Wie is wie in cybersecurity?

‘Doe je mee? Hoe maken we van Nederland het veiligste land om online te werken én te leven,’ twittert Ronald Prins  (nr. 2) begin september. De directeur van cyberbeveiligingsbedrijf Fox-IT roept zijn volgers op om deel te nemen aan The Challenge: een door Het Financieele Dagblad en werving- en selectiebureau Yacht georganiseerde wedstrijd waarbij de beste informatietechneut van 2017 wordt verkozen. Wie zich aangesproken voelt, moet opschieten, schrijft het FD op zijn website. ‘Ben jij een ambitieuze IT-professional en kraak je de case van Fox-IT? Meld je dan vóór 3 oktober aan.’ De jury van The Challenge bestaat naast Prins uit onder meer Inge Philips (nr. 16), directeur Cyber Risk Services bij Deloitte.

De twitter-oproep was voor officier van justitie Martijn Egberts (nr. 38) reden voor een retweet, met als aanvullend commentaar: ‘Ook zeer benieuwd naar de inzendingen. Bestrijding cybercriminaliteit doen we samen.’

Met die laatste zin duidt de in cybercrime gespecialiseerde openbaar aanklager onbedoeld maar heel adequaat de verhoudingen binnen de onlinesecuritysector. De verwevenheid tussen overheid en bedrijfsleven is groot — waarbij de eerste sterk afhankelijk is van de kennis en kunde van het laatste.

Follow the Money wil de uitdijende niche van online security verkennen. We trappen vandaag af door de belangrijkste spelers in kaart te brengen. Althans, degenen die het publieke debat voeren over de digitale veiligheid van Nederland. Het is een bescheiden poging, een eerste aanzet om het speelveld inzichtelijk te krijgen. We hebben op basis van netwerkscreening en peer reviews een zogenaamde longlist gemaakt; aan de hand van de databases LexisNexis (kranten, tijdschriften en online publicaties) en Beeld & Geluid (tv- en radio-optredens bij de publieke omroep) hebben we vervolgens gekeken hoe vaak betrokkenen zich over aan cyberveiligheid gerelateerde onderwerpen uitlaten in de media. De eerste vijftig hebben we op een rijtje gezet.

Mediageniek

De spelers op de lijst zijn grofweg in te delen in de sectoren IT-beveiliging en IT-communicatie, opsporings- en inlichtingendiensten, defensie, politiek, wetenschap, advocatuur, consultancy en media. Koplopers Bart Jacobs (nr. 1) en Ronald Prins (nr. 2) springen er duidelijk uit — waarbij er onderling in ranking nauwelijks een significant onderscheid is. Toch zijn het heel verschillende personen.

De hoge score van Prins verbaasde ons niet; de mediagenieke directeur van Fox-IT is manifest aanwezig in elke discussie over cybersecurity, van commissievergaderingen op het Binnenhof tot aan tafel bij Pauw. Het feit dat de minder uitgesproken – maar niet minder kritische – hoogleraar Jacobs nog hoger scoorde, blijkt bij nader inzien niet vreemd: hij roert zich al in het debat sinds de kwetsbaarheid van pincodes in het nieuws kwam (2001). Daarna onderzocht Jacobs als onafhankelijk deskundige zowat elke security breach die Nederland trof: van de te kraken stemcomputers en chipkaarten, tot lekkende databases. Elke keer wist de Nijmeegse wetenschapper de vinger op de zere plek te leggen.

Klik op de namen in de lijst voor meer informatie over deze persoon

Meel in de mond

In onze lijst figureren ook usual suspects: mensen die uit hoofde van hun functie een bepalende rol hebben. De voormannen en -vrouwen van de opsporings- en inlichtingendiensten bijvoorbeeld. Hoewel de AIVD liever in de luwte opereert, zet diensthoofd Rob Bertholee (nr. 8) af en toe de deuren open. Zo hield de veiligheidsdienst in 2014 een ‘vragenuurtje’ op Twitter. Via de hashtag ‘#halloAIVD’ konden mensen vragen stellen. Bertholee moet wel, want de dienst heeft te maken met een steeds kritischer Nederlands publiek, dat is gevoed met de onthullingen over suspecte zusterdiensten als de NSA en GCHQ. 

Collega Dick Schoof (nr. 12), de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), vervult een even cruciale rol, maar kan ook zelden het achterste van zijn tong laten zien. Hetzelfde geldt voor zijn plaatsvervanger Patricia Zorko (nr. 24), die cybersecurity onder zich heeft bij de NCTV. En ook brigadegeneraal Hans Folmer (nr. 22), die verantwoordelijk is voor het Nederlandse Defensie Cyber Commando, gaat prudent om met wat wel en niet naar buiten kan. Folmers’ cybersoldaten zijn overigens opgeleid bij Fox-IT. 

Opsporingsambtenaren als Martijn Egberts (officier van justitie bij het Landelijk Parket), Lodewijk van Zwieten (EuroJust, nr. 18) en Wil van Gemert (Europol, nr. 15) praten met aanzienlijk minder meel in de mond. Hun mandaat is helder: cybercriminelen oppakken.

Veel spelers zullen elkaar dezer dagen ontmoeten

Op de lijst staan verder voorbeelden van de bij de overheid gevreesde braindrain: talentvolle ambtenaren die overstappen naar het bedrijfsleven, op zoek naar grotere vrijheid of domweg meer geld. Ronald Prins vertrok eind jaren negentig al bij het Nederlands Forensisch Instituut om voor zichzelf te beginnen. Recentere transfers zijn Inge Philips (nr. 16) en Pim Takkenberg (nr. 17), die beiden voorheen leiding gaven aan het Team High Tech Crime van de Nationale Politie. Philips is directeur Cyber Risk Services bij Deloitte en Takkenberg kreeg een leidende rol bij Cyber Security Northwave.

Vette kluif

Veel spelers zullen elkaar dezer dagen ontmoeten tijdens de Cyber Security Week, die maandag in Den Haag is begonnen. Alleen al aan de lijst met zakenpartners van dit jaarlijkse evenement is de kruisbestuiving af te lezen: Alles en iedereen met een belang in online veiligheid komt er op af — banken, gemeenten, bedrijfsleven, opsporingsinstanties, ministeries en universiteiten.

Er is dan ook een vette kluif te verdelen. Wereldwijd gaat het om een jaaromzet van honderden miljarden euro’s, waarbij de Nederlandse markt goed is voor enkele miljarden. Logisch dat de Big Four, de grote accountancy- en consultancybedrijven, ieder een eigen cybersecurityafdeling hebben opgericht. In Nederland nam PriceWaterhouseCoopers vorige jaar zelfs een heel onlinebeveiligingsbedrijf over: het Nieuwegeinse Everett.

Daarmee krijgt de Nederlandse sector trekjes van wat ze in de VS ronkend ‘het cyber-industrieel complex’ noemen. Dat wordt aangevoerd door de ‘Beltway Bandits’, de talloze lobbyisten gevestigd binnen de ringweg rond Washington, die voor onder andere de securitybranche de Amerikaanse politiek paaien en zo miljardencontracten binnenhalen. Één zo’n club die in Nederland de belangen van de industrie behartigt is The Hague Security Delta (HSD), dat ook de Cyber Security Week organiseert. Topambtenaar Wim Kuijken (Deltacommissaris) is bestuursvoorzitter van HSD, verder zitten er onder meer vertegenwoordigers van TNO, Thales, Siemens, KPN en Fox-IT in de club.

Cyber-ellende

De 26 miljoen euro die het kabinet het komende jaar wil besteden aan online beveiliging steekt magertjes af bij de ruim zeven miljard marktomzet. Toch zal de sector voorzichtig hebben gejuicht toen vorige week dinsdag koning Willem-Alexander maar liefst drie keer het woord ‘cyber’ in de mond nam. ‘Om de toenemende risico's en dreigingen in de digitale wereld beter het hoofd te kunnen bieden, komt er extra geld om op te treden tegen cyberspionage, cybersabotage en cybercriminaliteit,’ zo sprak de vorst tijdens de troonrede.

Die woorden waren uiteraard niet bedoeld om een opkomende industrie een duwtje in de rug te geven. De groeiende cyber-ellende is maatschappelijk ontwrichtend en leidt tot mondiale spanningen. De schade die cybercriminelen wereldwijd aanrichten loopt volgens kenners in de biljoenen euro’s. In Nederland is dat zo’n 10 miljard euro per jaar, beweert Deloitte. 

Je moet welhaast onder een steen hebben geleefd om de impact van de door de koning genoemde cybertroika te missen. We weten dankzij Edward Snowden al lang dat de Amerikanen en de Britten voor niets terugdeinzen; we hebben sinds kort sterke aanwijzingen dat de Russen online de verkiezingen in de VS hebben beïnvloed, en de ransomwarevirussen Petya en WannaCry van dit voorjaar legden de IT-infrastructuur van grote bedrijven plat. Tel daarbij het kleine leed van individuele slachtoffers van scammers en phishers, cyberpesten, mal-, ransom- en cryptoware en je weet dat het monster onder je bed zich roert. Big Brother bestaat echt, en kijkt mee wanneer hij wil.

De Sleepwet

Iedereen die we spreken, benadrukt dat de wake up call van Snowden gigantisch is geweest. De onthullingen hebben ertoe geleid dat de Nederlanders kritischer is geworden ten aanzien van de eigen diensten. Waarom zouden we de politie of de AIVD de vrijheid geven om naar believen de eigen bevolking massaal digitaal af te tappen?

De sussende woorden leggen het af tegen het omineuze beeld van het sleepnet

Politici, opsporings- en inlichtingendiensten beweren dat de nieuwe Wet op de Inlichtingen- en veiligheidsdiensten (Wiv) voldoende waarborgen kent. Maar die sussende woorden leggen het af tegen het omineuze beeld van het sleepnet, waarin de gegevens van alles en iedereen wordt gevangen. Die dystopische voorstelling van zaken is succesvol geframed door Wiv-tegenstanders. Ze vormen een bont gezelschap: onder andere de Nederlandse Vereniging van Journalisten, GeenStijl, de digitale burgerrechtenbeweging Bits of Freedom (met daarin onderzoeker Rejo Zenger, nr. 11, en directeur Hans de Zwart, nr. 49), het Forum voor Democratie en D66 (via Tweede Kamerlid Kees Verhoeven, nr. 31) hebben hun steun betuigd. Een groep Amsterdamse studenten is sinds deze zomer druk doende 300.000 handtekeningen op te halen om een referendum over ‘de sleepwet’ af te dwingen. Het pro-kamp (regering, politie, geheime diensten en de industrie) kijkt met argusogen naar het groeiende protest en probeert de slagkracht van de Wiv te nuanceren.

Feitelijke informatie, nuance en inzicht zijn schaarse goederen in de discussie over cyberveiligheid. Het nieuwe speelveld kent veel donkere hoeken, waar slechts hackers, nerds en andere techies de weg weten. Hoe fijn is het als iemand in gewone-mensen-taal uitlegt wat er gebeurt?

Precies dat hebben Maurits Martijn (nr. 20) en Dimitri Tokmetzis (nr. 34), redacteuren van de Correspondent, gedaan in hun boek Je hebt wél iets te verbergen. Daarin noemen ze privacy ‘het meest bedreigde mensenrecht van deze tijd’, maar hebben ze ook oog voor de noodzakelijke bescherming tegen kwaadwillenden.

Er staan meer journalisten in de lijst. Zoals ‘de hackende reporter’ Brenno de Winter (nr. 3), die als een van de eersten onthullingen deed over de miserabele online beveiliging bij de Nederlandse overheid (Dat resulteerde in de serie ‘Lektober’ uit 2011 op IT-nieuwssite Webwereld). Ook onderzoeksjournalist Huib Modderkolk van De Volkskrant hebben we opgenomen; hij was betrokken bij grote nationale en internationale scoops over de inlichtingenwereld. Journalisten als Modderkolk en het Correspondent-duo, maar ook hackers als Rickey Gevers (nr. 5) en IT-specialisten als Prins zijn vooral een belangrijke stem omdat ze de gave hebben dat ze de van slang en acroniemen vergeven cyberwereld goed kunnen duiden voor het grote publiek.

Big Five

We hebben ons beperkt tot Nederlandse spelers, omdat we de nationale discussie in beeld willen brengen. Maar cyber is inherent grenzeloos en de werkelijke macht ligt – vooralsnog – bij de Big Five van grote internationale techbedrijven (Facebook, Google, Apple, Amazon en Microsoft) en bij wat met een steriele term ‘statelijke actoren’ heet: de geheime diensten en overheidshackers van landen als Rusland, de Verenigde Staten en China. Daar wordt volop geïnvesteerd in verdedigende én aanvallende cybersecurity.

Voor wie wil weten wat er op het wereldtoneel speelt is het interessant om onafhankelijke internationale duiders te volgen. Namen die ook regelmatig opduiken in de Nederlandse media zijn bijvoorbeeld de Wit-Russische blogger en onderzoeker Evgeny Morozov (@evgenymorozov)‏, de Chief Risk Officer bij het Finse antivirusbedrijf F-Secure Mikko Hypponen (@mikko) en de onafhankelijke Amerikaanse onderzoeksjournalist en schrijver Brian Krebs (@briankrebs).

Deze lijst is een begin van onze zoektocht en is ongetwijfeld onvolledig. Het is slechts een momentopname, een snapshot van een sector die morgen weer totaal anders van kleur is. Wij willen die blijven volgen. Wil je ons daarbij helpen? We zijn benieuwd naar je commentaar en suggesties!

Mail Harry Lensink en Dieuwertje Kuipers >