Op donderdag 24 november organiseerde ESET in Nederland twee baanbrekende cybersecurity-talkshows. Gedurende de dag, die was opgesplitst in twee losse talkshows, gingen experts van zowel advocatenkantoren en cybersecuritybedrijven, als experts vanuit de overheid zoals veiligheidsdiensten en politici, met elkaar in gesprek of discussie rondom de thema’s ’Digitale Soevereiniteit‘ en ‘Cyberwarfare’. De talkshows zorgden voor verhelderende inzichten en wederzijds begrip, maar vooral de roep om de publiek-private samenwerking verder uit te breiden en in te zetten voor een betere digitale weerbaarheid – en daarmee ook de wens voor meer digitale soevereiniteit van Nederland en de EU - werd onderstreept door vrijwel alle aanwezigen.
Live vanuit een ecologische loods in Naarden gingen we in de ochtend tijdens de eerste Nederlandse editie van de ESET European Cybersecurity Day in gesprek met specialisten uit de publieke en private sector en bespraken het thema ‘Digitale Soevereiniteit’ en de route naar een sterk en onafhankelijk digitaal Europa. In de middag vond de tweede editie van de ESET Security Days – For Ukraine plaats, met als thema ‘Cyberwarfare’. Gedurende de dag kwam een legio aan sprekers voorbij met diverse achtergronden en specialismen. De hoofdboodschap van de dag kan samengevat worden in één zin: de oorlog in Oekraïne raakt ons allemaal, het raakt onze samenleving, onze digitale weerbaarheid en het doet ons nadenken over onze digitale (on)afhankelijkheid.
De (cyber)oorlog in Oekraïne
De dag begon met een keynote van Robert Lipovsky, Principal Threat Intelligence Researcher bij ESET. In zijn keynote kwamen diverse voorbeelden van Russische aanvallen op Oekraïne naar voren en werd ook gekeken naar de groeperingen achter deze aanvallen. Het gaf een beeld van de impact die de aanvallen als sinds 2014 hebben. Aan het begin van de middag werd dit beeld bevestigd door Victor Zohra, Senior Deputy Director bij de SSSCIP, de Oekraïense organisatie voor speciale communicatie en informatiebeveiliging. Live vanuit Oekraïne belde hij in en vertelde hij over de (lucht)aanvallen op vitale infrastructuur van Oekraïne, maar ook de successen die Oekraïne boekt in de oorlog. Hij gaf aan dat de voorbereidingen voor verdediging op digitaal vlak al sinds 2014 en zeker na NotPetya in 2017 in gang zijn gezet en dat dit een belangrijke factor is in de succesvolle digitale verdediging van Oekraïne. Volgens hem moet er gekeken worden naar vier pijlers voor een betere cyberweerbaarheid: “People, Process, Technology and Cooperation”.
Na de verbinding met Oekraïne namen Karel Burger Dirven (honorair consul van Oekraïne), Paul Ducheine (professor Cyber Warfare bij de Nederlandse Defensie Academie) en Geert Jan Hahn (Europa-correspondent bij BNR) plaats op het podium. Zij bespraken de definitie van cyberwarfare en het effect van de (cyber)oorlog op de samenleving in Oekraïne. Cyberwarfare werd omschreven als het destabiliseren van de processen, welke er ook gaande zijn, om daarvan te profiteren. Belangrijk hierbij is volgens de sprekers het verschil tussen een digitale oorlog en een digitaal conflict. Volgens Ducheine zijn vooral de ‘zachtere’ digitale acties in de oorlog in Oekraïne veel aanwezig, zoals de beïnvloedingscampagnes en memes en zijn het aantal ‘harde’ digitale confrontaties vooralsnog uitgebleven. Hij voegt eraan toe dat je in 2022 niet meer kunt leven zonder digitale componenten en dat je dus ook geen oorlog kan voeren zonder digitaal component.
Ook werd de vraag, “Wat nu?”, uitvoerig besproken op het podium door Jaya Baloo (CISO bij Avast), Ronald Prins (oprichter van Hunt&Hackett), Queeny Rajkowski (kamerlid voor de VVD) en Henrick Bos (directeur inlichtingen bij de MIVD). De weg vooruit om ons land te verdedigen, aldus de gasten op het podium, bestaat voor een groot deel uit samenwerken en informatie delen. Maar er moet ook goed gekeken worden naar waarom Oekraïne zich digitaal staande weet te houden. Volgens Ronald Prins ligt dit er onder andere aan dat er een militaire operatie gedraaid wordt om de digitale infrastructuur te beveiligen. Hiervoor zouden de inlichtingendiensten zoals de MIVD en AIVD meer inzicht moeten krijgen in de aanvallen op ons land. Er moet volgens de andere gasten wel gekeken worden naar de manier van inlichtingen. De verdedigingslinie moet structureel verbeterd worden en het mandaat van het NCSC moet overkoepelend worden. Dit mag echter niet ten koste gaan van de privacy van burgers. Volgens de sprekers zijn de inlichtingen en aftappen een complex onderwerp waarbij het van belang is om meer inzicht te krijgen om ons land goed te kunnen verdedigen, zonder een politiestaat te worden. "We vechten voor een vrije democratische rechtstaat waar we privacy waarborgen”, aldus Jaya Baloo.
Digitale weerbaarheid
Twee belangrijke onderwerpen gedurende de dag waren de nieuwe Nederlandse Cybersecurity Strategie (NLCS) en de NIS2-richtlijn. Hester Somsen lichtte de NLCS toe en ging in op de pijlers die het omvat. Olaf van Haperen van Eversheds Sutherland, Liesbeth Holterman van Cyberveilig Nederland en Hind Dekker-Abdulaziz van D66 gingen in gesprek over zowel de NLCS, de NIS2-richtlijn én de publiek-private samenwerking.
Bij beide onderwerpen kwam naar voren dat voor een verbeterde digitale weerbaarheid door de NLCS en de NIS2 vooral ook de samenwerking heel belangrijk is. Henrick Bos van de MIVD omschrijft deze samenwerking tijdens het middagprogramma, de ESET Security Days, als ‘een feestje’ en als basis om de digitale weerbaarheid in Nederland te verhogen. “Private partijen zijn goed, de overheid is goed, de vraag is hoe kun je dat samenbrengen. Cyberonderzoek is niet het primaat van de overheid, is ook niet het primaat van de private partijen. Daar kunnen we elkaar helpen.” De samenwerking die op papier bestaat (in de NLCS) kan niet snel genoeg vorm krijgen: hoe kunnen publiek en privaat samenwerken bij het verhogen van de digitale weerbaarheid binnen ieders rol? Hierbij is volgens Henrick Bos vooral respect voor elkaars taken en afbakenen belangrijk. Uiteindelijk dienen alle partijen hetzelfde doel, of lopen de individuele doelen niet ver uiteen.
Veel partijen werken al nauw samen, maar onder de NLCS zullen sommige partijen zelfs samen worden gevoegd. De nationale cybersecurity-organisaties Nationaal Cybersecurity Centrum (NCSC), het Digital Trust Center (DTC) en het Cyber Security Incident Response Team (CSIRT-DSP) worden samengevoegd tot één centraal expertisecentrum en informatieknooppunt.
NIS2
De NIS2 is in een stemming aangenomen – en ondertussen gepubliceerd - en zal medio 2024 door alle EU-lidstaten geïmplementeerd moeten zijn. De sectoren die van vitaal belang zijn voor de samenleving, zoals de zorg-, energie- en watersector, krijgen onder de NIS2 te maken met strengere vereisten om de weerbaarheid op te schroeven.
Na implementatie van de NIS2 zal er volgens de aanwezigen ook best het één en ander veranderen. Enerzijds voelt het als een richtlijn die ingevoerd wordt onder het mom van ‘als het niet goedschiks gaat dan maar kwaadschiks’ maar iedereen staat achter de richtlijn. Boardrooms worden verantwoordelijk en kunnen niet meer zeggen ‘het zal wel goed geregeld zijn’, en we gaan van het benaderen van cybercriminaliteit als individualistisch probleem naar cybercriminaliteit als maatschappelijk probleem. Liesbeth Holterman zegt hierover: “We moeten in ketens gaan denken.” Hind Dekker-Abdulaziz geeft aan wel van mening te zijn dat er een toezichthouder moet komen met tanden, zeker nu er om en nabij de 8000 bedrijven onder de NIS2-richtlijn komen te vallen en de handhaving onder de NIS1 al een uitdaging was.
Wanneer de vraag gesteld wordt of de NIS2 zal gaan zorgen voor minder digitalisering denkt Olaf van Haperen van Eversheds Sutherland at dit niet het geval zal zijn. “De investeringen gaan gewoon door en worden alleen maar groter. De NIS2 zal misschien wel leiden tot meer waakzaamheid en C-level mensen zullen een ‘cover your ass’ gevoel krijgen in verband met de aansprakelijkheid van bestuurders maar het zal geen rem worden op digitalisering.”
Digitale soevereiniteit
Ook het onderwerp digitale soevereiniteit werd besproken. Digitale soevereiniteit is volgens de gasten niet zo zeer alleen ‘afhankelijk zijn van’, maar vooral ‘baas in eigen huis’ en zelf de touwtjes in handen kunnen houden en beslissingen kunnen nemen. Lisa van Ginneken van D66 ging in gesprek met Michiel Steltman van de Digital Infrastructure Association NL in gesprek over hoe wij ervoor staan op het gebied van digitale soevereiniteit. Ondanks dat we het volgens laatstgenoemde niet eens zo slecht doen, zijn er zaken waar nog stappen kunnen worden gemaakt. Zo kwam onder andere Gaia X ter sprake. De vraag rijst hoe het, in het kader van digitale soevereiniteit, kan dat partijen buiten Europa een vinger in de pap hebben in dit project van de Europese Unie? Wat zijn de onderliggende oorzaken dat de supply chain als het ware over de schutting met China is gegooid? Juist die onderliggende oorzaak vinden is enorm van belang aldus Michiel Steltman: “Als we de root cause niet vinden, gaan we dezelfde fouten weer maken en blijven we afhankelijk”.
De ESET Security Days – For Ukraine (het tweede deel van de dag) is, zonder inschrijving, volledig terug te kijken via https://esetsecuritydays2022.nl/. Volg ons op onze social mediakanalen om op de hoogte te blijven van alles omtrent de ESET (European) Security Days .