Ik zou toch graag eens een genuanceerde expert-mening horen over deze statements van het NCSC:
Ik ben geen expert, maar weet wel een beetje van beveiliging. Ik ben het met het NCSC eens dat de dreiging groot is en wordt onderschat. Het gaat heel moeilijk zijn om genuanceerd te zijn. Over de toestand van de Titanic valt ook niet veel genuanceerds te zeggen. De genuanceerde mening is "Help! Paniek! Het water komt van alle kanten!". In reactie stuurt ons kabinet een schriftelijke cursus zwemmen. Maar goed, dat is beter dan niets.
"De omvang en ernst van de digitale dreiging in Nederland zijn nog steeds aanzienlijk en blijven zich ontwikkelen. Er is sprake van een continue digitale dreiging voor de nationale veiligheid. "
Deel van het probleem is dat het niet goed zichtbaar is en ontzettend veel aspecten heeft. De meeste organisaties hebben het niet eens door wanneer ze gekraakt zijn als ze het niet uit de krant vernemen. Individueel zijn de meeste problemen klein maar samen stapelt het gigantisch op. Het schreeuwt "Pas op! IJsberg!". Het beste voorbeeld is misschien wel dat we regelmatig horen over scholieren die met hun zakgeld een DDOS kopen en de hele school plat leggen. Zelfs onze banken zijn regelmatig het slachtoffer. Iemand die echt kwaad in de zin heeft kan waarschijnlijk wel een paar ziekenhuizen onderuit halen, dan wordt het opeens heel serieus.
Je vraag onderstreept het probleem, de meeste mensen hebben geen flauw idee hoe dramatisch slecht de situatie is. Dat we een "Nationaal" Cyber Security Center hebben zegt ook al iets. Je hoort nooit iets van "De Nationale Brandweerkazerne van Nederland". Iedere stad heeft z'n eigen brandweer, veel dorpen hebben een vrijwillige brandweer, iedereen heeft rookmelders, bedrijven worden door de brandweer gecontroleerd en hebben noodplannen klaar liggen. Er is wel een nationale brandweer organisatie, maar brandjes blussen doe je toch lokaal.
De meeste organisaties komen niet verder dan de brandweer in de middeleeuwen: als het fikt gaan we een emmer zoeken.
Een continue dreiging voor de nationale veiligheid. Dat is nogal wat. Waar is zoiets op gebaseerd? En wat betekent dat? Liggen de russen op de loer? Moeten we ons zorgen maken? Ik vind het een beetje ruiken naar volksmennerij en subsidietrekkerij. Natuurlijk zal een orgaan dat bestaat bij gratie van subsidie naar cybersecurity altijd aangeven dat het een serieus probleem is en dat er meer geld naar ze toe moet.
Ik maak me zorgen over de stroomvoorziening van Nederland, over waterhuishouding (pompen en gemalen enzo), over Schiphol (kleine storing -> dag niet vliegen), over de havens, over onze pensioenfondsen, over enorme tanks met brandstof of chemicalien die met één commando de rivier in stromen (leuke chantage), bedrijven die failliet gaan omdat hun kennis wordt gestolen of hun productie gesaboteerd door (buitenlandse) concurrenten.
Ik vind het nu een beetje klinken alsof overheid.nl en belastingdienst.nl en de infrastructuren van alle media en universiteiten en leading big corp op het puntje van vallen staan. Is dit niet wat overdreven?
Nee, dat is niet overdreven, dat is hoe het er voor staat. De belastingdienst valt zo'n beetje ieder jaar om.
Ik zou overigens de volgorde omdraaien. De overheid heeft z'n zaakjes het beste op orde in NL, dan de universiteiten en daarna pas het bedrijfsleven. In de media horen we wel verhalen over hoe slecht de overheid met IT is, en die zijn allemaal waar, maar in het bedrijfsleven is het meestal nog slechter gesteld, maar die kunnen in het geheim blunderen terwijl de overheid dat in openheid doet.
Sorry voor het dramatische taalgebruik in deze mail, maar het is moeilijk om over te brengen hoe rot de situatie is. De meeste mensen missen de achtergrond om het probleem te zien, alsof een blinde moet oordelen over een brand in een bibliotheek.