Onder begeleiding van licht bombastische muziek komt cyberexpert Lokke Moerel het podium van de online Digital Dutch conferentie van KPN opgelopen. Ze wordt aangekondigd door een gastvrouw in een futuristische outfit. Dan begint Moerel een alarmerend betoog. ‘China onderschept nu al op grote schaal onze research en communicatie die versleuteld is,’ stelt ze. ‘Die gegevens kunnen ze straks met kwantumcomputers ontsleutelen.’

Na afloop wordt ze door een aantal zakenmensen aangesproken op haar ‘polariserende verhaal’ over China. Dat gebeurt haar vaker. Moerel: ‘Voor mij is de cyberdreiging uit China een open deur, maar dat blijkt dan allerlei economische belangen te raken.’

Als Follow the Money Moerel vier maanden later spreekt, komt ze erop terug. ‘Ik weet zeker dat ik op dit interview uit sommige hoeken ook weer reacties zal krijgen.’ Ze doelt op Nederlandse zakenmensen of bedrijven die in China actief zijn en zich aan haar kritiek storen omdat die hun financiële belangen schaden. ‘Blijkbaar is het een moeilijke discussie, maar dat is geen reden die dan maar niet te voeren. Ik vind economische belangen óók relevant, maar mijn zorg is nu juist dat de cyberdreiging uit China ons toekomstig verdienvermogen ondermijnt.’

‘De mannen om mij heen waren allemaal erg druk met grote octrooizaken. Daar werd toen het echte geld verdiend’

Eind jaren ’80 kreeg Moerel haar eerste baan op de afdeling intellectueel eigendom van advocatenkantoor De Brauw Blackstone: ze was een van de jongsten en bovendien de enige vrouw. ‘De mannen om mij heen waren allemaal erg druk met grote octrooizaken. Daar werd het echte geld verdiend.’

Toen het publieke internet opkwam, mocht ze zich als jongmaatje buigen over de ‘kleinere’ internetzaken rondom reclameregels. ‘We lachen er nu om, maar toen speelde bijvoorbeeld de vraag of er bij online sigarettenreclames ook een waarschuwing voor gezondheidsrisico's moest worden geplaatst. Het aantal mensen dat toen websites bezocht, was nog minimaal.’

Inmiddels is Moerel uitgegroeid tot een autoriteit op het gebied van cyberveiligheid in Nederland. Ze onderzoekt hoe nieuwe technologieën het beste kunnen worden toegepast en doet dit vanuit verschillende hoedanigheden. Als hoogleraar ICT-recht ziet Moerel bijvoorbeeld jaarlijks het aantal cyberdreigingen sneller groeien dan onze beveiliging daartegen. Als jurist bij het Amerikaanse advocatenkantoor Morrison Foerster spreekt ze regelmatig ceo’s die ‘geen enkele belangstelling hebben’ om budget vrij te maken voor een goed cyberbeleid. En als lid van de Cyber Security Raad ziet ze dat de overheid het vooralsnog nalaat meer regie te nemen op het gebied van cyberveiligheid.

En dat terwijl Nederland en Europa zich volgens haar in een ‘giftige cocktail van dreigingen’ bevinden die de democratie, rechtsstaat en economie in gevaar brengt. We spreken Moerel op persoonlijke titel over geopolitiek, de sluimerende gevaren van de digitale revolutie en over hoe ze – ondanks al het getreuzel van Den Haag – toch hoopvol is dat Europa de controle over haar eigen data kan terugnemen.

U stelt dat Europa kampt met een giftige cocktail van dreigingen. Over welke dreigingen heeft u het?

‘De kern is dat we middenin een digitale transitie zitten, waarbij technologieën als kunstmatige intelligentie en kwantumcomputers voor nieuwe risico’s en kwetsbaarheden zorgen. Op dit moment versleutelen we bijvoorbeeld belangrijke informatie om te voorkomen dat kwaadwillende partijen toegang krijgen. Maar straks kan een kwantumcomputer die versleuteling doorbreken en kan allerlei informatie die wij nu beschermd achten, worden doorzocht.’

Hoe realistisch zijn dit soort cyberaanvallen?

‘Ze vinden al plaats. Kijk bijvoorbeeld naar wat er in 2020 in Duitsland gebeurde, waar een Russische hackersgroep het Berlijnse Hooggerechtshof voor terrorismezaken hackte en toegang kreeg tot een database met daarin de namen van verdachten, slachtoffers, getuigen, undercover-agenten en informanten. Dit is echt ondermijnend voor onze rechtsstaat.

Tijdens de coronacrisis zagen we dat China en Rusland onze covid-research probeerde te stelen en werd het European Medicine Agency geïnfiltreerd. Dat begrijp ik gek genoeg, je wilt je eigen bevolking beschermen. Mijn wake-up call was echter dat die landen met misinformatie-campagnes zoals antivax-theorieën het coronabeleid van Europa actief probeerden te ondermijnen. Daarvan dacht ik jeetje, ga je nu in zo’n gezondheidscrisis actief andere landen saboteren?’

U heeft het over China en Rusland. Zijn er niet meer landen met een offensieve cyberstrategie?

Er zijn weinig landen die zo’n stelselmatige, plangestuurde en ondermijnende politiek hebben, gekoppeld aan economische kracht

‘Zeker, maar China is echt de grootste dreiging. China heeft een heel ander wereldbeeld en streeft een maatschappij na die haaks op onze normen en waarden staat. Zij willen een wereldorde waarin landen zich niet met elkaars mensenrechten mogen bemoeien. Er zijn weinig landen die zo’n stelselmatige, plangestuurde en ondermijnende politiek hebben, gekoppeld aan economische kracht. Dan werpen mensen tegen: “Lokke, de Amerikanen zitten toch ook overal mee te kijken?” Dat klopt, maar van alle cyberincidenten die in Europa hebben plaatsgevonden heb ik nooit gezien dat de Amerikanen het ontwerp van een nieuwe fabriek stalen, of onze vitale systemen binnendrongen, met als enig doel ons op een later moment te kunnen saboteren. Daar zit het grote verschil.’

Wat betekenen deze ontwikkelingen voor Europa?

‘Poetin zei ooit dat het land dat leidt op het gebied van kunstmatige intelligentie de nieuwe wereldleider zal worden. Amerika en China zitten momenteel in een tech-race en doen ook aan tech-protectionisme. Ze beperken allebei de export van kritische technologieën en brengen actief de productie ervan terug naar hun eigen land. Een recente Amerikaanse Executive Order vergt zelfs dat alle ict-gerelateerde activiteiten in de VS vooraf worden gescreend op Chinese betrokkenheid. Niet verwonderlijk is dat China tegenmaatregelen neemt.

‘Als je niet je eigen technologie hebt, ben je een speelbal’

Europa zit hier echt klem. Als je niet je eigen technologie hebt, ben je een speelbal. Zo oefende Amerika druk op Europa uit om Huawei als leverancier voor 5G-apparatuur te weren. Vervolgens dreigde China met importbeperkingen op Europese producten.

Ik denk dat lastig wordt om twee heren te dienen, we zullen een keuze moeten maken. Maar zodra je kiest, word je ook afhankelijker omdat je leverancierskeuze kleiner wordt en alles duurder wordt. We zullen dus een eigen aanbod moeten ontwikkelen om niet zo te afhankelijk te worden van bepaalde leveranciers.’

In hoeverre zijn we nu al afhankelijk van deze landen?

‘We geven op dit moment te veel data weg aan Amerika en China. 92 procent van de Europese gegevens staat in buitenlandse clouds, waarvan 80 procent bij slechts vijf Amerikaanse aanbieders. Deze vijf spelers zijn inmiddels zo groot dat als één van hen uitvalt, de gevolgen even ingrijpend zullen zijn als die van een stroomstoring: hele EU-sectoren zullen uitvallen.’

Liggen er plannen klaar in Brussel om hier iets aan te doen?

‘Er ligt een groot aantal wetsvoorstellen – denk aan de Digital Services Act en Digital Markets Act, die de rechten van burgers beschermen – en tot nu toe gaan die er vrij vlot doorheen. Ik vind het fascinerend dat ze daar iedereen meekrijgen. De gedeelde belangen en urgentie zijn daar groot genoeg. En dat terwijl veiligheidsvraagstukken juist zijn voorbehouden aan de lidstaten zelf. We hebben geen Europese grens, geen Europees leger. Maar de lidstaten realiseren zich blijkbaar dat ze op digitaal vlak niet meer in staat zijn dat zelf te doen.’

De Europese Commissie wil bijvoorbeeld met de voorgestelde Data Act de teugels aantrekken en export-restricties laten gelden op “gewone data”, dus niet-persoongegevens, die nog strenger zijn dan nu binnen de Algemene verordening gegevensbescherming (AVG). Het motief is controle, maar ook dat je die data nodig hebt om te kunnen innoveren, bijvoorbeeld voor kunstmatige intelligentie, waarvoor veel rekenkracht en een goede digitale infrastructuur nodig is. Als je techbedrijven dwingt Europese data in Europa te verwerken, komt er kennis en infrastructuur naar Europa die momenteel nog ontbreekt.’

Dat klinkt licht protectionistisch. Was de oorspronkelijke belofte van het internet niet dat informatie zonder beperkingen de wereld zou overgaan?

‘Het manipulatieve aspect van de nieuwe technieken kwam al vanaf de eerste seconde naar voren’

‘Ik heb nooit in die belofte geloofd. Maar dat kwam ook omdat bij mij als advocaat ook de negatieve dingen terechtkwamen. Enorme hoeveelheden anonieme websites, spam voor dubieuze producten; het internet werd acuut vervuild. Ik zag al zaken voorbijkomen waarbij de broncode van websites werd gemanipuleerd om hoger in de zoekresultaten te verschijnen. Het manipulatieve aspect van de nieuwe technieken kwam al vanaf de eerste seconde naar voren.’

Jullie kwamen als Cyber Security Raad vorig jaar met een dringend advies om de cyberveiligheid in Nederland te verbeteren. Hoe is het daarmee gesteld?

‘In Nederland zijn te veel departementen bij digitaal beleid betrokken. Neem bijvoorbeeld de plannen om een elektronische identiteit (eID) uit te geven. Het ministerie van Binnenlandse Zaken, waar ook de staatssecretaris Digitalisering onder valt, moet reguleren wie dat doet en aan welke eisen dat eID moet voldoen. Maar je hebt eerst innovatie nodig om een eID te ontwikkelen die aan eisen van privacy-by-design voldoet en goed beveiligd is. Hiervoor wordt in Europa een toolbox ontwikkeld. De economische innovatie valt onder het ministerie van Economische Zaken. De veiligheid valt onder het ministerie van Justitie en Veiligheid.

De versnippering over verschillende departementen vergroot de kans op fouten en lacunes. De recente ontwikkelingen in Afghanistan laten zien wat het risico is van een nationaal eID waaraan centraal alle gegevens worden gekoppeld. Nu dat in verkeerde handen is gevallen, kan de Taliban zien wie welke baan heeft gehad en waar iemand woont. Ze gebruiken deze informatie om burgers te vervolgen die voor de vorige regering werkten.’

Hoe moet je zo’n systeem dan wel inrichten?

Na het historische abortus-arrest vraagt de politie in sommige Amerikaanse staten nu de zoekgeschiedenis op van vrouwen die op reproductive healthcare hebben gezocht

‘Door de privacy in het ontwerp in te bouwen en dat decentraal in te richten, waardoor ik mijn eID op mijn eigen device heb staan en zelf kan selecteren met wie ik welke informatie deel. Vaak volstaat het om slechts een ‘attribuut’ te laten zien. Bijvoorbeeld dat ik kan aantonen dat ik een rijbewijs heb, zonder dat te hoeven overhandigen. 

Na het historische abortus-arrest vraagt de politie in sommige Amerikaanse staten nu de zoekgeschiedenis op van vrouwen die op reproductive healthcare hebben gezocht, om zo bewijs te vinden voor overtreding van de abortuswet. Van de ene op de andere dag kan een systeem kwetsbaar worden.’

Hoe staat Nederland er op dat vlak voor?

‘Er zijn grote dreigingen, grote innovatievraagstukken en dus grote taken waarbij de overheid zich opnieuw moet uitvinden. En dan worden die functies ook nog versnipperd ingevuld door mensen die vaak geen specifieke digitale expertise hebben. Ja, dan is het wel heel veel. In de Tweede Kamer zaten een paar mensen met verstand van zaken, maar die zijn nu weg. Nu is er een nieuwe Kamercommissie die vol goede moed is gestart, maar wel vanaf nul begint: “Wat zijn de uitdagingen van deze tijd?”’

Follow the Money schreef eerder over windparken op de Noordzee, waarvoor een duidelijk veiligheidsplan uit Den Haag ontbrak. Terwijl heel lang duidelijk was dat Chinese staatsbedrijven voorsorteerden op publieke aanbestedingen, besloot het ministerie van Economische Zaken op het nippertje in te grijpen, om veiligheidsredenen. Alles gebeurde ad hoc. Gebeurt dat vaker?

‘Ja, het beleid wordt te veel bepaald door incidenten. Maar wanneer je weet dat China probeert via strategische overnames, investeringen en publieke aanbestedingen meer invloed in Europa te krijgen, herken je het patroon. In een beperkt aantal sectoren wordt bij overnames en investeringen vooraf op Chinese invloeden getoetst, maar wat mij betreft niet dekkend. Dit soort factoren moet verder ook worden meegenomen in de aanbestedingsvoorwaarden. Er is nu meer besef van de risico’s, maar we missen het overzicht welke risico’s wel en welke niet zijn afgedekt.’

De Cyber Security Raad vroeg het kabinet vorig jaar ruim 800 miljoen euro in cyberveiligheid te investeren. Volgens de raad was dat bedrag nodig om het cyberbeleid goed op de rails te krijgen. Hoe is dat advies gevallen?

‘Onze oproep heeft veel aandacht gekregen, ook omdat er zoveel deskundigen aan hebben bijgedragen. De begroting was doorgerekend door consultants en het idee was dat we niet om een Rolls Royce vroegen, maar om een leuke DAF.’

Een instapmodel?

‘Ja, we waren bescheiden. Uiteindelijk is er wel 111 miljoen euro bijgekomen voor cyber. Dat geld gaat vooral naar het Nationaal Cyber Security Centrum (NCSC) en de inlichtingendiensten.’

Maar dat is bij lange na niet waar de Raad om vroeg.

‘Cyber is voor veel mensen ingewikkeld. Je lost het niet op met iets simpels als meer blauw op straat. Alles is met elkaar verweven’

‘Nee, dit is niet genoeg. Maar de versterking van het NCSC maakt het wel mogelijk dat de overheid meer regie neemt en dat zij de private sector mobiliseert. Het grappige van geldgebrek is dat iedereen erg creatief wordt om alsnog aan de basisvoorwaarden te voldoen. Voor initiatieven inzake cyberveiligheid kijk ik daarom ook naar het bedrijfsleven. Iedereen klaagt daar wel altijd over, maar dat zet hier vol op in.

En iedereen vraagt altijd om meer geld. Dat kun je ook vrijmaken door herallocatie. Toen de banken digitaliseerden, gingen overal kantoren dicht. Met die bezuiniging werd de digitalisering deels betaald. Waarom zou ditzelfde principe niet ook voor de overheid kunnen gelden?’

Dit verrast me. U heeft het nu over een herallocatie, terwijl de ruim 800 miljoen waar jullie om vroegen het instapmodel was. Dat moet toch een teleurstelling zijn geweest?

‘Ja, dat is zo. Je kijkt ernaar en je denkt “Dit is een solide voorstel,” dat wordt blijkbaar niet genoeg onderkend. Cyber is voor veel mensen ingewikkeld. Je lost het niet op met iets simpels als meer blauw op straat. Alles is met elkaar verweven.’

Als ik u zo hoor, dan klinkt u niet erg teleurgesteld. Zag u het aankomen dat jullie verzoek niet zou worden gehonoreerd?

‘Ik zag dat niet aankomen, nee. De hele raad heeft denk ik ook wel even gedacht: “Oké, en nu dan?” Maar ik ben niet iemand die lang achteruit kijkt. Het is wat het is, en dan kijken we nu wat we wél kunnen doen.’

En dat is…?

‘Als het goed is bespreekt de ministerraad begin oktober de nieuwe nationale cyberstrategie. Met het geld dat al beschikbaar is en de strategie die er straks aankomt, wordt de volgende vraag wat er met het bedrijfsleven kan worden opgepakt. Het is een zesjaren-strategie die jaarlijks zal worden besproken. Dus het kan best zijn dat we na een jaar constateren dat we dit absoluut niet gaan halen.’

Wat komt er in de strategie te staan?

‘Die is momenteel nog in ontwikkeling, dus ik kan er niet te veel over zeggen. Maar er wordt in elk geval ingezet op de NCSC als de nationale CERT, waar andere organisaties zoals het Digital Trust Center in zullen opgaan. De informatie over dreigingen die daar binnenkomt, wordt direct gedeeld met betrokken organisaties en, in het geval van minder volwassen organisaties, zo mogelijk voorzien van advies hoe zij het beste op de dreiging kunnen reageren. Met een nieuwe wetswijziging kan informatie op de goede plekken terechtkomen en komt er handelingsperspectief. Want nu mag de NCSC veel informatie namelijk niet delen.’

Zijn deze plannen toereikend, gezien de uitdagingen waar we voor staan?

‘Cybersecurity is geen rustig bezit, je kunt nooit achterover leunen. Er is verder een chronisch gebrek aan cyberexpertise. Met de huidige krapte op de arbeidsmarkt en het tekort aan expertise dient dit een kernelement te zijn van je strategie. Dit is al zo vaak opgebracht, maar het gaat echt te langzaam. Als kinderen met de fiets de straat op gaan moeten zij een veilig verkeersdiploma hebben, maar waar is het verplichte veilig-internetdiploma?

Maar goed, vijf jaar geleden was het nog veel erger. Bovendien dachten mensen, als ik mijn zorgen daarover uitte, dat ik mijn diensten probeerde te slijten.’

Welke rol ziet u voor het bedrijfsleven weggelegd?

‘Wanneer de overheid of de politiek het laat afweten, wordt er op privaat-publiek gebied soms juist meer samengewerkt’

‘Toen Trump uit het Parijs-verdrag stapte, besloot het bedrijfsleven acuut om te gaan samenwerken. Wanneer de overheid of de politiek het laat afweten, wordt er op privaat-publiek gebied soms juist meer samengewerkt. Ook zonder duidelijke politiek sturing zijn problemen op te lossen. Het is net als met de milieuproblematiek: pas nu er droogtes zijn voelen mensen de urgentie.’

Vorig jaar sneed Rusland zichzelf kort van het internet af, als veiligheidstest. Kun je je op zo’n ‘no IT’-scenario voorbereiden?

‘Ja, dat kan echt. En als je dat eenmaal oefent, zul je zien dat het echt lastig is. Maar ooit komt er een incident waardoor veel bedrijven plat komen te liggen en die zullen dan allemaal de NCSC en dezelfde veiligheidsdeskundigen bellen. Op dat moment kun je niet langer op individueel niveau bijstand verlenen, en alleen op landsniveau. Dat veronderstelt een crisisplan: hoe stel je prioriteiten?’

Zo’n plan is er nu niet?

‘Nee.’

Dat is toch de kerntaak van de overheid?

‘Er is geen plan voor de prioriteitstelling, geen plan hoe privaat en publiek dan kunnen samenwerken, en geen beschrijving wat er van bedrijven wordt verwacht voor het landsbelang.’

En zo’n plan zit niet in de nationale cyberstrategie die er dus straks aankomt?

‘Ik ga ervan uit dat dit opgenomen wordt, dit is in ieder geval wel mijn inzet geweest.’

Zo te horen is er in Nederland nog genoeg te doen. Ondertussen begrijp ik dat Europa beter op weg is. Waar hoopt u dat Europa over twintig jaar staat?

‘Het online leven moet net zo veilig worden als het “offline” leven van burgers. Natuurlijk kan er altijd iets misgaan en kun je met een inbreker te maken krijgen. De huidige digitale wereld vergt van burgers een voortdurende waakzaamheid die het gevoel van onveiligheid vergroot. Dat moet echt beter. Kranten kunnen verantwoordelijk worden gehouden voor wat ze publiceren, en dat zou ook moeten gelden voor online informatievoorziening. Onze publieke infrastructuren zijn allemaal gereguleerd en ik denk dat dit ook voor onze digitale infrastructuren zal gaan gelden.’