De wereld wordt onveiliger, de dreigingen gevarieerder. In een conflict zoals rond de Oekraïne zien we dreigingen en aanvallen in meerdere vormen, met als laatste wapenfeit het kapen en platleggen van overheidssites. Is Nederland voldoende beschermd tegen cyberaanvallen, bijvoorbeeld op vitale infrastructuur zoals het elektriciteitsnetwerk? KPMG pleit voor een integrale aanpak, in een hecht samenwerkingsverband tussen Defensie, politie, veiligheidsdiensten én private partijen.
Oorlog voeren is allang geen kwestie meer van alleen (dreigen met) fysiek geweld, zo bleek maar weer eens uit het hacken van tientallen Oekraïense overheidssites in januari: er zijn veel meer manieren om een samenleving te destabiliseren. Ook Nederland is daar kwetsbaar voor. Het scenario dat hackers bijvoorbeeld (grote) delen van Nederland treffen door de elektriciteitsvoorziening plat te leggen is absoluut niet ondenkbaar. Bijvoorbeeld door controlekamers van het hoogspanningsnetwerk virtueel binnen te dringen. Of door stations van lokale netwerken aan te vallen. Miljoenen burgers en bedrijven komen dan zonder stroom te zitten. Minimaal voor enkele uren, maximaal voor een etmaal, zo veronderstellen specialisten.
Wat gebeurt er dan? De economische en maatschappelijke schade kan aanzienlijk zijn. De economie wordt getroffen omdat winkels gesloten blijven, communicatienetwerken uitvallen en het merendeel van de mensen niet kan werken. Het openbaar vervoer zal stil komen te liggen en de automobiliteit zal in ieder geval fors afnemen. De ernst van de sociale en psychologische gevolgen zal sterk afhangen van de duur van de uitval. De onveiligheid op straat wordt meteen groter. Onrust, vernielingen, plunderingen zijn waarschijnlijk. De veiligheidsbeleving van burgers krijgt een knauw, net als het vertrouwen in onze openbare voorzieningen. Bovendien neemt de impact van een gebeurtenis als deze de komende jaren alleen maar toe, want in het kader van de energietransitie 'elektrificeert' de samenleving. We gaan met z'n allen 'van het gas af' en voor onze energievoorziening wordt onze afhankelijkheid van het elektriciteitsnetwerk alleen maar groter.
Hoe is dit risico te beheersen? Zoals voor alle risico's geldt: ten eerste door de kans te verkleinen dat het zich manifesteert, ten tweede door de impact te beperken mocht het zich onverhoopt toch voordoen.
De kans verkleinen hangt in dit geval af van de manier waarop het elektriciteitsnetwerk beveiligd is. Het gaat dan om de vraag hoe hoog en hoe sterk de muur is die tegen indringers is opgetrokken. Omvat die muur alle vitale delen van het netwerk of vallen sommige delen erbuiten? En dus ook: zijn alle organisaties rond het netwerk op dezelfde manier betrokken bij de (kwaliteit van de) beveiliging?
Ook het beperken van de impact van een dergelijk incident hangt in eerste instantie af van de volwassenheid van het risicomanagement bij deze organisaties. Het eerste doel zal zijn het beperken van de duur van de stroomuitval. Zijn alle beheersmaatregelen daar inderdaad op gericht?
In tweede instantie gaat het wat betreft de impact om de mate waarin de rest van de samenleving is voorbereid op stroomuitval. Ziekenhuizen, fabrieken, IT-ondernemingen, winkelbedrijven, overheidsorganisaties: weten zij hoe ze moeten reageren, hebben zij draaiboeken klaarliggen?
Een cyberaanval zoals die op het elektriciteitsnetwerk heeft dus (potentieel) ontwrichtende gevolgen. Daarom is cyberveiligheid ook een zaak van nationale veiligheid en is de verdediging tegen zo'n aanval een verantwoordelijkheid van ons allemaal. Dat blijkt echter nog niet voldoende uit de manier waarop de verdediging tegen zo'n aanval is georganiseerd. Dat kan beter.
Wat ontbreekt, is een integrale aanpak. Nederland verdedigt zich nu gefragmenteerd tegen cyberaanvallen en de vele organisaties die erbij betrokken zijn maken daardoor te weinig gebruik van elkaars kennis en ervaring. Binnen de overheid is de aanpak verkokerd en private organisaties hebben praktisch geen rol in de verdediging. Defensie, politie en veiligheidsdiensten maken structureel veel te weinig gebruik van de cyberspecialisten uit het Nederlandse bedrijfsleven.
Samenwerking is daarom cruciaal bij het op orde brengen van onze cyberveiligheid.
Defensie signaleert in de Defensievisie 2035 dat de organisatie nu onvoldoende is ingericht om de bedreigingen op nieuwe gebieden als cyber het hoofd te bieden en stelt dat forse investeringen in de eigen mogelijkheden op dat gebied daarom onontbeerlijk zijn. Naar onze mening echter volstaan dergelijke investeringen niet om een degelijke verdediging op te bouwen tegen dit soort bedreigingen. Daarvoor is vooral meer samenwerking en meer coördinatie nodig. Nationaal en internationaal, publiek en privaat. KPMG is meer dan bereid daar zijn steentje aan bij te dragen.
