Speech Dick Schoof voor KNVRO 20-11-2014 Voorstel voor opzet en inhoud: Probleemschets en ontwikkelingen cybercrime Bedreiging voor nationale veiligheid en hoge kosten door cybercriminaliteit: We zitten hier op een prachtige locatie, bijna twee eeuwen oud. (gebouw KMA uit 1828). Toen nog duidelijk was waar het strijdtoneel was en wie de vijand was. Dat is eeuwen zo geweest. Maar nu al jaren niet meer. De digitale dreigingen zijn onzichtbaar, de dreiger ook. Wat we wél weten over de dreigers, is dat het goed georganiseerde cyberbendes die wereldwijd opereren. Die letterlijk en figuurlijk geen grenzen kennen. Bijna 9 miljard euro schade in Nederland door cybercriminaliteit. Anderhalf procent van ons Bruto Nationaal Product zijn we kwijt aan cybercriminelen. Dat schokkende getal staat in een onlangs verschenen rapport (geschreven in opdracht van McAfee). En datzelfde rapport stelt dat de wereldwijde kosten door cybercrime zo n 325 miljard bedragen. Het wereldwijde web heeft dus een wereldwijd probleem. Nu lees ik hier vaker rapporten over en de bedragen die ik tegenkom wisselen. Maar waar alle rapporten het wél over eens zijn, is over de grote digitale dreigingen die we als Nederland het hoofd moeten bieden. 1
Cybercriminaliteit is de afgelopen jaren zeer sterk toegenomen en daarmee ook de potentiële schade voor de economie en de veiligheid van ons land. Dat laten de opeenvolgende cyber security beelden ook zien (een soort digitale stand van het land). En ook het FD sprak onlangs over een schrikbarende toename van het aantal cyberaanvallen en de schade als gevolg daarvan. Naast cybercriminaliteit is cyberspionage de grootste dreiging. Een risico, voor zowel bedrijven als voor staten. En ging het tijdens de Koude Oorlog nog om atoomspionage. Nu besteedt de AIVD in haar jaarverslag uitgebreid aandacht aan digitale spionage. Voorbeelden: Voor Nederland was Diginotar op nationaal niveau de eerste echte cybercrisis. Natuurlijk weten we hoe kwetsbaar zeker het internet is en hoezeer ICT is doorgedrongen in de haarvaten van onze samenleving. Toch besef je pas echt hoe kwetsbaar en afhankelijk we zijn door een incident als Diginotar. Het was een echte wake-up-call die het belang van de toenmalige in Nederland in gang gezette initiatieven nog eens extra onderstreepte. In het bijzonder werd helder hoe kwetsbaar het mondiale certificatensysteem was en eigenlijk nog steeds is voor misbruik. Zelfs insiders waren hierover verrast. Wat Diginotar ook leerde is de mondiale afhankelijkheid van vele anderen van relatief 2
kleine bedrijven. Met grote gevolgen, maar die hadden nóg groter kunnen zijn. Verrassingen zijn sindsdien niet uitgebleven. Zoals recent de Hold Security casus, waarbij ze de beschikking kregen over de domeinnamen en e- mailadressen met een.nl-extensie. Hold Security gaf daarbij via mediaberichten aan een dataset met 1,2 miljard inloggegevens wereldwijd verkregen te hebben, afkomstig van 420.000 kwetsbare websites. Vanuit haar coördinerende rol en CERT-taak heeft het NCSC direct na ontvangst van de gegevens actie ondernomen en samen met partners de getroffen partijen ingelicht. Ook in de toekomst zullen we soortgelijke verrassingen blijven tegenkomen. 3 Een andere ontwikkeling is dat burgers steeds meer het slachtoffer zijn (uit speech minister bij start Alert Online): In de jaren zeventig kraakte een Amerikaan het telefoonsysteem, zodat hij gratis kon bellen. In de jaren tachtig zagen we de eerste elektronische bankoverval. En in de jaren negentig werden talloze geheime codes ontfutseld van het Franse ministerie van defensie. Vandaag, in de eenentwintigste eeuw, zijn het steeds vaker burgers die slachtoffer worden van internetcriminaliteit. Recente onderzoeken tonen aan dat burgers bijna even vaak slachtoffer zijn van hacken als van een fietsendiefstal. We zien phishing mails, fraude
met Digi-D-gegevens en identiteitsdiefstal. Dat zijn vervelende misdrijven die mensen veel last bezorgen. 1. Wat doen wij als NCTV hiertegen / hieraan? NCTV gaat over 3 C s : Crisisbeheersing, Contraterrorisme en Cyber security. Cybersecurity is één van onze prioriteiten. Kernwoord is wat mij betreft participatie. NCSS2: samenwerking heeft nog iets vrijblijvends. Participatie is samen dingen bouwen en elkaar aanspreken op resultaten. Dat is de kern van onze Tweede Nationale Cyber Security Strategie. Gemaakt in nauwe samenwerking met de Cyber Security Raad die ik samen met Eelco Blok van KPN mag voorzitten: overheid en bedrijfsleven die gezamenlijk een visie neerleggen voor cyber security. En we hebben hoge ambities: Nederland leidend te laten zijn op het gebied van cyber security. Alert Online: Die publiek-private participatie zien we ook weer bij de digitale bewustwordingscampagne Alert Online, die we net hebben afgerond. Het was alweer de derde keer dat we deze campagne organiseerden. Met dit jaar 140 partners uit bedrijfsleven, overheid en kennisinstituten. Bijna drie keer meer dan in 2013. Ging het er voorheen om dát cyber security van belang is, nu gaat het erom hóe je dat doet. Van bewust naar bekwaam. Op het gebied van kennis over cyber security 4
hét thema voor dit jaar is het belangrijk om te blijven netwerken. Zowel om kennis te ontwikkelen áls te verspreiden. Om bekwaam te blijven. NCSC: Daarin hebben wij als overheid een voorbeeldfunctie. Daarom is dit jaar de positie van het Nationaal Cyber Security Centrum verder versterkt, onderdeel van de NCTV. Wat mij betreft wordt het NCSC de komende jaren steeds meer een netwerkorganisatie die niet alleen zélf een web bouwt, maar ook anderen helpt een eigen web te bouwen. Publiek privaat, nationaal en internationaal, civiel militair. Er zijn nu goede contacten op alle niveaus. Niet alleen bij dreigingen of erger, maar ook in de koude fase. Het NCSC is in korte tijd hét nationale kenniscentrum voor cyber security geworden. Waarbij we nauw samenwerken met militairen aan een veiligere digitale samenleving. 2. Civiel militaire samenwerking: wat doen we al en waar kunnen we nóg meer doen? Aantal Hoofdlijnen van civiel-militaire samenwerking (past binnen de bestaande afspraken die we in het fysieke domein al kennen): Erkennen noodzaak. Bij militaire inzet van Nederland in het buitenland moeten we rekening houden met digitale aanvallen op civiele doelen in Nederland. Zo kan de nationale veiligheid in gevaar worden gebracht door een 5
grootschalige digitale aanval op één of meer private organisaties. De snelheid waarmee dergelijke aanvallen zich kunnen manifesteren en ontwikkelen vraagt om een snelle, gecoördineerde en flexibele reactie en het vroegtijdig betrekken van de belangrijkste spelers. Dat kan bijvoorbeeld door een beroep te doen op cybercapaciteiten van Defensie bij de bescherming van onze vitale, nationale en civiele infrastructuur. Civiel-militaire samenwerking is nuttig, want het biedt extra kennis en capaciteit voor zowel de civiele als militaire instanties. Doordat we kennis met en over elkaar delen, zijn we allebei beter op de hoogte van dreigingen en kunnen we effectiever samenwerken Ik noemde dat digitale dreigers vaak onzichtbaar zijn. Het is dus lastig te weten tegen wie je je verdedigt, wie de dader is bij cybercrime? We noemen dat ook wel het attributievraagstuk. Voorbeeld: Als er een aanval is op een Nederlandse civiele organisatie, is het niet altijd mogelijk om vast te stellen of het om een beroepscrimineel, een cybervandaal, scriptkiddie of hacktivist gaat. En behalve de vraag wié je aanvalt is het ook nodig een uitdaging om te achterhalen wáár de aanval vandaan komt. Maar door samen te werken met alle spelers op het gebied van cybercrime kunnen we ons beter voorbereiden op mogelijke dreigingen in de toekomst. 6
Dreigingsbeeld uit CSBN-4 schetsen: de grootste dreiging voor de overheid en het bedrijfsleven gaat uit van statelijke actoren (vanwege de digitale spionageaanvallen) en van beroepscriminelen (vanwege de diverse vormen van cybercriminaliteit). Criminele organisaties professionaliseren verder met de ontwikkeling van een zeer professionele criminele cyberdienstensector. Cybercrime-as-a-service is geen incident meer, maar is onderdeel van de gevestigde structuur. Het aantasten van de betrouwbaarheid en beveiliging van informatie(systemen) komt hiermee binnen het bereik van meer partijen. Tegelijk er is schaarste aan goed opgeleide cyber deskundigen. Hierbij kunnen cyber reservisten een grotere rol gaan spelen. Maar het levert ook vragen op. Hoe gaan we bijvoorbeeld om met een groep reserve officieren met cyber kennis die ook civiele functies bekleden? We moeten er samen over nadenken hoe dergelijke taken zich tot elkaar verhouden. Gingen we in onze NCSS2 van samenwerking naar participatie... op civiel militair gebied lopen we daar al op vooruit, het zijn immers verweven domeinen. Ik geef u een aantal voorbeelden. - Nuclear Security Summit 2014 (NSS). Tijdens dit evenement heeft DefCERT een gedeelte van de taken van het NCSC overgenomen. Vooraf aan de NSS heeft de NCTV de relevante ICT-vraagstukken in kaart gebracht en tijdens de top stonden we paraat om 7
relevante cyberdreigingen te pareren. We zorgden met elkaar voor een veilige digitale snelweg en met innovatieve maatregelen ook voor veilige gewone snelwegen. De NSS was de ultieme beveiligingstest die we als Nederland glansrijk hebben doorstaan. Civiel én militair. - Maar verwevenheid zie ik ook terug bij een convenant dat is afgesloten tussen DefCERT en het NCSC waarbij wederzijdse ondersteuning bij calamiteiten is vastgelegd en detacheringen over en weer. Zo houden we elkaar niet alleen op de hoogte van mogelijke dreigingen, maar slaan we ook de handen ineen wanneer er echt iets aan de hand is. - We maken op informele basis afspraken over het voor elkaars medewerkers openstellen van opleidingen en trainingen en samenwerking bij oefeningen - Joint Sigint Cyber Unit (JSCU) opgericht (samensmelting tussen de AIVD en de MIVD). Dit soort voorbeelden moeten we samen gaan uitbreiden. Ondanks dat er in het cyberdomein al sprake is van een toegenomen verwevenheid van de civiele en militaire domeinen, zie ik het als een uitdaging om hier nog meer uit te halen. In dat kader ben ik ook bijzonder blij dat Defensie bijdraagt aan de grote internationale cyberconferentie (Global Conference on Cyber Space) die in 2015 in Nederland zal plaatsvinden en die wij, als Nederland, organiseren 8
In 2016 zal Nederland Voorzitter zijn van de EU en gezien onze ambitie om als Nederland leidend te zijn op het gebied van cyber security is dit een uitgelezen kans om onze koers met betrekking tot civiel-militaire samenwerking ook in EU-verband uit te dragen. Ik hoop om dan samen met u aan onze Europese collega's te laten zien en ervaren welke fantastische resultaten wij in Nederland hebben neergezet. De kernvraag blijft echter bestaan hoe kennis en expertise optimaal gedeeld kunnen worden tussen civiele partijen en Defensie? Dit symposium is daarbij een goed voorbeeld van hoe we dergelijke kennis en expertise met elkaar kunnen, en moeten, delen. Samenwerking met soms verschillende belangen en verschillende rollen. Maar met één gemeenschappelijk doel: een veilig digitale samenleving. Met de juiste balans tussen veiligheid, vrijheid/privacy en economische groei. Dank u wel 9