse krijgsmacht in staat moet worden gesteld om zelf cyberoperaties uit te voeren.
Criminele organisaties kunnen in vredestijd gewoon hun gang gaan
Reageren op cyberaanvallen in vredestijd
Op zich beschikt Nederland daarmee over voldoende capaciteit om zich te verdedigen tegen cyberaanvallen, maar Cobelens plaatst twee kanttekeningen. “Als je geen vijand hebt, hoef je de dienst niet in te zetten en als je niet in oorlog bent, mag je de dienst niet inzetten.” Dat betekent dat criminele organisaties in vredestijd gewoon hun gang kunnen gaan. “Ik maak me er sterk voor, en stel dat ook voor in gesprekken met de overheid, dat we in vredestijd in overleg met de drie veiligheidsministeries, Binnenlandse Zaken, Justitie en Veiligheid en Defensie, mogen reageren op aanvallen van criminele organisaties en wat mij betreft hun computers in vlammen op laten gaan. Het kan mij niet agressief genoeg zijn.”
Privacyregels bemoeilijkeng criminaliteitsbestrijding
De tweede kanttekening betreft privacy. “We hebben ons als westers land enorm beperkt door veel te veel de nadruk te leggen op privacy, wat in aansluiting op het Oude en Nieuwe Testament een nieuwe aanvulling op de Bijbel lijkt te zijn geworden, terwijl privacy allang niet meer bestaat.” Cobelens vindt het aperte nonsens dat we dermate ingewikkelde privacyregels maken dat zowel de criminaliteitsbestrijding als de verdediging tegen aanvallen op ons land bemoeilijkt worden. “De VS, het Verenigd Koninkrijk en Frankrijk zijn bondgenoten, maar die hebben minder moeite om voor hun belangen op te komen en schuwen bovendien niet om in onze files te kijken.” Dat heeft voor een deel ook te maken met het feit dat ze over kernwapens beschikken en de vijand vóór willen blijven. Ze zijn bereid daarvoor agressievere maatregelen te nemen.
Profiel Pieter Cobelens
Pieter Cobelens kwam in 1971 op de Koninklijke Militaire Academie terecht en startte in 1976 als tweede luitenant zijn carrière. Vijftien jaar lang zou hij in Duitsland als officier gelegerd blijven bij de Groep Geleide Wapens, een onderdeel van de raketgordel die reikte van Noord-Noorwegen tot Turkije om ‘de Russen tegen te houden’. Het was volop Koude Oorlog-tijd.
Na afronding van de hogere krijgsschool werd Cobelens generaal. Hij volgde een studie bestuurskunde en ging in 2006 aan de slag als directeur van de Militaire Inlichtingen- en Veiligheidsdienst met als taak om de MIVD op hetzelfde niveau te brengen als de operationele eenheden van Defensie. Hij kreeg het voor elkaar om in vijf jaar tijd de MIVD in de top vijf van de NAVO-landen te positioneren en daarmee Nederland een internationale speler van belang te maken op het gebied van de inlichtingendiensten.
Tijdens die vijf jaar is het onderdeel cybersecurity een volwassen onderdeel van de inlichtingendienst geworden en werd de eerste cyberstrategie van Nederland uitgerold. Uit dit onderdeel is onder andere het Nationaal Cyber Security Centrum (NCSC) ontstaan. Cobelens’ interesse in cyber is er altijd geweest. Als jonge luitenant hield hij zich al bezig met ‘computers’ bij de geleidewapensystemen. Cobelens: “Dat waren de Radio Shack-computers en dat was in die tijd allemaal high tech waarmee we al veel informatie op een scherm wisten te krijgen en informatie konden koppelen of aanpassen. Moest je vroeger twaalf maatregelen uit je hoofd leren, nu kon dat allemaal automatisch. Toen we overschakelden van Nike- op Patriot-raketten was dat nog eens een enorme sprong voorwaarts op technologisch gebied en dat had ook gevolgen voor de computers. Hadden de bijbehorende Nike-computers nog de omvang van een flinke kast, de Patriots deden het met computers met het volume van een schoenendoos.”
In 2011 ging Cobelens met pensioen. Sinds die tijd is hij actief als strategisch adviseur voor verscheidene organisaties, waaronder Hitachi Vantara APAC, Restment Veiligheid en Integriteit, Q-TC Nederland B.V., SOBA Security Opleidingen en recentelijk bij ITsPeople, dat zich onder andere richt op complexe ICT-transformaties.
Nationale dataopslag
Cobelens is voorstander van een nationale dataopslag. Wanneer je dat op orde hebt, kan je daar ook vitale economische belangen en de vitale infrastructuur onderbrengen. Vitale economische belangen hebben bijvoorbeeld betrekking op innovaties. “Maar bedrijven deinzen er anderzijds niet voor terug om diezelfde innovaties in lagelonenlanden te laten produceren”, relativeert hij.
We zijn een verwend volk
“Veiligheid wordt van de daken getoeterd en ook privacy wordt verschrikkelijk belangrijk gevonden door mensen die er zelf niet veel verstand van hebben en die het hiermee zelf niet zo nauw nemen.” Het vertrouwen in de overheid staat onder druk, terwijl hier nog heel wat te halen valt, vindt Cobelens. “We willen wel de keuze hebben om ons niet te laten vaccineren omdat we de overheid niet vertrouwen, maar wel aanspraak maken op gezondheidszorg en een dak boven ons hoofd. We zijn een verwend volk.”
Veiliger internetgebruik
Wat doet Nederland eigenlijk om de toenemende aanvallen van ransomware en spionage tegen te gaan? “Wat betreft ransomware hebben veel bedrijven hun software niet ge-updatet of ze zijn groter geworden zonder navenant te investeren in bijpassende ICT-software en -diensten.” Het is net als met het afsluiten van een verzekering. Is de opstalverzekering weggegooid geld als je huis alweer niet is afgebrand? Het is belangrijk te kijken welke methodieken worden gebruikt om een bedrijf digitaal binnen te komen. Dat gebeurt via het individu.
> LEES OOK: Informatiebeveiliging begint aan de top
Verschillende kwetsbaarheden
Cobelens onderscheidt een paar kwetsbaarheden. “Ten eerste worden de meeste mensen aangenomen in een functie zonder dat er een goed achtergrondonderzoek heeft plaatsgevonden.” Als gevolg hiervan kan blijken dat iemand helemaal niet over de expertise beschikt zoals werd voorgedaan, of iemand die chantabel is dan wel argeloos en slordig.
Wifi thuis
De tweede makkelijke manier om binnen te komen is via de computer thuis. “Iedereen heeft wifi dus iedereen kan lezen om welk adres het gaat en meestal hebben mensen een keer een wachtwoord aangemaakt en houden dat zo.” Een oplossing kan de aanleg van optische kabels zijn vanaf het punt waar glasvezel binnenkomt naar alle kamers. Een derde probleem is het IP-adres. Data opslaan op je computer lijkt handig maar is kwetsbaar. Door gebruik te maken van cloudopslag maak je ook gebruik van professionele beveiligers van diezelfde cloud. “Als je iemand in dienst neemt, geef je die nieuwe medewerker een smartphone, een laptop en een privaat stukje in je cloud via een beveiligde lijn. Als je dat samen met achtergrondonderzoek en optische kabels in orde maakt, dan heb je het land al 70 procent veiliger gemaakt.”
> LEES OOK: AREA071 verleent toegang via de cloud
Het internet of things of internet der dingen is een gevaar voor de veiligheid in huis. “Je hebt veel speelgoed dat op wifi draait. Met technisch goed geschoold personeel kom ik makkelijk in het hart van jouw systeem, waar ik ook kan zien welke betalingen je doet en welke wachtwoorden je gebruikt. The sky is the limit.”
Ik vind het geen fijn idee dat de Amerikaanse regering gewoon bij mijn data kan
Waar slaan we onze data op? “Je kunt in een cloud zitten waarvan de servers in India staan of in de VS. In de VS zijn bedrijven volgens de Cloud Act verplicht op verzoek gegevens af te staan. Microsoft valt onder de Cloud Act. “Ik vind het geen fijn idee dat de Amerikaanse regering gewoon bij mijn data kan.” Je hebt volgens Cobelens wel een unieke sleutel van je eigen voordeur, maar niet van je data.
> LEES OOK: Zorgen over veiligheid: meerderheid heeft met internet verbonden huishoudelijke apparaten
“Eigenlijk zou je een Nederlandse cloud moeten hebben, gemaakt en beheerd door Nederlandse bedrijven en met Nederlandse versleuteling, tenminste voor de overheid en kritische infrastructuur.”
Beheer van datacenters
Komt het erop aan, dan wil je niet voor een Amerikaanse rechter tegenover Microsoft staan, of in Moskou. Een alternatief is de cloudservice van Hitachi Vantara. “Ik ben hier al geruime tijd mee in gesprek om te kijken of het mogelijk is om hun cloudomgeving te laten bekleden door Nederlandse bedrijven onder Nederlandse jurisdictie.” De overheid heeft weliswaar vier datacenters maar laat het beheer over aan Equinox, een Amerikaans bedrijf.
“We zijn bezig met een aantal partijen en het ministerie van Defensie met de oprichting van de HUB-defensie. In deze HUB kan het Nederlandse bedrijfsleven met enkele andere geselecteerde bedrijven rechtstreeks zakendoen met Defensie, zonder de weg van aanbestedingen te bewandelen. Het mag alleen gaan om onderwerpen die de nationale veiligheid betreffen. Daarmee voldoe je aan de Europese richtlijn artikel 346, die uitzonderingen toestaat.”
In eigen hand houden
Veel landen maken al gebruik van de richtlijn, Nederland amper. “Wij schrijven tenders uit waarbij andere landen dingen voor ons doen waarvan ik zeg: kan je dat niet beter in eigen hand houden?” Veilige Nederlandse dataopslag is een van de projecten die binnen de pilot worden bekeken. “Het is mijn streven om de HUB-defensie uit te breiden naar twee andere ministeries, te weten: Binnenlandse Zaken en Justitie en Veiligheid omdat daar de politie, NCTV en AIVD onder vallen, die ook te maken hebben met onderwerpen die de nationale veiligheid aangaan zodat ook zij direct met het Nederlandse bedrijfsleven zaken mogen doen.” De HUB-defensie is nu in een pilotfase en is mogelijk al vanaf 1 januari 2022 operationeel.
– Data & analytics: businessvraagstuk voor het veiligheidsdomein
– Bedrijven nemen steeds meer cybersecuritymaatregelen
– Op weg naar een volwassen cybersecurity
Volg Security Management op LinkedIn