Begin deze eeuw stapt Bart Groothuis in het centrum van Nijmegen de winkel van een bekende telefonieaanbieder binnen. De eerste internettelefoons zijn net geland en de student geschiedenis, die in zijn vrije tijd computers in elkaar zet, voelt dat dit iets groots is. Hij wil dicht op de ontwikkeling zitten en solliciteert naar een bijbaan als verkoper. 

Voor hij het weet staat de geboren Tukker  in een rode polo uitleg te geven over de fonkelnieuwe producten: ‘Je had toen veel zakenlui die op kantoor voorop wilden lopen. Die kon ik mooi uitleggen wat ze allemaal konden met die telefoons. Dat was te gek!’

Groothuis, zo vertelt hij in een videocall aan Follow the Money, volgt de explosieve ontwikkeling van het internet vanaf dat moment op de voet. Hij ontwikkelt een interesse in cybersecurity en gaat na zijn studie bij Defensie aan de slag. De computerhobbyist werkt zich snel op tot hoofd van het Bureau Cyber Security en is op 32-jarige leeftijd verantwoordelijk voor de beveiliging van de systemen van de krijgsmacht.

De reserveofficer van de marine raakt gefrustreerd door de enorme hoeveelheid aanvallen via internet die hij voor zijn neus ziet plaatsvinden

De reserveofficer van de marine raakt gefrustreerd door de enorme hoeveelheid aanvallen via internet die hij voor zijn neus ziet plaatsvinden, en door het totale gebrek aan politieke respons: ‘Door het ontbreken van sancties kwamen daders ermee weg. Ook als we wisten wie het waren.’

Namens de VVD vertrekt Groothuis daarom in 2020 naar het Europees Parlement. Daar werkt hij als hoofdonderhandelaar aan een richtlijn die het beveiligingsniveau moet opkrikken in het digitale domein van internet en computernetwerken in de hele Unie. Daarnaast is hij pleitbezorger van een gemeenschappelijke digitale strategie die het handelsblok in staat zou stellen om ransomware en desinformatie te voorkomen en te bestraffen. 

Komend voorjaar moet de tekst van de nieuwe richtlijn klaar zijn. Toch gaat het Europarlementariër Groothuis niet hard genoeg: ‘Als we niet snel als Unie actie ondernemen tegen cyberdreigingen, is het continent verloren in het digitale domein.’

De lidstaten van de Europese Unie worden overspoeld met ransomware, desinformatie en diefstal van intellectueel eigendom vanuit China en Rusland. Tot op heden heeft Europa hier geen vuist tegen kunnen maken. Hoe staat Europa ervoor op het cyberwereldtoneel? 

‘Niet goed. We hebben als Europa veel te lang naar de Amerikanen gekeken voor bescherming. Dat zijn we op het gebied van defensie gewend, omdat ze in de fysieke wereld dominant zijn. In het digitale domein zijn de Amerikanen echter helemaal niet dominant, omdat hun strategie van afschrikking daar niet werkt.

Europa is daardoor veel te lang achter een achterhaalde strategie aangelopen, waardoor het nu pas aan een eigen, zelfstandige positie in het cyberdomein begint te denken. Dit is een grote fout geweest.’  

Waarom is het belangrijk dat de Europese Unie een eigen plek krijgt in het cybersecuritylandschap?
‘Als je je als land in je eentje verzet tegen cyberaanvallen uit Rusland of China, kun je een respons uit die landen verwachten. Die is meestal niet fraai. Het is dan prettig om je achter de brede schouders van Brussel te verstoppen en als collectief te reageren. 

Europese bedrijven investeren nu al 41 procent minder in cybersecurity dan Amerikaanse. Dat gat wordt door de noodmaatregelen die ze daar uitvaardigen alleen maar groter. De facto maakt dat de EU nóg aantrekkelijker voor ransomware aanvallen dan die nu al is.’ 

Hoe kwetsbaar is de Europese Unie voor cyberdreigingen? 

‘Heel kwetsbaar. Volgens de politie en het Openbaar Ministerie verdubbelde in 2019 de cybercriminaliteit in Nederland. In 2020 riep de FBI dat het aantal ransomware-aanvallen in een jaar tijd wereldwijd verviervoudigde.

‘Ons bedrijfsleven wordt ook al jarenlang leeggezogen door vooral Chinese hackers die waardevolle bedrijfsgeheimen stelen’

Dit jaar hoor ik van veiligheidsdiensten uit heel Europa dat het aantal aanvallen nog veel hoger ligt. De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV, red.) waarschuwt niet voor niets dat ransomware inmiddels een bedreiging vormt voor de nationale veiligheid van Nederland. 

Dan heb je het alleen nog maar over gijzelsoftware. Maar we hebben ook te maken met ontwrichtende desinformatiecampagnes en ons bedrijfsleven wordt ook al jarenlang leeggezogen door vooral Chinese hackers die waardevolle bedrijfsgeheimen stelen. De verontwaardiging hierover blijft volstrekt achter bij de dreiging waar al jaren voor wordt gewaarschuwd.’  

In verschillende media stelde je dat er sprake is van een ‘ransomwarepandemie’. Wat bedoel je daarmee? 

‘De cijfers lopen jaarlijks exponentieel op en het treft iedereen. De gemiddelde som die een ransomwaregroep vraagt, ligt rond de 140.000 euro of tot 2 procent van de jaaromzet. Het gaat dus niet alleen om multinationals, maar ook om het midden- en kleinbedrijf en burgers. De hele samenleving is slachtoffer. 

De hulpverleners kunnen het ook niet meer aan. De politie kan de aangiften niet meer kwijt, terwijl het Nationaal Cyber Security Centrum (NCSC, red.) en de veiligheidsdiensten compleet worden overlopen. Er moeten maatregelen komen die het beveiligingsniveau in de hele Unie  verhogen om de samenleving als geheel te beschermen.’

Een van de Europese maatregelen die daarbij moet helpen, is de herziening van de richtlijn Netwerk- en Informatiebeveiliging (NIS2-richtlijn) waar jij rapporteur van bent. Wat gaat die brengen? 

‘De richtlijn zorgt ervoor dat er straks zo’n 160.000 Europese bedrijven en overheidsinstellingen die van kritiek belang zijn voor onze samenleving, worden verplicht om aan hoge securitystandaarden te voldoen. Nu zijn dat er nog maar een paar duizend. Het bereik van de richtlijn wordt dus veel groter en strekt zich uit van ziekenhuizen en nutsvoorzieningen tot grote private partijen die actief zijn in de logistiek, of als serverproviders. 

Die 160.000 worden verplicht om een goed wachtwoordbeheer te voeren, back-ups te draaien en tweestapsverificatie toe te passen. Simpele dingen, maar er staat straks wel een sanctie op als je ze niet nakomt. Ze krijgen ook de plicht zware cyberincidenten te melden bij de nationale cybersecurity centra (in Nederland: het NCSC, red.), die op hun beurt een juridische basis krijgen om die informatie door te spelen naar centra in andere landen en anderen voor wie die informatie belangrijk is. 

De NIS2-richtlijn is ook bedoeld als een basis om meer informatie met elkaar te delen. Bedrijven en overheden zijn daar vaak terughoudend in, omdat ze bang zijn in strijd met de privacy te handelen als ze een e-mail- of IP-adres van een hacker doorgeven. Onder de richtlijn mag je die informatie delen. Het wordt zelfs verwacht, zodat nieuwe slachtoffers worden voorkomen.’

‘Cybercrime is een zaak van nationale veiligheid geworden die je ook internationaal moet oplossen’  

De voorloper van de NIS2-richtlijn uit 2016 was geen onverdeeld succes. Lidstaten waren zeer terughoudend in de omzetting in nationale wetgeving, waardoor de beoogde verhoging van de veiligheid niet van de grond kwam. Sterft jouw richtlijn straks in schoonheid? 

‘Een belangrijk verschil met de oude richtlijn is dat de nieuwe tanden heeft en cybersecurity naar de boardroom brengt. Als je onderneming bij de 160.000 van kritiek belang hoort, heb je als ceo straks een persoonlijke aansprakelijkheid om de verplichtingen na te komen. En dat is echt niet alleen symboliek. Er kunnen straks boetes worden opgelegd tot 2 procent van de jaaromzet als je je niet aan de regels houdt.’ 

Dat percentage heb ik eerder gehoord… 

‘Het is hetzelfde percentage dat ransomwaregroepen vragen als losgeld. Je hebt straks een keuze. Maak je er een potje van? Dan neem je de kans op een boete van 2 procent van je jaaromzet of voor hetzelfde percentage getild worden door ransomwaregroepen. Het alternatief is om in cyberveiligheid te investeren. 

Vroeger dachten we bij de bestrijding van ransomware: wat zijn vitale elementen van onze samenleving en hoe gaan we die beschermen? Nu moeten we denken: wat is vitaal voor het businessmodel van de aanvaller? Dat kan voor een clubje boeven uit Rusland ook een logistiek bedrijf zijn waar onze vitale infrastructuur van afhankelijk is. De nieuwe richtlijn dwingt ons zo naar het probleem te kijken en dwingt dit soort bedrijven tegelijkertijd om hun beveiliging op te vijzelen.’ 

Blijft over dat de lidstaten zelf terughoudend waren met het omzetten van de oude richtlijn in eigen wetgeving. Waarom zou dat nu beter gaan? 

‘De rapporteur van de oude richtlijn waarschuwde mij dat de onderhandelingen een loopgravenoorlog zouden worden, omdat de lidstaten het liefst zelf over cybersecurity beslissen. Maar inmiddels is het dreigingsniveau zo serieus geworden, dat de lidstaten mij zelf hebben aangegeven dat zij het bereik van de richtlijn verder willen uitbreiden dan de Europese Commissie oorspronkelijk voor ogen had. 

De landen beseffen dat maatregelen door de hele Unie op gelijke manier moeten worden ingevoerd om ons te kunnen beschermen – en dat er een systeem op gang moet komen waardoor dreigingen actief worden gedeeld tussen landen. Cybercrime is een zaak van nationale veiligheid geworden die je ook internationaal moet oplossen.’

Hoe ga je de communicatie tussen de nationale NCSC’s tot stand brengen? In de regel delen veiligheidsdiensten vanuit het oogpunt van nationale veiligheid liefst zo min mogelijk informatie. 

‘De richtlijn bevat een juridisch grondslag, op basis waarvan de NCSC’s straks kunnen en soms moeten samenwerken. 

In Nederland is vaak niet duidelijk wat er met informatie over cyberincidenten gebeurt die mensen bij het NCSC aanleveren. In België is dat heel anders. Daar ontvangt het NCSC per dag 25.000 meldingen van verdachte e-mails of tekstberichten. Die halen zij door de machine om te bekijken of die inderdaad 100 procent kwaadwillend zijn.

Is het antwoord ja, dan sturen zij de informatie die zij hebben direct door naar de Belgische internetproviders, zodat zij hun klanten kunnen waarschuwen als zij op een besmette link willen klikken. Dát is het ecosysteem dat we op Europees niveau nastreven.’

Vraagt dat niet te veel van het NCSC? Je geeft net aan dat ze al overlopen. 

‘We hebben een NCSC dat leidend is in Europa. Dit kunnen ze. Ze moeten alleen servicegerichter  gaan werken. Daarom komt er een portal waar je makkelijk cyberincidenten meldt en waar melders en slachtoffers geautomatiseerd contact met het NCSC kunnen onderhouden. We worden op industriële schaal aangevallen met ransomware en bespioneerd. We hebben daarom een industriële respons nodig. We moeten automatiseren.’ 

Belangrijker is dat we onze cybercapaciteiten moeten concentreren. Het Team High Tech Crime van de politie is second to none in Europa, terwijl de AIVD en de MIVD meedraaien in de top van de wereld. Maar ons landschap is te versnipperd. In onder meer Engeland en Noorwegen zie je dat eenheden die zich met cyber bezighouden onder één agentschap vallen, waardoor informatie voor iedereen beschikbaar is en het niveau van bescherming omhoog schiet. Dat zou Nederland ook moeten hebben.’

In het deze week gesloten regeerakkoord kiest de coalitie voor een gecentraliseerde aanpak waarbij ‘gecoördineerd en structureel’ moet worden samengewerkt tussen onder andere het NCSC en het Digital Trust Center. Is dat voldoende? 

‘Ik hoop dat ze daar ook mee bedoelen dat de operationele capaciteiten van de verschillende diensten verder bij elkaar worden gebracht.’

‘Nederland wordt verhoudingsgewijs vaker getroffen door ransomware dan andere landen. Bovendien maken ransomwaregroeperingen ook veel gebruik van onze infrastructuur, omdat die zo goed is’

Frankrijk investeert een miljard euro in cybersecurity en in Italië komt er een speciale cyberunit voor de bestrijding van cybercrime. In Nederland adviseerde de Cyber Security Raad de overheid om 833 miljoen euro extra te investeren in cyberveiligheid, maar in de miljoennennota van dit jaar wordt hier maar een fractie van beschikbaar gesteld. Tot ergernis van verschillende experts krijgt het NCSC maar 7 ton meer. Jouw partij zet al meer dan tien jaar de lijnen uit in Nederland. Moet de VVD niet gewoon meer investeren? 

‘Absoluut. Dat weet ook iedereen. Er zijn op dit moment volstrekt onvoldoende middelen om de ambities waar te maken, terwijl we weten dat de dreiging alleen maar zal groeien. In het regeerakkoord staat dat het nieuwe kabinet voor de bestrijding van cybercriminaliteit zal investeren in een brede, meerjarige aanpak en in expertise bij de politie en defensie. Ik hoop dat daar een substantiële investering mee bedoeld is. 

Dat is ook nodig. Nederland wordt verhoudingsgewijs vaker getroffen door ransomware dan andere landen. Bovendien maken ransomwaregroeperingen ook veel gebruik van onze infrastructuur, omdat die zo goed is. Dan heb je wat mij betreft ook een verplichting naar andere landen om in de bestrijding van cybercrime te investeren.’ 

De Onderzoeksraad voor Veiligheid concludeerde deze week in een vernietigend rapport dat de Nederlandse aanpak ‘fundamenteel’ anders moet en dat wij ‘zeer kwetsbaar zijn voor cyberaanvallen’. De raad adviseerde onder meer om op Europees niveau kwaliteitseisen aan software en softwarefabrikanten te stellen. Werk aan de winkel voor jou?     

‘De conclusies klinken mij niet vreemd in de oren. Wat opvalt is echter dat het merendeel van de aanbevelingen al work in progress is in de EU. De richtlijn waar ik aan werk, verhoogt de weerbaarheid van overheidsinstellingen, terwijl er nieuwe Europese wetgeving is aangekondigd voor de weerbaarheid van hard- en software producten.

Ook is vorige maand een herziening gepubliceerd van de veiligheid van consumentenproducten, zoals met wifi verbonden speelgoed. De problemen die de Onderzoeksraad ziet zijn niet strikt Nederlands en de oplossingen dus ook niet.’

De NCTV stelde in zijn Cybersecuritybeeld 2021 vast dat Nederland zich ‘onderscheidt als een land waar bovengemiddeld veel cybercriminele infrastructuur wordt gehost’. Maakt dat jouw leven als rapporteur in Europa niet ingewikkeld? Onze fellow Europeans hebben daar immers last van.  

‘Het is geen schuldvraag. Nederland heeft een verantwoordelijkheid op basis van internationaal recht. Stel dat een land wordt aangevallen via onze infrastructuur. Dan krijgt Nederland een rechtshulpverzoek om in te grijpen. Het is onze verantwoordelijkheid dat serieus te nemen.’

Welke rol kunnen de nationale inlichtingendiensten spelen om Europa veiliger te maken in het digitale domein? 

‘Samenwerking tussen inlichtingendiensten in Europees verband is lastig, omdat de lidstaten hun eigen nationale veiligheid altijd voorrang moeten geven. Die problematiek bestaat nu nog steeds.

‘Dit is geen oproep aan het kabinet, een regering of de Europese Commissie’

Ik ga ook niet over de nationale veiligheid van lidstaten of hun inlichtingendiensten. Maar ik geloof dat een nauwere samenwerking mogelijk en zelfs noodzakelijk is voor wat betreft de attributie van cybercrime, -spionage en -sabotage. Dat wil zeggen, het vermogen om te zeggen: hij heeft het gedaan, waarna we als Unie sancties kunnen opleggen of politieke druk uitoefenen, zonder dat je je als slachtoffer de woede van China of Rusland op de hals haalt.

Als je als Europese Unie mee wil doen in de internationale geopolitiek, is het noodzakelijk dat je die attributie samen doet. Inlichtingendiensten spelen daarin een belangrijke rol.’ 

Moet Nederland daarin een voortrekkersrol spelen? 

‘Dit is geen oproep aan het kabinet, een regering of de Europese Commissie. Het is veeleer een oproep vanuit een noodzaak die ik zie in Europa. We moeten samen stappen zetten, verder dan we ooit hebben gedaan. Doen we dat niet, verliezen we als continent de strijd in het cyberdomein.’

EU-buitenlandchef Josep Borell gaf eerder dit jaar aan dat de EU niet bestand is tegen de tsunami aan desinformatie uit China en Rusland. Welke maatregelen treft Brussel om de verspreiding van desinformatie tegen te gaan?  

‘Er komen twee verordeningen die eisen dat grote onlineplatforms als FaceBook en Twitter inzage geven in de manier waarop hun algoritmes werken. Zo willen we controleren of die algoritmes bubbelvorming bij het publiek veroorzaken en desinformatie doorgeven, zodat we dat kunnen tegengaan. Het is ook noodzakelijk om vast te stellen welke gevolgen buitenlandse beïnvloeding heeft voor democratische rechtsordes in de EU.’ 

Eerder zei je in de Volkskrant dat grote techbedrijven ‘hopeloos gefaald’ hebben om de verspreiding van desinformatie tegen te gaan. Om dit aan te pakken wordt erover gesproken een gedragscode in die  verordeningen op te nemen, maar deelname is vrijwillig. Dat gaat toch niet helpen? 

‘We willen de verspreiding van desinformatie serieus aanpakken, maar wel op vrijwillige basis, omdat we niet willen ingrijpen in de vrijheid van meningsuiting. Hoezeer ik ook tegen de verspreiding van desinformatie ben en de gevolgen daarvan niet onderschat, wil ik geen verbodsbepalingen opleggen. Als we dat doen, geven we mensen als de Hongaarse premier Victor Orbán en zijn Sloveense collega ​​Janez Jansa een vrijbrief om informatie te controleren. 

We moeten dit probleem op een subtielere manier tackelen, waarbij we eindelijk inzage krijgen in de mechanismen van grote onlineplatforms en de online-advertentiemarkt. Alleen dan kunnen we het effect van desinformatiecampagnes meten en aanpakken.’

April vorig jaar kwam in het nieuws dat EU-buitenlandchef Josep Borell zich door China onder druk liet zetten om berichtgeving over desinformatie uit China aan te passen of af te zwakken. Is het niet hypocriet bedrijven aan te pakken als zij te weinig doen tegen verspreiding desinformatie?

‘Wat Borell deed, kan niet. Ik heb hem toen ook naar het Europees Parlement geroepen en daar is hij gegrild. Het is hem heel duidelijk gemaakt dat de EU niet mag zwichten voor buitenlands intimidatie. 

Toch is dit hét moment om desinformatie aan te pakken. De beste manier om dat te doen is om het vertrouwen in onze instituties en democratische rechtsstaat te versterken. Een democratie moet daarom zorgen dat waarheidsvinding altijd centraal staat. Vrij onderzoek, vrije pers, vrijheid van meningsuiting. De Europese Unie moet daarin een voorbeeld zijn en daar ook buiten het eigen grondgebied voor opkomen.’