De vergeefse noodkreet van de Nederlandse politie uit 2021 om Russische spionage tegen te gaan – waar de Volkskrant vrijdag over berichtte – toont pijnlijk de Europese onmacht bij digitale dreigingen, vinden experts. Zij hopen dat Nederlandse en Europese overheden assertiever worden.
is onderzoeksjournalist bij de Volkskrant met als specialisatie cybersecurity en inlichtingendiensten.
Rechercheurs van het Team High Tech Crime ontdekten in 2021 dat een Russische hack van het Europese Geneesmiddelenbureau (EMA) via een Grieks IT-bedrijf liep. De Nederlandse politie wilde onderzoek bij dit bedrijf maar kon dat niet – dat is voorbehouden aan de Griekse autoriteiten. Het opsporingsonderzoek liep zodoende dood.
De politie wilde het er niet bij laten zitten en maakte de zaak middels een ‘urgent verzoek’ in Europa aanhangig. Ze hoopte zo de Russische dreiging alsnog weg te nemen en de zaak een voorbeeld te laten zijn van ‘succesvolle Europese samenwerking’. Maar het tegenovergestelde gebeurde, liet onderzoek van de Volkskrant zien: met de Nederlandse noodkreet werd nooit iets gedaan.
‘De zaak laat zien dat er nog een wereld te winnen is in de samenwerking op het gebied van digitale veiligheid’, reageert Liesbeth Holterman, strategisch adviseur van brancheorganisatie Cyberveilig Nederland. ‘Waar in Nederland publieke en private partijen elkaar goed weten te vinden – zoals bij de bestrijding van gijzelsoftware – is internationale samenwerking te veel afhankelijk van de inzet van individuele landen. En dat baart zorgen, gezien de dreiging die op ons afkomt.’
Wat een reactie sowieso bemoeilijkt is dat internationale instellingen zoals het Geneesmiddelenbureau maar ook het Internationaal Strafhof zelf verantwoordelijk zijn voor hun digitale veiligheid. Nederland heeft een ‘inspanningsverplichting’ om het functioneren van internationale organisaties te faciliteren en om de veiligheid te waarborgen, schrijft een woordvoerder van het ministerie van Justitie en Veiligheid.
Maar die inspanning betreft de fysieke veiligheid. Digitaal liggen de zaken anders. Dat doen organisaties zelf. Ook omdat het ‘niet wenselijk’ is dat Nederland als gastland toegang heeft tot digitale systemen van internationale organisaties.
Eventueel kunnen die instellingen bij een incident, zegt Justitie en Veiligheid, ‘vrijwillig’ een melding doen bij het Nationaal Cyber Security Center (NCSC). Maar meer dan advies geven kan het NCSC vervolgens niet. Ook inlichtingendienst AIVD wijst erop dat internationale organisaties ‘primair zelf verantwoordelijk’ zijn. Zo kan het gebeuren dat Russische of Chinese hackers op Nederlands grondgebied actief zijn en aan spionage doen, zonder dat de nationale inlichtingendienst betrokken raakt.
Er bestaat niet zoiets als een Europese AIVD die de regie naar zich toe kan trekken. ‘We zijn nog niet de Verenigde Staten van Europa en er is nog geen algemene Euro-FBI die overal in de EU onderzoek kan doen, ook als een lidstaat dat niet wil’, zegt digitaal expert Bert Hubert.
De samenwerking tussen de vele Europese diensten is bovendien gebrekkig, zegt hij. ‘Er is maar een beperkte vertrouwensbasis.’ Tegenstanders, zowel crimineel als statelijk, maken gebruik van deze Europese zwakte, stelt Hubert. ‘Doe je werk als crimineel vanuit Luxemburg en val instanties aan in Nederland en overheden hebben enorme moeite om een vuist te maken.’
De urgentie van het probleem wordt inmiddels beetje bij beetje gevoeld in Europa. ‘We zien goede ontwikkelingen’, zegt Holterman van Cyberveilig Nederland. ‘Waar tien jaar geleden cybersecurity nog een onderwerp was dat in het verlengde lag van nationale veiligheid, en dus per definitie iets dat niet Europees werd opgepakt, zien we dat door de geopolitieke situatie veranderen.’
Er is bijvoorbeeld een Europese cybersecuritypartij, ENISA, bij gekomen. Een woordvoerder van ENISA zegt het belang van tijdige informatiedeling en coördinatie ‘te onderkennen’. Zo riepen Europese landen in december nog op tot ‘verbetering’ van de Europese reactie bij digitale crises, voegt zij toe.
Hubert wijst erop dat in 2026, na vijftien jaar onderhandelen, een nieuwe verordening ingaat die het makkelijker maakt voor Europese landen om direct gegevens op te vragen bij bedrijven in andere landen ‘zonder ingewikkelde en lange procedures’.
Maar dat is toekomstmuziek. Voorlopig is de Europese reactie vooral traag en krachteloos, ziet ook zelfstandig adviseur Inge Bryan, die in verschillende publieke en private rollen jarenlang te maken had met digitale dreigingen.
‘Ik herken de ambtelijke zoektocht van ‘wie is aan zet’. De overheidsdienaar redeneert vanuit zijn eigen bevoegdheden en kijkt dan naar het probleem. Dat leidt tot eindeloze vertraging waar we juist moeten versnellen.’ Deze zwakte in de besturing van Nederland en Europa wordt volgens haar ‘systematisch geëxploiteerd’ door China en Rusland. Bryan zou het daarom liever anders zien. ‘We moeten leren andersom te redeneren. Eerst: wat is het probleem? En dan: vanuit welk kader gaan we het oplossen?’
Geselecteerd door de redactie
Lees hier alle artikelen over dit thema
Source: Volkskrant