‘Liever de AIVD op het internet, dan een Rus in mijn laptop’

Sinds hij in 2015 zijn aandelen in Fox-IT verkocht aan de Britse NCC Group, is Ronald Prins (1969) een man in bonis, maar niet in ruste. Als directeur geeft de ‘machtigste nerd van Nederland’ a.k.a ‘CryptoRon’ nog dagelijks leiding aan het bedrijf dat hij eind jaren negentig oprichtte. We spreken hem in de haven van Scheveningen, waar zijn zeiljacht ligt afgemeerd.

FTM: Eerlijk gezegd waren wij er vanuit gegaan dat je op de eerste plaats zou uitkomen in onze Top 50.

Prins, lachend: ‘Ik ook joh! Maar Bart Jacobs loopt natuurlijk al wat langer mee.’ 

Je waarschuwt steevast voor de online kwetsbaarheid van Nederland. Die boodschap is nu toch wel aangekomen, na jaren van hacks en onthullingen? 

‘Er is meer realisme. We weten dat bepaalde groepen, bepaalde landen, heel krachtig zijn geworden op internet. Die hebben een flink virtueel wapenarsenaal. Aan die zijde is er een hoop veranderd. Maar aan de verdedigende kant is er geen reet gebeurd. Nou ja, niet genoeg. 

‘En dat terwijl Nederland veel kwetsbaarder is geworden. We hebben complexere systemen gekregen en als het mis gaat, is de impact in die systemen veel groter dan pak ‘m beet tien jaar geleden. Toen werden de containerschepen in de haven nog niet volledig automatisch gelost, nu wel. Het internet is de grond uitgekomen. Het is niet  alleen maar een systeem van kabels waar e-mailtjes doorheen gaan; online is doorgedrongen tot het fysieke domein en het Internet of Things zit niet alleen in je thermostaat en je camera, maar je kan er een hele boot mee besturen. Of de sluizen en de spuigaten openzetten.’ 

Baal je dat er niet naar je wordt geluisterd? 

‘Nou ik voel me geen roepende in de woestijn, maar ik bén het natuurlijk wel. Bij Fox-IT doen we onder meer aan red teaming. Dan worden we door een waterschap gebeld met de vraag of we in staat zijn om het waterniveau te wijzigen. Of een bank vraagt: kan je onze centrale rekening leegtrekken? In 95 procent van de gevallen lukt zo’n penetratietest. Het probleem is dat het een jaar later nog steeds kan. De zwakheid is er en blijft er. Het is eigenlijk gek dat IS nog geen ziekenhuis heeft platgelegd, want het kan. Blijkbaar is het voor terroristen nog geen interessante businesscase.’

Het is in Nederland niet gebeurd, maar elders in de wereld ook niet.

‘Klopt. Wat we hebben gezien, duidt op oefeningetjes. Rusland heeft heel wat cybermiddelen ingezet om de inval in Oekraïne zo soepel mogelijk te laten verlopen. Maar dat gaat allemaal uiterst geheimzinnig en omzichtig.’

Jij schetst vaak rampscenario’s: ‘Als het bankverkeer in Nederland plat gaat, staat de bevolking binnen drie dagen met knuppels bij de kassa.’ Die voorbeelden raken wat sleets, zal de criticus zeggen. Voor het beoogde effect zou het eigenlijk goed zijn als er eens iets flink mis gaat. 

‘Dat is natuurlijk het trieste. Daarom maak ik graag het vergelijk met de deltacommissaris, die een budget heeft van een miljard euro. Die functie is er sinds 2011, ruim vijftien jaar nadat midden jaren negentig in de Betuwe 250.000 mensen moesten worden geëvacueerd vanwege het hoge rivierwater. Er was dus een bijna-ramp voor nodig, terwijl Delftse ingenieurs al een halve eeuw lang hadden geroepen: dit gaat een keer fout. Het is blijkbaar politiek niet mogelijk om eerder geld uit te trekken.’

Ben jij eigenlijk wel de aangewezen persoon om keer op keer de noodklok te luiden? 

‘Daar denk ik niet over na. Niemand anders doet het.’

‘Ik ben wel blij dat er consensus is over wat de Russen hebben geflikt’

Geef toe dat het iets ongemakkelijks heeft: signaleren dat er te weinig oog is voor online veiligheid, en vervolgens veel verdienen aan beveiliging.  

Licht geïrriteerd: ‘Maar dat is toch geen reden om het niet meer te vertellen?! Ik heb in de commissie gezeten die elektronisch stemmen heeft onderzocht. Dan zat ik aan tafel met burgemeesters die zeiden: “Hoezo onveilig, ik vul mijn belasting toch ook in met DigID?” Als ik daarop zei dat de Russen misschien die stemcomputers konden kraken, was de reactie: “Alsof de Russen dat zouden willen!” Ze vonden mij wereldvreemd. Ik ben nu dus wel blij dat er consensus is over wat de Russen in Amerika hebben geflikt.’

Je hebt in elk geval één medestander: de koning noemde cyber als bedreiging maar liefst drie keer in de troonrede. 

‘Cyberspionage, cybersabotage, cybercrime. Mooi dat het werd genoemd, maar het bedrag in de Miljoenennota, 26 miljoen euro, gaat natuurlijk helemaal nergens over. Dat is symbolisch. Ik vond de volgorde interessant: eerst spionage en sabotage, dan pas criminaliteit. Over elk woord in de troonrede wordt nagedacht, dus misschien moet je daaruit afleiden dat cybercrime weliswaar het meest zichtbaar is, maar dat het kabinet ook wel weet dat Nederland het meest wordt bedreigd door cyberspionage en -sabotage.

‘We hebben bij Fox altijd wel een onderzoek lopen. Op dit moment kijken we naar een spionagepoging van Iran bij de Nederlandse vestiging van een groot internationaal bedrijf. En ik ben er van overtuigd dat dat het topje van de ijsberg is. Spionage gebeurt allemaal onder de oppervlakte: 99 procent zien we niet en over die ene procent die de diensten wel traceren, brengen ze niks naar buiten. Daarbij is de schade nauwelijks in geld uit te drukken, terwijl politici graag kwantificeerbare onderbouwing willen. Dat lukt niet, terwijl we continu worden aangevallen en er gevoelige informatie wordt gestolen.’

Hoeveel is er volgens jou nodig? 

‘De Nationaal Coördinator Terrorismebestrijding en Veiligheid Dick Schoof heeft in zijn speech bij de opening van de Cyber Security Week over die 26 miljoen gezegd: “Dit is nog maar het begin.” Maar ook als het tweehonderd miljoen euro wordt, is dat niet genoeg. We hebben nog een grote inhaalslag te maken. Een bedrag van 1 miljard euro vind ik realistischer.

‘Het is zonde om al die euro’s te verbranden zonder een goed plan’

‘Twee jaar geleden zou Klaas Dijkhoff bijna een half miljard vrijmaken voor cybersecurity. Maar destijds kwam ook de migrantenstroom op gang en ging het vrijgemaakte geld naar de opvang van asielzoekers. Het is in discussies altijd onderwerp nummer 2 en in Nederland geven we ons geld uit aan nummer 1. Niet fifty-fifty, geen zeventig-dertig, nee: honderd-nul. Maar het gaat natuurlijk niet alleen om geld. Er moet regie komen. Het is zonde om al die euro’s te verbranden zonder een goed plan.’ 

En dat plan heb jij? 

‘De verantwoordelijkheid ligt nu op meerdere plekken, bij defensie, politie en de inlichtingendiensten. Dat onderscheid paste prima bij de oude dreigingen, maar is niet meer van deze tijd. Ik ben voor een cybercommissaris met een duidelijk mandaat. En dan geen carrière-ambtenaar, maar iemand die de techniek echt snapt, die het kan plaatsen in een geopolitieke context en ook nog eens weet hoe je in Den Haag wat voor elkaar krijgt. Iemand die aan het kabinet hangt met een rechtstreeks lijntje naar Rutte. Iemand met doorzettingsmacht.

‘Ik praat daar veel over met mensen in Den Haag, zelfs met ministers. Ze zijn het allemaal met me eens, maar niet in staat om het op de agenda te krijgen. Ik verwijs graag naar de Engelsen. Die hebben er heel duidelijk een missie-statement van gemaakt: Great Britain, the safest place to do business.’ 

Ben jij beschikbaar? 

‘Ik vraag me af of in de uitvoering daarvan mijn kracht ligt. Het lijkt me een politiek zeer complexe functie.’ Hij wijst naar buiten, waar zijn zeilboot ligt: ‘En ik wil ook graag blijven varen.’

Je werd financieel onafhankelijk toen je bedrijf in 2015 werd overgenomen door de Britse investeringsmaatschappij NCC Group. De overname is nog steeds onderwerp van discussie. NRC Handelsblad meldde onlangs dat de Nederlandse staat anderhalf jaar na de verkoop nog geen zeggenschap heeft over de staatsgeheimen die Fox-IT bewaakt.

‘NRC Handelsblad heeft daar een issue van gemaakt, maar volgens mij liggen de ambtenaren in Den Haag er niet wakker van. Alles wat in onze Crypto-BV gebeurt, is prima geregeld: daarvoor geldt nog steeds de wet op het staatsgeheim. Niemand kan er zomaar bij. Wat ik me wel zou kunnen voorstellen is dat de continuïteit in gevaar komt. Voor elk bedrijf geldt dat er voldoende opdrachten moeten binnenkomen. De Nederlandse overheid is wat dat betreft commercieel minder interessant,maar dat probleem bestond ook al voor de overname.’

Over Britten gesproken: de inlichtingendienst GCHQ is net als de Amerikaanse NSA door Snowden ontmaskerd als een niets en niemand ontziend, datahongerig spionagemonster. Dat heeft zijn weerslag op de discussie in Nederland. Wat vind jij als oud-AIVD’er van de poging om via een referendum de nieuwe Wet op de Inlichtingen- en Veiligheidsdiensten (Wiv) tegen te houden? 

‘Ik vind dat de Nederlandse overheid meer bevoegdheden moet krijgen. Het is van de zotte dat wij als particulier bedrijf beter zicht hebben op wat er in Nederland wordt gehackt dan de diensten. Die mogen volgens de oude wet kabelgebonden verkeer niet aftappen. Als de nieuwe Wiv er is, zal je zien dat er veel meer aan het daglicht komt.

‘Onze overheid heeft een marketingprobleem’

‘Contra-inlichtingen zijn belangrijk; dan zie je wat andere landen al lang zien. Engelse diensten monitoren hun infrastructuur en als ze vreemde dingen zien, waarschuwen ze bedrijven. Dat lijkt mij een logische overheidstaak, want internet is in feite een publieke ruimte.’ 

De vraag is of die nieuwe Wiv er komt; het protest tegen de wet groeit. 

‘De meeste mensen die ik spreek zeggen: het lijkt me logisch dat onze inlichtingendiensten meer kunnen. Maar ik geloof dat Nederlanders banger zijn voor de Nederlandse overheid dan voor de Russen of  Amerikanen. Onze overheid heeft een marketingprobleem. Als dat referendum er echt komt, ga ik stickers uitdelen: Liever de AIVD op het internet, dan een Rus in mijn laptop. Ik heb ze al klaarliggen.’

Misschien vrezen burgers dat niet zozeer de Russische of Amerikaanse, maar vooral de Nederlandse overheid alles van hen wil weten. 

‘Je bedoelt dat ze bang zijn dat de Belastingdienst er achter komt dat ze met hun leaseauto naar de Efteling zijn geweest? Hou toch op. De Wiv kent allerlei waarborgen, maar in de discussie is de nuance verdwenen. Één op één zijn de jongens van Bits of Freedom heel redelijk, maar op Twitter gaan ze vervolgens keihard tekeer tegen de Wiv. Daar zit een politiek belang achter: ze hebben donateurs nodig. Ik probeer authentiek te zijn, dat mis ik wel eens bij anderen.’