Of we in oorlog zijn? “Een lastige vraag”, zegt Dick Berlijn, cybersecurity expert. “Dat hangt ervan af wat je onder oorlog verstaat.” Volgens de voormalig Commandant der Strijdkrachten is het antwoord in de klassieke zin van het woord oorlog een duidelijk nee. We zijn niet letterlijk in oorlog, land tegen land. “Maar dat betekent niet dat cybercrime niet heel veel schade aanricht. En dat betekent ook niet dat er geen landen zijn die andere landen aanvallen. Er zijn staten die heimelijke acties uitvoeren die het functioneren van andere landen ondermijnen. En dat zorgt voor heel veel problemen.” 

Wat is het worst case scenario op het gebied van cybercrime? 

“Dat we onze data en onze netwerken niet meer kunnen vertrouwen. Als dat gebeurt, dan komt de maatschappij langzaam tot stilstand. Haast alles in onze maatschappij is gericht op goed werkende IT-systemen, als die stilvallen, dan kunnen we nog wel houthakken en brood bakken, maar dan kunnen we niet meer leven zoals nu.” 

Hoeveel kost cybercrime ons per jaar? In 2013 noemde u het getal 10 miljard.

“Het is heel moeilijk om daar een getal op te plakken. Wat tel je mee en wat niet? Maar goed, officiële onderzoeken van bijvoorbeeld TNO rekenen ons voor dat we 1,5 à 2 procent van ons Bruto Binnenlands Product kwijt zijn aan cybercrime. In Nederland betekent dit ongeveer 10 miljard. Maar hoeveel het ook is, het is een hoop geld, het is een hoop schade. Dat geld kunnen we ook aan iets anders besteden.”

Is het eigenlijk wel in geld uit te drukken? ‘Veiligheid en vertrouwen zijn essentieel voor de samenleving’, zegt u vaak: hebben we die twee voorwaarden voor een goed werkende samenleving nog wel op orde?

“Dat vind ik dus zo pijnlijk aan het debat over fake news, want die hele discussie tast het principe van een goed werkende samenleving aan. Als we gegevens, nieuws en overheden niet meer kunnen vertrouwen, dan krijgt de samenleving het echt moeilijk. En hoe zegt je dat ook al weer: vertrouwen komt te voet en gaat te paard.”

U vergelijkt het cyberprobleem vaak met het klimaatprobleem: alleen kan je het niet oplossen. Maar als landen als Rusland niet mee willen doen, wat dan?

“Als je door redeneert vanuit het klimaatprobleem, dan zie je dat als één land afspraken aan zijn laars lapt, je het probleem simpelweg niet oplost. Het belangrijkste is dat het besef er bij iedereen is dat we allemaal verantwoordelijk zijn. Het individu, de staat, bedrijven, regio’s, allemaal. Er wordt in de discussie over verantwoordelijkheid veel te veel naar elkaar gewezen, terwijl we het moeten hebben over ‘wat is goed gedrag’ en ‘hoe gaan we daar naar leven’. Noem het een nieuw ecosysteem waarin je een bonus krijgt als je het goed doet, en een tik op de vingers als je het slecht doet. Maar bovenal moet er een indringende discussie komen over wat ieder zijn verantwoordelijkheid is. Een lastige discussie, we zullen het niet gelijk met elkaar eens zijn, maar dat is bij de klimaatdiscussie ook het geval.”

Er zijn verschillende partijen die een rol spelen op het gebied van cybersecurity, van individuen tot aan overheden. Ook bedrijven spelen een grote rol. Wat kunnen bedrijven leren van het leger op het gebied van cyberwarfare?

“Laat ik vooropstellen dat beide partijen van elkaar kunnen leren. Dat gezegd hebbende, is er één ding dat het leger altijd heel goed doet en dat is risico’s inschatten en plannen maken om met dat risico om te gaan. Welke partijen hebben het op ons gemunt, en wat gaan we daaraan doen? Dat is een goede les voor bedrijven, want je moet een antwoord hebben. De vraag is niet of je aangevallen wordt, de vraag is wanneer. Ik heb acht jaar bij Deloitte mogen werken en daar was het mantra: secure, vigilant, resilient. Bedrijven moet de basisveiligheid op orde hebben, moeten monitoren of ze worden aangevallen en moeten weerkrachtig zijn als dit daadwerkelijk gebeurt. Ze moeten kunnen incasseren.”

Hoe kwetsbaar zijn bedrijven in Nederland?

“Dat verschilt heel erg. Er zijn bedrijven, zoals de financials, die vaker zijn aangevallen. Die hebben hun lesje wel geleerd. Maar er zijn ook partijen die er nog nooit mee te maken hebben gehad en die zijn vaak kwetsbaar. Neem ziekenhuizen bijvoorbeeld. In mijn tijd bij Deloitte kwam ik daar weleens en dan zeiden ze: ‘Wat valt er nou bij ons te halen?’. Nou, data denk ik dan! Er ligt een berg, zeer gevoelige, data bij ziekenhuizen die heel interessant is voor criminelen, daar moeten ziekenhuizen zich bewust van zijn.”

Zijn bedrijven voorbereid op een worst case cyber incident?

“Dat is één van de vragen die ik bedrijven altijd als eerste stel: wat is uw meest verschrikkelijke cyber-scenario? En als ik daar antwoord op krijg: heb je er alles aan gedaan om dit te voorkomen of de risico’s te mitigeren? Dit is niet alleen van belang bij grote bedrijven, ook midden- en kleinbedrijven moeten hierover nadenken. ‘Het gaat mij niet gebeuren’, is niet meer van deze tijd. En de samenleving is niet meer zo tolerant als bedrijven onnodige risico’s nemen met cybersecurity.”

Penetratietesten, software patchen, awareness creëren, risicoanalyses: bedrijven kunnen van alles doen, maar worden uiteindelijk toch gehackt. Is het een kwestie van schade beperken?

“Dat moet inderdaad het uitgangspunt zijn. Je wordt gehackt, je bent een keer aan de beurt, dat is een zekerheid. De vraag is wanneer en ben je erop voorbereid? Dat dwingt tot nadenken. Dat dwingt ook tot risicospreiding. Zie het zo: als je straks in de auto stapt en je weet zeker dat je een ongeluk krijgt, dan check je je veiligheidsriem beter, dan rijd je langzamer, dan ben je je bewust van het gevaar. Zo werkt het bij cybersecurity ook.”

Stel: u start morgen uw eigen bedrijf. Wat is dan uw ideale game plan om cyber secured te zijn?

“Dan ga ik ervan uit dat ik ook aan de beurt kom en zal ik specialisten benaderen om me te helpen. Als je niet zeker van je zaak bent, dan is ‘get help’ mijn advies.”