Om te beginnen: hoe zijn de VVD en Renew Europe, de Europese fractie waar de VVD in zit, in het Europees Parlement beveiligd? Groothuis: “Minder goed dan ik zou wensen. 100 procent beveiliging bestaat niet, maar soms zie ik dat zelfs de basisveiligheid nog ontbreekt, zoals tweefactorauthenticatie om in te loggen of streng wachtwoord- en softwarebeleid. We zijn kwetsbaar. Pakweg een jaar geleden kwam naar buiten dat de Europese Volkspartij (EVP), de Europese christendemocraten, gehackt werd door Russen. Je kunt er op wachten dat je zelf ook doelwit wordt. Je moet scherp zijn.” Hoe raken cyberdreigingen nu en straks bestuurlijke organisaties? “Kijk, het grootste probleem is dat de cyberdreiging op industriële schaal op ons afkomt; dat vereist dus ook een industriële respons. Criminelen maken ook geen onderscheid tussen wat wel en niet vitaal is; ze vallen aan waar geld te halen is. Vroeger ging het om criminelen die mensen geld afhandig maakten met bijvoorbeeld internetbankieren. Nu vallen ze hele fabrieken en ziekenhuizen aan, complexe en minder complexe IT-netwerken, om kleine en grote instellingen heel veel geld afhandig te maken. Ze kijken bij aanvang van de hackpoging eerst of je geld hebt of bereid zal zijn om dat bij elkaar te brengen. Het gemiddelde geëiste losgeld is 140.000 euro, of tot 2 procent van de jaaromzet. Ook veel provincies en gemeenten hebben daarmee te maken. Cybersecuritybedrijven melden dat provincies en gemeenten vaak betalen om zo de dienstverlening aan de burger door te laten gaan.” Welke? “Hof van Twente, Belgische gemeenten, maar ook de universiteit in Maastricht,. Maar kijk: of ze betalen of ze huren een bedrijf in om het op te ruimen. Beter is om in control te zijn en je digitale zaken op orde te hebben.” En doet men aangifte? “Niet altijd, de verhouding tussen het aantal aanvallen met ransomware en aangiftes is ongeveer 20 op 1. Het probleem is breed en op industriële schaal, dus een industriële respons is echt nodig.” U ziet het als een industrieel probleem. Staan de hackers op een bedrijventerrein in Peking of Moskou? “Het gaat om geprofessionaliseerde netwerken, bestaande uit gespecialiseerde onderdelen die geografisch verspreid van elkaar kunnen werken. Pas geleden is er een bende goeddeels opgepakt en geen van de ingerekende bendeleden was zelf hacker. Die bendes bestaan vaak uit een club die hackt, vervolgens wordt de toegang tot het beoogde netwerk verkocht aan het Nummer 41, januari 2022 Waarom wilt u dat, een boete? “Wetgeving moet ook tanden hebben. Bovendien zeggen we in Nederland al tien jaar: cyberveiligheid moet chefsache zijn in de bestuurskamer. Dat dwingt wetgeving af.” Doen we het zo slecht? “In vergelijking met de Verenigde Staten geven we 41 procent minder uit aan cyberveiligheid, en Biden komt met spoedwetgeving. Om een waterbedeffect uit te schakelen moeten we in Europa zorgen dat we niet een aantrekkelijk doelwit zijn. Dus dwingen we extra maatregelen af zoals tweefactorauthenticatie, regelmatig backuppen en een goed software- en wachtwoordmanagement. Daar kijken de criminelen ook het 75 volgende team die de data versleutelt, waarna weer een ander onderhandelt met het slachtoffer. Vaak is er ook financiële expertise. bijvoorbeeld als er in bitcoins betaald moet worden. We weten dat de masterminds die hier aanvallen, vaak in Rusland zitten terwijl de facilitators die een deel van het vuile werk opknappen net zo goed overal in (Oost-) Europa kunnen zitten.” Hoe moet die beoogde industriële respons eruitzien? “Vooral door te automatiseren. Informatiedeling moet veel sneller en met meer partijen; incidenten moeten leiden tot waarschuwingen aan anderen. We vragen om een operationele overheid die actief beschermt en zich niet beperkt tot de vitale sectoren. Ransomwaregroeperingen houden zich niet aan onze bestuurlijke indeling. Daarnaast moeten we minder kwetsbaar worden. Maatregelen moeten afgedwongen worden door sectoraal toezicht op cybersecurity; dus de toezichthouder op zorg moet de cybersecurity voor ziekenhuizen meenemen. En als bedrijven keer op keer hun zaakjes niet op orde hebben, moet het management een boete kunnen krijgen. Bijvoorbeeld van twee procent van de jaaromzet. Dat is het bedrag dat internetcriminelen doorgaans vragen.” Het gemiddelde geëiste losgeld is 140.000 euro, of tot 2 procent van de jaaromzet
76 Online Touch Home