Het is verschrikkelijk handig om documenten en achtergrondinformatie óveral beschikbaar te hebben. Ook went het snel om met alles en iedereen te kunnen communiceren zodra je een smart device in de buurt hebt. Dankzij corona is dat onderdeel van het nieuwe normaal. Online zijn is zo langzamerhand geen keuze meer, maar een noodzaak om mee te doen in de maatschappij. Wij omringen ons met slimme apparaten, vergaren via het internet razendsnel informatie (en meningen) en stellen ons daarmee bloot aan verschillende, relatief nieuwe en vaak slecht begrepen risico’s. Frank van Summeren, IVK en bestuurskundige, vindt dat buitengewoon boeiend en beschrijft de nieuwe risico’s.
Biografie
Frank van Summeren (1985) volgde na zijn middelbare school de opleiding Integrale Veiligheidskunde bij Avans Hogeschool in Den Bosch. Meteen na die opleiding werd hij onderzoeker en adviseur veiligheid bij Partners + Pröpper, adviesbureau voor openbaar bestuur. Zijn vervolgstudie, een master bestuurskunde aan de Radboud Universiteit, werd daardoor noodgedwongen een deeltijdactiviteit, die desondanks tot een succesvol einde werd gebracht. Uitgestudeerd was en is hij nog steeds niet, terwijl hij adviseert, schrijft en anderen opleidt. Hij werkte onder andere bij het Studiecentrum voor Bedrijf en Overheid en (nu) als adviseur veiligheid bij RONT Management Consultants en programmaleider veiligheid bij de LOI. Een voorname hobby is reizen, maar Frank doet ook dat dat in het kader van veiligheid: hij is partner van het Centrum voor studiereizen, dat educatieve reizen voor veiligheidsprofessionals organiseert. Vanwege corona staat dat tijdelijk op een wat lager pitje, maar eigenlijk komt dat wel goed uit want er is een tweede dochter op komst. Verder is Frank bestuurslid van de Stichting Alumni Integrale Veiligheid. Hij weet veel over veel verschillende veiligheidsvraagstukken en koestert het generalisme
De Veiligheidskundige was al enig tijd op zoek naar een VK die zich bezighoudt met cybersecurity. Die professionals zijn er wel, maar de meeste zijn héél druk of ze spreken een computertaal die de redactie maar met moeite kan volgen. Zo niet bij Frank van Summeren, die juist heel toegankelijk spreekt over risico’s waar andere VK’s zich wel bewust van zijn maar waar ze hun vingers liever niet aan branden. Daarmee blijft er een belangrijk deel van hun terrein onontgonnen. Want ‘cyber’ zit steeds dieper in de maatschappij en het grote netwerk is steeds onmisbaarder geworden. Naast al zijn andere bezigheden is Frank Partnerships Manager van de Hackathon for Good, een initiatief dat professionals (waaronder ethische hackers, juristen en cyberveiligheidsdeskundigen) uit de hele wereld bijeenbrengt om te werken aan innovatieve technologische oplossingen voor maatschappelijke (veiligheids)vraagstukken. Dat betreft zaken zoals de omgang met ongewenste criminele gedragingen op het internet, desinformatie en deepfakes. Want het helpt enorm om een probleem vanuit uiteenlopende specialismen te beschouwen, liefst samen met mensen uit alle windstreken.
Frank, waar gaat het om bij cybersecurity?
Frank: ‘Om beheersing van de risico’s in het digitale domein. Denk aan het Internet of Things: steeds meer digitale apparaten zijn slim en kunnen online communiceren. Die data-uitwisseling kan heel veel voordeel opleveren. We bouwen ermee aan slimme steden. Processen worden gedigitaliseerd en aan elkaar gekoppeld. Dat is innovatieve technologie waar we profijt van hebben maar die ook gehackt kan worden of defect kan raken. Niet alles wat we uitvinden hebben we even hard nodig. Een slimme koelkast die het even niet doet is minder erg dan een elektriciteitsnet dat uitvalt. Er zijn toepassingen die wat extra gemak geven en toepassingen waar we niet zonder kunnen. En combinaties, want dezelfde lantaarnpaal kan ook laadpunt voor je elektrische auto zijn, beveiligingscamera en sensor voor de luchtkwaliteit. Die slimme crossovers bieden wel meer mogelijkheden voor misbruik en ze kunnen ook een bedreiging vormen voor onze privacy.’
Toch maken we er bewust of onbewust allemaal gebruik van.
Frank: ‘We zouden het iets minder achteloos kunnen omarmen. Je moet je afvragen of het wenselijk is dat overal slimme camera's in zitten. Of je een stofzuiger wilt hebben die het hele huis filmt tijdens het werk. Maar de risico’s worden wel degelijk onderkend: er zijn in Europa strengere cybersecurity-eisen in aantocht voor producten en diensten. Het is ook niet alleen maar riskant. Met slimme technologie zijn vraagstukken op het gebied van leefbaarheid en (sociale) veiligheid op te lossen. Mobiliteit en gezondheid kunnen erop vooruit gaan, de leefbaarheid van een stad gaat vooruit. De meeste fabrikanten van slimme techniek zullen de rechten van gebruikers respecteren, maar er is altijd een risico dat anderen misbruik maken van kwetsbaarheden die er in de infrastructuur zitten. Die zijn er namelijk altijd.’
Wiens verantwoordelijkheid is het dat het allemaal veilig blijft?
Frank: ‘Dat is een goede vraag. Misschien wel van de veiligheidskundige. Er is een tendens binnen gemeenten om niet slechts te kijken naar de digitale veiligheid binnen hun eigen organisatie, maar ook naar de veiligheid in de vitale sectoren. Naar de manier waarop financiële instellingen, havens, stations, elektriciteitsmaatschappijen en andere nutsleveranciers hun zaken organiseren. Het NCTV (Nationaal Coördinatiecentrum Terrorismebestrijding en Veiligheid) brengt het onder de aandacht. Die organisatie houdt zich niet alleen bezig met crisisbeheersing en terreurbestrijding maar ook met cybersecurity. Dat is heel noodzakelijk, want we worden steeds kwetsbaarder. Nederland heeft vele vitale infrastructuren die cruciaal zijn voor onze economie maar ook gewoon voor de voorgang van ons dagelijkse leven. Kwaadwillenden zoeken naar de zwakste plek en die hoeft niet per sé in je eigen organisatie te zitten. Het kan heel goed een partij zijn met wie een bedrijf samenwerkt, die ergens aan je netwerk hangt. Het gaat dus niet alleen om vestigingen in het buitenland waar je verbinding mee hebt, maar ook om je toeleveranciers. Auditors die een systeem of organisatie beoordelen zullen ook steeds meer moeten kijken naar hoe alle partners hun zaken op orde hebben.’
Wie ziet het en wie voelt zich verantwoordelijk? Wie gaat dit risico aanpakken en hoe?
Frank: ‘Het wordt steeds vaker gevoeld als een collectieve verantwoordelijkheid. Overheden trekken het zich aan. Zoiets als 100 Resilient Cities is een voorbeeld van publiek-private samenwerking die voor iedereen gunstig is. Steden werken samen aan de beheersing van dreigingen nu en in de toekomst. Dat is niet alleen het beveiligen aan de voorkant. Veel doen aan preventie is verleidelijk en veiligheidskundigen herkennen het wel: als je veel energie steekt in preventie verklein je de kans dat het misgaat. We zijn dol op bronaanpak. Dat kan betekenen dat je een risicovol bedrijfsproces niet aansluit op het internet. Het gaat echter niet alleen om preventie, maar ook om preparatie en repressie. Preventie is kijken of je kwaadwillenden buiten kunt houden. Preparatie blijft noodzakelijk; zorg dat je een goed business continuity management plan hebt. Als er – ondanks al je voorzorg – iets misgaat moet je zorgen dat je snel weer up and running bent. En repressie wil zeggen dat als er iemand binnen is dat je dat zo snel mogelijk detecteert en dat je erop anticipeert.’
Dus je moet weten hoe je handelt als er iemand door je firewall heen breekt. En je moet een back-up hebben.
Frank: ‘Dat hoort bij je preparatie. Want je wilt zo snel mogelijk weer verder als je gehackt bent geweest. Gemeente Hof van Twente werd in december vorig jaar gehackt en wilde vanuit principe niet betalen. Het heeft ze heel veel gekost om weer op orde te komen en het is dapper dat ze dat doen zonder tegemoet te komen aan de eisen van de hackers met hun ransomware. Dat laatste was waarschijnlijk goedkoper geweest, maar je houdt dan ook het verdienmodel van de criminelen is stand. Het is de zoveelste les voor ons allen: je moet je niet alleen voorbereiden op denkbare risico's maar ook op de ondenkbare. Als je een risico-inventarisatie aan het doen bent heb je nog niet de kennis die je wel bezit ná een incident.’
Hoe bereid je je voor op het ondenkbare?
Frank: ‘Misschien moet je het onvoorspelbaar noemen in plaats van ondenkbaar, want in feite is niets ondenkbaar. Je bent beperkt door de kennis die je nu hebt, terwijl de techniek zich razendsnel verder ontwikkelt. Je loopt altijd achter de feiten aan terwijl je denkt dat je veel investeert in preventie. Definieer de zaken zo breed mogelijk en let op wat mensen doen. Die zijn heel goed in het vinden van olifantenpaadjes omdat dat handiger of sneller werkt. En dat biedt mogelijkheden voor cybercriminelen.’
Wat kun je ons aanraden?
Frank: ‘Investeer in cybersecurity en in noodplannen. Het komt nog steeds vaak voor dat organisaties geen goede back-up hebben. Ik vind het een goede zaak als gemeentelijke overheden inventariseren waar vitale sectoren en infrastructuur zit en hoe die georganiseerd is. Het NCTV heeft er goed zicht op maar het gaat erom wat je er vervolgens mee doet. Als lokale overheid maar ook als bedrijf. Er is een grote ketenafhankelijkheid. Weerbare organisaties kunnen gemakkelijker een claim van een hacker afwijzen, en daarmee dienen ze ook het collectieve belang.’
Resilience betekent dat je de voortgang onder alle omstandigheden borgt, dat je veerkracht hebt.
Frank: ‘De term omvat beduidend meer dan alleen cybersecurity. Er zijn talloze andere bedreigingen, bijvoorbeeld in de vorm van natuurrampen. In die resilient steden is er vaak een Chief Resilience Officer in dienst, iemand die de continuïteit als kerntaak heeft. Die functionaris volgt wereldwijd wat er aan ontwikkelingen, kansen en bedreigingen zijn voor steden. Die Chief Resilicience Officer is een persoon, maar hij laat zich bijstaan door een liefst zo multidisciplinair mogelijk team. Waar we voor moeten waken is dat iedere stad opnieuw het wiel gaat uitvinden, daarom is zo’n samenwerkingsverband zo nuttig. Kleinere gemeenten hebben het lastiger dan grote en het zou handig zijn als die kunnen aanhaken bij buurgemeenten die ook met de materie bezig zijn. Tijdens corona bleek heel duidelijk dat er veel verschil was tussen organisaties. Degene die al heel digitaal en online waren konden veel sneller overgaan tot de orde van de dag.’
Hoeveel kosten wil je maken en waar steek je je geld in?
Frank: ‘Het probleem is altijd dat het moeilijk is om te bepalen welke investering verantwoord is en welke niet. Meestal weet je dat pas achteraf. Ik vind het daarom verstandig dat de overheid daar een rol in speelt. Dat kan per gemeente, maar ook regionaal.’
Zeg je nu dat ondernemers verplichtingen opgelegd zouden moeten krijgen om hun bedrijfsvoering te borgen? Die zien de ambtenaren aankomen...
Frank: ‘Dat kan op basis van wederkerigheid. De overheid kan ook vragen wat een ondernemer nodig heeft om zijn primaire processen te waarborgen.’
Gemeenten maken dan andere afspraken met de bakker dan met de telecomprovider.
Frank: ‘Ze moeten prioriteren. Dat begint met het bepalen wat er echt belangrijk is en wat je zou kunnen missen. En dat vergt inzicht in de hele keten. Ik denk dat een ondernemer ergens in die keten daar graag hulp bij krijgt van de overheid.’
Regelt zich dat niet vanzelf? Kun je de markt niet vertrouwen? Als ik iets onmisbaars lever dan kan ik er meer voor vragen en dan heb ik meer budget om dat resilient te organiseren.
Frank: ‘Organisaties zijn daar niet volkomen transparant in. Je ziet vaak dat near-misses binnenskamers worden gehouden. Je kunt veel leren van organisaties die hun zaakjes perfect in orde hebben, maar misschien nog wel meer van de missers en de bijna-missers. Je wordt bij het perfecte bedrijf nu eenmaal eerder uitgenodigd om over de schutting te kijken. Die delen graag hun best practices, maar niet de lessons learned uit incidenten en bijna-incidenten.’
Willen bedrijven zaken niet alleen voor zichzelf goed organiseren? Als de concurrent omvalt hebben zij kans op een groter marktaandeel of een monopolie.
Frank: ‘De kans bestaat dat als je het aan de markt overlaat dat ieder bedrijf het voor zichzelf goed regelt, maar het gaat uiteindelijk om het geheel. Daarom denk ik dat overheidsbemoeienis goed is. De meeste bedrijven beseffen heel goed dat een stabiel netwerk om ze heen gunstig is voor iedereen, zeker waar het de vitale infrastructuur betreft. De zwakste schakel is bepalend voor een hele keten, dus organisaties zien best in dat het zinnig is als ze allemaal weerbaarder worden, want daarmee wordt de hele keten steviger en zij zelf dus ook.’
Dus dan is het ook zinnig om voor elk deel van de keten een back-up te hebben; een tweede pad dat naar Rome leidt, liefst op een behoorlijk andere manier. Maar als ik voor mijn telecommunicatie gebruikmaak van twee telecomproviders en ze gebruiken allebei netwerkapparatuur van Cisco dan worden ze tegelijk door hetzelfde virus getroffen.
Frank: ‘Daarom moet je er op een ander niveau over nadenken. Wat in ons land heel lastig is, omdat de bv Nederland voor een deel in buitenlandse handen is. Van staalfabrieken tot elektriciteitsleveranciers. Die bevinden zich gedeeltelijk buiten je invloedssfeer. Als je zaken doet met bedrijven uit je eigen land dan heb je het meer in de hand.’
Die keus hebben we nauwelijks meer sinds DAF en Fokker zijn gesaneerd en de KLM is gefuseerd met Air France.
Frank: ‘We moeten daarom de internationale samenwerking zoeken. Een netwerk als Resilient Cities is des te waardevoller naarmate dreigingen zich niet door grenzen tegen laten houden. Cybercrime is bij uitstek een bedreiging die van buiten je grenzen kan komen. Zoals je kennis deelt om digitale oplossingen voor maatschappelijke vraagstukken te vinden, zo kun je ook samen zorgen voor resilience.’
Leunen we niet te zwaar op complexe technologie waar de gemiddelde veiligheidskundige weinig meer van begrijpt?
Frank: ‘We adopteren alle nieuwe mogelijkheden vlot, terwijl we ons best eens af kunnen vragen of het werkelijk nodig is. En waar we kunstmatige intelligentie gebruiken om dreigingen automatisch te detecteren is het zaak om het menselijk oog en de menselijke maat in de gaten te houden. Daar kunnen we in doorschieten.’
Zijn we niet al lang doorgeschoten?
Frank: ‘Goede vraag. Ik denk op sommige terreinen al wel. De drang naar slimmer en meer digitaal is lastig te beheersen. Vroeger zette je een stevig slot op de deur om iemand buiten te houden. Nu moet je een heel netwerk in de gaten houden en zorgen voor digitaal veiligheidsbeleid. En soms schieten we door naar de andere kant: dan zijn alle firewalls op orde, maar de deur van de serverruimte staat gewoon open. Dat moet in balans zijn. Net zoals je investeringen in preventie in balans moeten zijn met die in repressie en back-up.’
Is cybersecurity een aandachtsgebied voor veiligheidskundigen?
Frank: ‘Ja. Maar veiligheidskundigen zijn van oudsher gericht op de fysieke risico's en nu moeten ze beseffen dat de digitale wereld en de fysieke wereld verweven zijn geraakt. Iedereen loopt met slimme telefoons rond en dat levert nieuwe risico's op.’
Hacking, virussen. Nog meer?
Frank: ‘Het gaat niet alleen om virussen. Je moet ook denken aan bijvoorbeeld desinformatie. Je hebt geen idee meer waar data vandaan komt en met welk doel die bij jou terechtkomt. Trollenfabrieken in Rusland beïnvloeden de verkiezingen. Het Capitool in de Verenigde Staten wordt bestormd. Ook het verloop van de coronapandemie en het draagvlak voor de maatregelen worden ernstig beïnvloed door desinformatie en misinformatie. Zonder smartphones en internet zou dit risico veel geringer zijn.’
Wat is het verschil tussen desinformatie en misinformatie?
Frank: ‘Desinformatie – of disinformatie – is bewust gekleurd, onvolledig of fout, en misinformatie is alleen maar onjuist, zonder dat er een vooropgezet doel achter zit. Desinformatie werd verspreid rond de strijd om de Krim, rond MH17 en rondom de verkiezingen in de VS. Desinformatie is een nieuw wapen in moderne oorlogvoering. Daarvoor hoef je geen vieze handen te maken en het maakt niet uit waar je zit. Maar ook misinformatie leidt onbewust en onbedoeld tot polarisatie via de algoritmen achter zoekmachines, die zorgen dat mensen binnen hun informatiebubbel blijven.’
Maar het internet censureren of verbieden lijkt me in Nederland nogal onmogelijk.
Frank: ‘De vooruitgang is niet te stoppen. Het heeft weinig zin om ons in twee kampen te verdelen; degenen die voor en degenen die tegen de digitalisering en vernetwerking zijn. Of het nu om corona gaat of om kunstmatige intelligentie. Het is jammer als we de dialoog kwijtraken en dat probeer ik uit alle macht te voorkomen. Ik denk ook niet dat het nodig is dat de twee kampen elkaar overtuigen; de winst zit hem in de grote, relatief stille middengroep. We hoeven niet iedereen in ons kamp te trekken, we willen alleen anderen een handje helpen om desinformatie te herkennen. Dat is ook waar we met de Hackathon for Good aan werken. Mensen moeten niet alleen bekwaam zijn in het bedienen van de techniek maar ook in het beoordelen en selecteren, het waarderen van data. We vertellen ze niet wat waar is, maar we wijzen ze de gereedschappen aan waarmee ze waarde kunnen toekennen aan alles wat ze zien, horen en lezen. We zouden ze moeten leren die te gebruiken, gewoon op school of bij de bibliotheek. En in deze wereld van steeds betere deep fakes wordt dat steeds belangrijker. Mijn ideaal is een zelfreinigend systeem. Slimme steden met slimme bewoners.’
Frank van Summeren over cyberrisico’s: ‘waak voor de ongebreidelde drang naar slimmer’
