Keerpunt bereikt in georganiseerde strijd tegen cybercrime

Tijdens Holland Strikes Back op 3 oktober jl. werd uitgebreid stilgestaan bij de vraag of het glas half vol of half leeg is als het gaat om de strijd tegen cybercrime. Uit een onder de bezoekers gehouden enquête bleek in ieder geval dat zij positief gestemd waren: 87% zag het glas als half vol. Ondanks deze positieve houding, bleek dat er nog genoeg problemen zijn om gezamenlijk het hoofd te bieden. Overkoepelend thema was, zonder dat het expliciet uitgesproken werd, hoe de strijd tegen cybercrime moet worden georganiseerd.

Cyber security heeft als pendant van cybercrime een snelle opmars gemaakt de laatste jaren. Door het toenemende belang van de continuïteit van IT-infrastructuren voor economie en samenleving, hebben verstoringen grote gevolgen die moeilijk zijn te overzien. De ontwrichting van bijvoorbeeld logistieke ketens, transport of het zorgstelsel liggen op de loer. Goede beveiliging is halszaak, maar de vraag hoe dit moet worden aangepakt blijkt een complexe puzzel.

Misdaad in de fysieke wereld wordt aangepakt met een gecoördineerde bestrijding. De overheid speelt hier vanzelfsprekend een hoofdrol. Maar anders dan in de fysieke wereld, hebben staten een veel kleiner, minder effectief mandaat in het digitale domein. Dat heeft hoofdzakelijk te maken met de manier waarop het internet is georganiseerd: open, vrij en gericht op innovatie. Het is één van de belangrijkste krachten van het internet: iedereen die dat wil kan zijn activiteiten erop ontplooien, en innoveren met diensten de vrijelijk beschikbaar zijn. Maar het betekent ook dat cybercriminelen eenvoudig hun slag kunnen slaan bij hen die slecht zijn voorbereid.

Effectieve handhaving
De Nationale Politie is zich goed bewust van dit dilemma, zo bleek uit de opening van Holland Strikes Back 2017 door Theo van der Plas. Van der Plas is programmadirecteur digitalisering en cybercrime bij de Nationale Politie. Hij vroeg zich af welke rol de overheid en de Nationale Politie zouden moeten spelen bij de bestrijding van criminaliteit op het internet. De vraag waar bepaalde taken belegd moeten zijn is nog niet geheel duidelijk, en handhavers zijn terughoudend om hier een grote rol in op te eisen.

Van der Plas stipte daarmee een probleem aan dat alle betrokkenen raakt. Want cybercrime vindt plaats in een domein dat vanwege zijn aard de mogelijkheden voor handhaving beperkt. Het is relatief eenvoudig om anoniem te opereren op het internet. Daarnaast beperken jurisdicties zich tot de landsgrenzen, en doen criminelen op het internet dat niet. Samenwerking, zowel nationaal als internationaal en met alle betrokken stakeholders, is daarom essentieel.

Michiel Steltman van Stichting Digitale Infrastructuur Nederland verwees daar tijdens de dag ook naar. Juist op die plekken waar de digitale infrastructuur het best georganiseerd is, doet cybercrime zich relatief vaak voor. Nederland beroemt zich op één van de beste plekken ter wereld om digitaal zaken te doen, maar ondervindt daardoor ook relatief veel hinder van cybercrime. Los van onrechtmatigheid, is dat ook een probleem voor de interneteconomie. Om Nederland aantrekkelijk te houden voor digitale bedrijvigheid en cybercrime in de kiem te smoren, hebben het bedrijfsleven, kennisinstellingen zoals universiteiten, door de sector geïnitieerde initiatieven zoals NLnet Labs en de Nationale Beheersorganisatie Internetproviders (NBIP) en de overheid elkaar hard nodig.

Voorkomen is beter dan genezen
Rejo Zenger van Bits of Freedom en Jelte Jansen van SIDN Labs schetsten welke concrete oplossingen volgens hen nodig zijn om het internet veiliger te maken. Zenger bepleit dat het wellicht verstandig is als updates van kwetsbare en veelgebruikte software worden afgedwongen, al dan niet door de overheid. Hij haalt daarbij het voorbeeld aan van notPetya, de enorme ransomware aanval dit jaar die onder meer containerterminals in Rotterdam trof. Deze aanval verliep via bekende kwetsbaarheden in besturingssystemen die al waren gedicht, maar omdat dit soort updates niet door iedereen consequent worden uitgevoerd werden tienduizenden systemen alsnog getroffen.

Jansen werkt bij SIDN Labs aan SPIN, ofwel Security and Privacy for In-home Networks. Dit project is gericht op IoT-devices, waarvan de beveiliging te vaak bijzaak is. Daardoor kunnen cybercriminelen eenvoudig botnets optuigen van honderdduizenden apparaten en daarmee zeer grote DDoS aanvallen uitvoeren. Ook komt het regelmatig voor dat IoT-apparaten worden gehackt, waardoor allerlei privacygevoelige informatie buit wordt gemaakt. Met SPIN bouwen Jansen en het team van SIDN Labs aan een oplossing waarmee inzichtelijk wordt voor eindgebruikers met welke apparaten IoT-devices op het internet communiceren en hoe vaak dit gebeurt. Eindgebruikers krijgen de mogelijkheid om in te grijpen bij verdachte activiteit. SPIN kan daarmee een belangrijke schakel vormen in de reeks aan oplossingen voor het probleem van IoT-beveiliging, waaronder nieuwe standaarden, die op dit moment worden besproken.

Een slok op een borrel?
De enige effectieve manier om cybercrime aan te pakken is door het internet te benaderen als een netwerk van netwerken, waarin alle stakeholders een rol hebben te vervullen. Het werd tijdens Holland Strikes Back 2017 duidelijk dat coördinatie daarin belangrijk is, en iedere partij vanuit zijn eigen expertise een bijdrage moet leveren.

Er is, kortom, noodzaak voor zowel de sector als de overheid om gezamenlijk de bestrijding van cybercrime ter hand te nemen. Het recent aangekondigde Digital Trust Centre (DTC) voor het MKB is daarin een belangrijke mijlpaal. Michel Verhagen van het ministerie van Economische Zaken, waar het DTC onder zal vallen, wees op het belang van samenwerking tussen de overheid en de sector om cybercrime effectief te kunnen bestrijden. En hoewel er wederzijds scepsis is, de sector niet teveel topdown regelgeving wil en de overheid grip wil houden, werd het tijdens Holland Strikes Back duidelijk dat geen enkele belanghebbende de bestrijding van cybercrime alleen af kan.

Mede mogelijk gemaakt door Splend!