Ronald Prins is directeur van Fox-IT. In ons land is dit bedrijf vooral bekend doordat ze de Nederlandse overheid helpt om staatsgeheimen te beveiligen. In een interview vertelt Prins over de cyberbedreigingen waaraan Nederland steeds meer blootstaat en de mogelijke oplossingen hiervoor. ‘We hebben niet genoeg door hoe afhankelijk we van elkaar zijn in de digitale wereld.’
Door: Ronald de Nijs
Ronald Prins (49) houdt wel van een uitdaging. Hij studeerde wiskunde aan de TU Delft omdat hij het altijd al een leuk vak had gevonden, maar ook omdat ‘iedereen zei dat het moeilijker was dan natuurkunde’. Dat laatste bleek overigens reuze mee te vallen. ‘Als je een beetje oplette en de materie snapte, hoefde je echt niet dagelijks uren te stampen. Rechtenstudenten hadden het een stuk moeilijker.’
Tijdens zijn studie ging hij aan de gang met hacken. ‘Ik vond beveiliging altijd wel interessant. Cryptografie – de techniek om informatie die verzonden moet worden te verbergen of te versleutelen – is zo’n beetje de wiskundige verwezenlijking van beveiliging.’
Lang heeft Prins gedacht dat cryptografie een krachtige schakel in de beveiligingsketen was, maar daar is hij van teruggekomen. ‘Als we in ons dagelijks werk kijken waar de dingen misgaan, dan is het niet omdat de cryptografie gefaald heeft. Wel: computers die wagenwijd openstaan.’ Dat kan soms domme pech zijn: ‘Computerprogramma’s zijn vaak zo complex, dat je niet kunt voorkomen dat er een foutje wordt gemaakt – een foutje dat een hacker kan exploiteren.’ Maar Prins ziet ook dat er laks met beveiliging wordt omgaan. ‘Men denkt: een computerprogramma werkt, dus is het klaar. Er wordt niet van tevoren nagedacht over hoe een veilige omgeving eruit zou moeten zien.’
Ronald Prins kan het weten. Hij werkte bij het Nederlands Forensisch Instituut (NFI) en voor de Directie Bijzondere Inlichtingen van de AIVD. In 1999 begon hij samen met zakenpartner Menno van der Marel het cyberbeveiligingsbedrijf Fox-IT. Het bedrijf is vooral bekend doordat ze de Nederlandse overheid helpt om staatsgeheimen te beveiligen. Een eigen zaak beginnen kwam toevallig op Prins’ pad. ‘Ik was wel altijd al aan het handelen; ik verkocht computerspelletjes die ik gekraakt had. Het was mijn zakenpartner die met het idee kwam.’ Het heeft hem geen windeieren gelegd: in 2015 verkochten Prins en Van der Marel hun onderneming voor 133 miljoen euro aan het Britse NCC. Daarvan ging 10 procent naar het personeel, de rest werd door drieën gedeeld en ging naar de twee oprichters en mede-eigenaar Ad Scheepbouwer. Zakenpartner Van der Marel vertrok in 2016, Prins bleef aan als directeur.
U bent nu in dienst van Fox-IT?
(Ronald Prins:) ‘Ik heb een arbeidscontract met een opzegtermijn. Ik heb geen contractuele verplichting om hier te blijven.’
Wat maakt de cybersecuritywereld zo boeiend?
‘Het onderwerp barst nu echt in de hele wereld los. Het draait allang niet meer alleen om cybercriminelen die geld stelen, of om privacyzaken, het komt nu ook als onderdeel van geopolitieke conflicten aan bod; denk aan buitenlandse inlichtingendiensten die overal meekijken. Ik vind het interessant om nog een rol te kunnen spelen in die hele beweging van cyberconflicten en cyberspionage. Ik denk dat Fox-IT me daarvoor het beste platform biedt.’
Waarom heeft u het bedrijf verkocht?
‘We werken steeds meer voor grotere bedrijven. En die willen vaak het liefst dat we vestigingen hebben in werelddelen waar ze zelf ook vestigingen hebben. Aan die vraag konden we niet altijd voldoen. Het zijn dus gezonde bedrijfseconomische gronden om Fox-IT te hebben verkocht. Bovendien is het een trend: alle kleine bedrijfjes in deze sector worden nu opgekocht door de grotere.’
‘Verder zijn we nog een van de weinige bedrijven op het gebied van cybersecurity in Europa die niet alleen diensten leveren maar zelf ook technologie ontwikkelen. Denk aan technologie om de netwerken van onze klanten te monitoren. Om dit product breder af te zetten, hadden we behoefte aan een partner die over een groot internationaal distributienetwerk beschikt. Aan die eis voldeed NCC.’
De overname heeft wel voor enige politieke beroering gezorgd.
‘Alle stakeholders, waaronder de Nederlandse overheid, waren van tevoren op de hoogte gesteld. Toen gebeurde er niets. Ook niet na de bekendmaking van de overname in november 2015. Geen enkele politicus liet van zich horen. Dat gebeurde onlangs pas. Het is nu politiek relevant geworden doordat het verkiezingstijd is. Het is een beetje makkelijk scoren om hier nu iets van te vinden.’
U doelt onder andere op de NRC die eind januari 2017 berichtte dat de overheid nu kijkt naar wetgeving om te toetsen of buitenlandse overnames verkeerd kunnen uitpakken voor gegevens die niet naar buiten mogen komen?
‘Ja, we zijn nu samen met de overheid aan het kijken hoe we bij een eventuele verkoop van NCC de belangen kunnen borgen van Fox Crypto B.V., de entiteit die de staatsgeheime producten ontwikkelt.’
De Nederlandse staat heeft wel een punt. Een deel van jullie werk is ervoor te zorgen dat de staatsgeheimen veilig zijn.
‘Natuurlijk is het een valide punt, zeker ook waar het de staatsgeheimen betreft. Maar vergeet niet dat alles wat we doen onder het Nederlandse recht blijft functioneren. De Wet bescherming staatsgeheimen is nog steeds van toepassing op onze activiteiten. En we staan onder toezicht van zowel de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) als de Militaire Inlichtingen- en Veiligheidsdienst (MIVD).’
Het ministerie van Defensie probeert nu het recht op eerste koop af te dwingen.
‘Ook dat is een prima punt. Aan de andere kant; als Fox-IT aan een Chinees bedrijf zou worden verkocht, dan zou er vanuit Nederland geen enkele opdracht meer binnenkomen. Voor de koper zouden we dan geen interessante partij meer zijn.’
Iets anders: half februari hield het Nationaal Cyber Security Centrum (NCSC) een bijeenkomst voor ICT-medewerkers van politieke partijen. Zij kregen adviezen over het voorkomen van inbraken in hun computersystemen. Hoe groot acht u de kans op inbraken?
‘Behoorlijk groot.’
Wat zouden gevolgen van een eventuele inbraak kunnen zijn?
‘Beïnvloeding, op wat voor manier dan ook. Een klein groepje mensen, zeg twintig personen, kan zo’n inbraak prima uitvoeren. De Russen weten dat er in 2017 in drie Europese landen verkiezingen komen. Het zou gek zijn als ze ook niet in Nederland los zouden gaan. Er is hen heus wel wat aan gelegen dat de PVV hier wint, zodat er een anti-EU- en een anti-NAVO-gevoel gaan heersen. Op die manier kan Rusland de Europese landen beter tegen elkaar uitspelen.’
Monitoren jullie dit?
‘Wat we precies doen kan ik niet vertellen, maar we letten wel op.’
Maar u kunt er vast nog wel iets meer over vertellen…
‘Kijk, er zijn drie “zuilen”. Ten eerste heb je nepnieuws; dat is meer het open gebied van het internet en dus niet ons terrein. Ten tweede heb je de directe beïnvloeding van de stemprocessen, dus de verkiezingscomputers, en dat soort zaken; daar zijn we bij betrokken. En ten derde heb je inbraken bij politieke partijen, bijvoorbeeld partijen die op zoek gaan naar “foute” e-mails van bijvoorbeeld Rutte om die naar buiten te brengen en daarmee de premier te beschadigen, net zoals tijdens de Amerikaanse verkiezingen bij Hillary Clinton is gebeurd. Fox-IT zit in die laatste twee lijnen.’
Minister Plasterk besloot aanvankelijk voor het tellen van de stemmen bij de komende verkiezingen de inzet van computers te verbieden. Dit digitaal optellen, waarbij verouderde computers kunnen worden ingezet, gebrekkige software wordt gebruikt en data op onbeveiligde usb-sticks wordt vervoerd, vond Plasterk te kwetsbaar. Half februari werd bekend dat voor het optellen in gemeenten wel het gebruik van een spreadsheetprogramma zoals Excel op een computer is toegestaan – zolang die computer geen verbinding heeft met het internet. USB-sticks blijven verboden. De juiste beslissing volgens u?
‘Ik kan hier helaas niet op reageren.’
U heeft in een interview weleens gezegd dat de toenemende digitalisering van de maatschappij u angst aanjaagt.
‘Ja, zeker als je geen plan B hebt. Als je digitaal innoveert, moet je altijd bedenken: het kan een keer niet werken, het systeem kan een keer worden misbruikt. Je moet dus een alternatief hebben.’
Kunt u daar een voorbeeld van geven?
‘We hebben in Nederland twee ringen met hoogspanningsleidingen lopen. Als de ene ring kapot is, werkt de tweede nog. Technisch zijn ze op eenzelfde manier beveiligd. Als het iemand lukt om één zo’n leiding te hacken, is de tweede een koud kunstje. Zo bezien hebben we dus geen plan B. Daar moeten we beter over nadenken.’
En dan zijn er nog de bezuinigingen.
‘De laatste jaren is er bij de overheid en in het bedrijfsleven behoorlijk bezuinigd. Je ziet dat er in al die alternatieven – de plannen B – niet meer wordt geïnvesteerd. Bovendien wordt vaak vanuit een safety-gedachte geredeneerd en niet vanuit een security-gedachte. In het Nederlands vertalen we beide begrippen met “veiligheid”, in het Engels is het onderscheid duidelijker. Safety heeft betrekking op iets wat per ongeluk plaatsvindt. Denk aan een vrachtwagen die tegen een hoogspanningsmast aan rijdt en een kabel kapottrekt. Bij security richt je je op een situatie waarbij mensen bewust iets kapot willen maken. Maar als er over een plan B of over een ramp wordt nagedacht, dan wordt het vaak vanuit het safety-oogpunt benaderd.’
Spelen er nog meer zaken?
‘We hebben in Nederland niet genoeg door hoe afhankelijk we van elkaar zijn in de digitale wereld en hoe de ketenafhankelijkheden in elkaar zitten. Een bekend voorbeeld is DigiNotar, leverancier van gekwalificeerde elektronische handtekeningen. Dit kleine bedrijfje werd in 2011 gehackt, maar nooit had iemand kunnen bevroeden dat de meest kritische processen van onze overheid stil zouden komen te liggen op het moment dat bij DigiNotar de stekker eruit getrokken werd. Onderzoek van Fox-IT bracht aan het licht dat de procedures en systemen van DigiNotar diverse fouten bevatten. Uiteindelijk mocht het bedrijf geen elektronische handtekeningen meer verstrekken en ging het failliet.’
Hoe heeft zo’n hack met verstrekkende gevolgen kunnen gebeuren?
‘De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) heeft een landkaart gemaakt om te kijken op welke organisaties hij zich moet richten om ervoor te zorgen dat Nederland veilig is. DigiNotar stond niet als vitale organisatie aangemerkt, terwijl het dat wel was. We denken bij vitale organisaties nu nog te veel aan bijvoorbeeld waterbeheer, de financiële sector en de luchtvaartsector. Maar we moeten breder kijken.’
U heeft weleens gezegd dat de overheid hier een zeer belangrijke taak heeft.
‘Jazeker. Om nog terug te komen op de politieke partijen die zelf maar moeten opletten of de Russen daar niet binnen komen – ik vind dat echt waanzin. De overheid zegt: het zijn verenigingen en private instanties, dus is het niet onze verantwoordelijkheid. Integendeel, het passen op de democratische rechtsorde lijkt me juist een rol van de staat. Je kunt niet van de politieke partijen verlangen, zelfs niet van de grootste, dat ze in staat zullen zijn om zich te weren tegen buitenlandse inlichtingendiensten. Ik ben zelf ook voor de vrije markt, maar hier gaat die vlag niet op. Het veiligheidsaspect hebben we volgens mij als burgers juist in handen van de staat gegeven. Daarom is er immers politie, en daarom is die – en niet de burger – uitgerust met wapens.’
Het vrijemarktdenken is doorgeschoten?
‘Ja. En met grote gevolgen. Zo heeft het kunnen gebeuren dat Chinese inlichtingendiensten vorig jaar bij chipfabrikant ASML zijn binnengedrongen om daar intellectueel eigendom te stelen. Of het nu helemaal op conto van de Chinese staat is gebeurd of niet, deze activiteiten schaden uiteindelijk de Nederlandse economische belangen. Zeker als dit continu doorgaat, is het een sluipmoordenaar van onze economie.’
Wat doet Nederland als een cyberaanval wordt geregistreerd?
‘In Nederland kijken we eerst wie de aanval heeft gepleegd, en daarna wordt gekeken wie van de drie silo’s – Defensie, politie en inlichtingendiensten – moet reageren. In de oude wereld werkte die driedeling prima: als er een tank uit Duitsland komt, weten we heus wel dat we Defensie erop af moeten sturen. Bij potentiële cyberconflicten is dat echter volstrekt onduidelijk.’
‘Doordat niet duidelijk is wie er moet reageren, zitten we in Nederland in een soort verkramping. Andere landen, zoals de Verenigde Staten en Engeland, zijn daar veel pragmatischer in. De Verenigde Staten hebben de National Security Agency (NSA). Je kunt er alles van vinden dat ze misschien aan massasurveillance doen, maar ze hebben wel de rol op zich genomen om zowel de Amerikaanse industrie als de banken veilig te houden. Ze kijken als een soort militaire organisatie naar wat het potentieel effect van een cyberaanval is en op basis daarvan bepalen ze of een zware verdediging moet worden ingezet.’
De Nederlandse overheid is nu aan zet?
‘Zeker. We moeten in Nederland nu heel snel politieke keuzes maken, want we zijn veel digitaler dan de ons omringende landen. Kijk maar naar elektronisch bankieren: meer dan 98 procent van de Nederlandse burgers regelt z’n geldzaken inmiddels digitaal. Verder worden onze overheidsprocessen allemaal digitaal: de blauwe envelop verdwijnt, we gaan alles met DigiD doen. Maar doordat we in Nederland zo digitaal zijn, krijgen we ook steeds meer cyberaanvallen te verduren.’
Er wordt al jaren gepleit voor een minister van ICT. Zelf heeft u ooit eens gezegd dat er een cybercommissaris moet komen.
‘Commissaris of minister – het maakt me niet zoveel uit. Het belangrijkste is dat er een persoon met een staf in Den Haag rondloopt die budget heeft en een “doorzettingsmacht”. Een goed voorbeeld is Deltacommissaris Wim Kuijken, adviseur waterveiligheid van het kabinet. Hij valt niet onder een bepaald ministerie – zijn verantwoordelijkheden zijn vastgelegd in de Deltawet – waardoor hij dwars door alle ministeries heen kan beuken om bijvoorbeeld snel de dijken te verhogen.’
Over dijken gesproken. Zijn firewalls, cryptografie en lange wachtwoorden toereikend om cyberaanvallen af te slaan?
‘Deze maatregelen zijn allemaal preventief en hebben hooguit een vertragende werking. Dat begint in de beveiligingswereld nu ook door te dringen. Hackers komen toch wel binnen, zeker als je bijvoorbeeld nooit kijkt of er iemand aan de deur van een firewall staat “te rammelen” – en je alleen denkt: de firewall staat er en die zal voor bescherming zorgen. Vergelijk het met een voordeur op slot doen en ervan uitgaan dat je huis dan veilig is, terwijl iemand makkelijk een steen door de ruit kan gooien. Dat laatste doet bijna niemand want buren of voorbijgangers kunnen zoiets signaleren en de politie bellen. In feite werkt het als een detectiesysteem. Je moet dus detectie naast preventie zien, en detectie heeft veel meer waarde dan preventie. Maar die digitale detectie kun je enkel doen als je op de kabels kunt kijken: wat voor bitjes gaan hier overheen, en dan pas weet je wie er aanvalt, waar ze proberen binnen te komen en wat ze proberen weg te halen. Dergelijke instrumenten heb je nodig als land.’
‘Fox-IT verricht dit soort werk bij private bedrijven; dan zitten we vaak tegen de kroonjuwelen van de organisaties aan. Maar je zou het op veel grotere schaal moeten doen; want ook onze klanten zijn vaak afhankelijk van andere partijen, net zoals de overheid in dat DigiNotar-verhaal. Maar je kunt niet alles beveiligen; het is veel handiger om dat op geaggregeerde locaties te doen, op internetknooppunten. De Engelsen, Duitsers, Fransen en Amerikanen bijvoorbeeld doen dit al. Maar dan moet je wel een organisatie hebben die daartoe bevoegd is. In Nederland zouden dat de veiligheidsdiensten kunnen zijn. Maar dit staat op gespannen voet met de wil van de groep mensen die bang zijn dat diezelfde inlichtingendiensten dat ook gaan gebruiken voor massasurveillance.’
U doelt op de nieuwe Wet op de inlichtingen- en veiligheidsdiensten?
‘Ja, die wet is belangrijk. Die wordt door de inlichtingendiensten nu vooral “verkocht” in het kader van anti-terreur, maar dat verandert: nu de Russen opeens in beeld zijn, wordt gezegd dat de nieuwe wet ook goed is voor contra-inlichtingen. Dus van onderaf acteren op onze netwerken. Voor mij was dat altijd al de belangrijkste reden om die wet te hebben.’
Zoals u al zei: mensen die privacy hoog in het vaandel hebben zijn tegen deze wet.
‘De Tweede Kamer heeft inmiddels ingestemd met de zogeheten “aftapwet”, waarmee inlichtingendiensten uitgebreidere toegang tot informatie via de kabel moeten krijgen. Ik verwacht dat de Eerste Kamer dat ook zal doen.’
Terug naar de burger. Die zou volgens u van deze wet niets te vrezen hebben?
‘Nee. Er zitten zo verschrikkelijk veel waarborgen omheen dat ik niet bang ben dat deze wet nu opeens wordt omgezet tot een massasurveillancemechanisme. Dat kan ook niet; er zitten allerlei commissies tussen die vooraf en achteraf toestemming moeten geven. Onze privacy wordt nu al dagelijks geschonden. Er zitten nu misschien al Russen in het netwerk van telefonieaanbieders mee te kijken, zoals de Engelsen dat bij Belgacom hebben gedaan. Je kunt wel zeggen: dat willen we allemaal niet, maar andere landen misdragen zich continu in ons land.’
Wat betekent privacy voor u?
‘Privacy is heel erg belangrijk. Iedereen heeft wel iets te verbergen. Ik ben alleen wat minder bang voor hackers die een database van een ziekenhuis stelen en laten zien dat ze over mijn patiëntgegevens beschikken. Ik ben veel angstiger voor grotere zaken, waar de Russen bijvoorbeeld duidelijk mee bezig zijn. Zij kunnen bijvoorbeeld achterhalen wat een directeur met zijn geld doet en dat publiek maken, waardoor er een verkeerd beeld van die persoon ontstaat en zijn bedrijf schade oploopt. Privacy is dus een probleem, maar er zijn nog véél grotere problemen. Denk bijvoorbeeld aan statelijke actoren die uit zijn op cybersabotage.’
Ransomware is volgens u in feite ook een privacyschending: dat je niet meer bij je eigen data kunt.
‘Ja, daarom wil de Autoriteit Persoonsgegevens dat organisaties niet alleen datalekken maar ook ransomware melden, want niet meer bij je data kunnen komen is ook een datalek. Niet per se een dataschending, maar de Autoriteit Persoonsgegevens heeft het wel gedefinieerd als een soort datalek. Dat is ook een grote dreiging die we vooralsnog niet kunnen stoppen.’
‘Er wordt wel gezegd: we moeten onze computers beter updaten, we moeten niet op die foute mailtjes klikken. Ik kan er zo boos om worden. Wij doen testen bij bedrijven of de medewerkers in phishingmail trappen. We doen deze testen ook binnen ons eigen bedrijf. Meer “paranoïde” personen voor dergelijke mails dan bij ons vind je bijna niet. En toch trapt veertig procent van de Foxers in een heel goede phishingmail. Je kunt dus zoveel bewustzijnstrainingen geven wat je wilt, maar uiteindelijk gaat iedereen voor de bijl. Je moet het hebben van de zestig procent die er niet intrapt en die als een soort menselijk detectiesysteem de rest kan alarmeren.’
Tot slot, kunt u de toekomst van cybercriminaliteit schetsen?
‘Lastige vraag. Ik hoop eigenlijk op een grote cyberramp. Dan weet ik zeker dat we wél maatregelen gaan nemen, dat de ogen van de overheid geopend worden. Ik ben positief; ik denk dat het nog niet te laat is om actie te ondernemen. Maar dan moeten we serieus gaan investeren in het veiligheidsapparaat. We moeten af van de vrijwilligheid dat alles wat vitaal is in ons land zelf de beveiliging moet regelen. We moeten er naartoe dat de overheid zaken op het gebied van beveiliging voorschrijft.’
Opvallend is dat cybersecurity niet hoog op de agenda staat bij de politieke partijen.
‘D66 heeft het thema er wel goed uitgehaald. D66’er Kees Verhoeven is de enige die het onderwerp goed in zijn vingers heeft. Zijn mening is niet de mijne, maar ik heb wel respect voor hem. Hij doet zijn best om dit lastige thema te doorgronden. Ook staatssecretaris Veiligheid & Justitie Klaas Dijkhoff is een goede, maar als bewindspersoon heb je toch minder te vertellen als de Tweede Kamer het onderwerp niet zo interessant vindt. Verder zie ik zowel in de politiek als in de debatten dat mensen over het algemeen erg slecht geïnformeerd zijn. Ze praten de kranten na met populistisch gepraat. We hebben een nieuwe generatie politici nodig voordat het thema cybersecurity goed opgepakt gaat worden.’
Ronald de Nijs is eindredacteur van IP.
Deze bijdrage komt uit IP nr. 2 / 2017. Het gehele nummer kun je hier lezen.