WRR: ‘Nederland is te afhankelijk van digitale systemen’

Nederland moet zich beter voorbereiden op digitale ontwrichting. Dat staat in een rapport van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR). De raad maakt zich zorgen over de problemen die ontstaan als digitale systemen uitvallen, zoals de KPN-storing op 24 juni, toen het noodnummer 112 onbereikbaar was.

Welk gevaar loopt Nederland?

In juni 2018 maakte de WRR bekend een advies te gaan opstellen voor de Nederlandse regering, over de gevaren van een cyberramp. Met het rapport ‘Voorbereidingen op digitale ontwrichting’ hoopt de WRR een debat aan te wakkeren over de digitale veiligheid van Nederland. De conclusie van het rapport: Nederland is niet goed voorbereid op grootschalige digitale ontwrichting.

Nederland is steeds meer en vaker afhankelijk van digitale systemen. Denk aan bellen, betalen of reizen met het openbaar vervoer. Een cyberaanval, kapotte servers of softwareproblemen kunnen een groot effect hebben op het functioneren van die digitale systemen. Hoewel we daarvan afhankelijk zijn, weten we niet wat we moeten doen als zo’n systeem uitvalt.

Een belangrijke oorzaak is de complexiteit van de digitale wereld. Organisaties en bedrijven hebben vaak geen goed beeld van welke systemen ze allemaal afhankelijk zijn. Uit het rapport: ‘Steeds vaker zijn verschillende systemen aan elkaar gekoppeld. Met de toenemende interactie tussen fysiek en digitaal komen onze economie, nationale veiligheid en het normale maatschappelijke leven op onvoorziene manieren in gevaar.’

Wat ging er fout bij de 112-storing bij KPN van 24 juni?

Die grote verwevenheid tussen organisaties en bedrijven is goed terug te zien bij de storing van KPN op 24 juni dit jaar, concludeert WRR-onderzoeker Erik Schrijvers. Door de storing lag een groot deel van het telefoonnet uren plat. KPN kon terugvallen op drie ‘terugvalopties’ die ‘op onverklaarbare wijze’ niet werkten. Hierdoor was het noodnummer 112 ook uren onbereikbaar. KPN, softwarebedrijven die aan KPN leveren en 112 waren zo met elkaar verweven dat het moeilijk was om snel in te grijpen.

CDA-minister Ferdinand Grapperhaus van Justitie en Veiligheid schreef later in een brief aan de Tweede Kamer dat de politie het scenario van een storing bij het noodnummer nooit had geoefend. Voor een gedeeltelijke storing zou wel zijn geoefend, maar niet voor het zwaarste scenario. Voor veel fysieke rampen, zoals aanslagen of overstromingen, wordt vooraf geoefend. Dat geldt volgens de WRR nog niet voldoende voor digitale rampen.

De schade van de KPN-storing is moeilijk vast te stellen. Diverse veiligheidsregio’s deden meldingen van slachtoffers die overleden doordat een ambulance te laat arriveerde. Officieel zijn drie personen overleden tijdens de storing, maar het is niet duidelijk of zij het hadden overleefd als het noodnummer wel had gewerkt.

Wat ging er fout in de Rotterdamse haven?

Een tweede voorbeeld dat de WRR gebruikt om de ernst van de situatie te schetsen, is de cyberaanval op het containeroverslagbedrijf Maersk. In juni 2017 werd Maersk getroffen door een wereldwijde cyberaanval die ook andere bedrijven trof. Een collectief van Russische militaire hackers kaapte het IT-systeem via ‘gijzelsoftware’. Met dat systeem worden computers geblokkeerd en pas weer vrijgegeven als er een geldbedrag naar de hackers wordt overgemaakt.

De situatie in Rotterdam toont aan dat Nederland niet goed kan handelen in digitale chaos, legt WRR-voorzitter Corien Prins uit. ‘Op het moment dat er hier brand uitbreekt, dan bellen we 112,’ zegt Prins in gesprek met NRC. ‘Dan staat de brandweer voor deur, die mag naar binnen en gaat de brand blussen.’ Toen Maersk werd getroffen door een ‘digitale brand’, greep de gemeente Rotterdam ook in, maar kon die niets doen. Volgens Prins het gevolg van de beperkte bevoegdheden van de overheid om op te treden in de digitale wereld.

Door de aanval lagen schepen uren stil, moesten schepen naar andere havens varen of kregen klanten hun spullen niet op tijd. De schade voor Maersk liep op tot ongeveer 330 miljoen euro. De cyberaanval kostte de getroffen bedrijven uiteindelijk ruim 900 miljoen euro.

 Hoe kan Nederland zich wapenen tegen digitale ontwrichting?

De WRR benadrukt dat Nederland hard werkt aan het voorkómen van digitale ontwrichting. De voorbereiding is volgens de raad dan ook niet het probleem: situaties die ontstaan door digitale crises moeten veel beter worden geoefend en uitgedacht.

De raad heeft vijf adviespunten opgesteld:

1. Creëer een helder afgebakende wettelijke bevoegdheid voor digitale hulptroepen.
2. Stel in aanvulling op het huidige Cybersecuritybeeld een Cyberafhankelijkheidsbeeld op, dat inzichtelijk maakt van welke partijen, digitale processen en diensten het functioneren van vitale processen in de Nederlandse samenleving afhankelijk is.
3. Besteed bij het beleid voor vitale infrastructuur meer aandacht aan de ketens en netwerken die vitale processen ondersteunen. Onderzoek bovendien of digitalisering het nodig maakt de prioritering van die processen aan te passen.
4. Stimuleer onderzoek naar de haalbaarheid van een Nederlandse of Europese cyberpool om schade als gevolg van digitale ontwrichting te verzekeren.
5. Benut nationale en internationale incidentdata beter om lessen te trekken met het oog op  toekomstige verstoringen.

Maandag om 16.00 uur werd het rapport gepresenteerd. Bekijk de presentatie terug in de onderstaande video: