Is de watersnoodramp van 2018 toekomstfictie of een werkelijke dreiging? Het is een mogelijkheid, zegt Eric van Nispen van softwareleverancier Wonderware Benelux. “Als kwaadwillenden de stormvloedkering hacken, staan de poorten open en staat half Nederland onder water.”

Waar gegevens zijn, is informatie. En informatie is gewild. Zie de hack op netwerksite LinkedIn in 2016. Hackers wisten van 117 miljoen accounts het e-mailadres en wachtwoord buit te maken. Minister Bert Koenders van Buitenlandse Zaken schreef in februari in De Volkskrant dat ‘het afgelopen halfjaar Nederlandse overheidsinstellingen en bedrijven via internet honderden keren zijn aangevallen vanuit landen als China, Iran en Rusland’.

“De dreigingen nemen toe”, erkent Patricia Zorko, directeur Cyber Security en plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid. “Data die op straat komen te liggen, zijn een kwetsbaarheid. Zoals de hack op LinkedIn. Grote hoeveelheden data kunnen dan worden benut voor slechte bedoelingen.”

Dat er wat op het spel staat, is klip en klaar. Nederland is volgens Zorko een van de meest gedigitaliseerde maatschappijen ter wereld. “Bij het nieuwe Nationaal Cyber Security Centrum houden we ons bezig met hoe we Nederland digitaal veilig houden, door samen te werken met overheden, bedrijfsleven en andere partijen. Cyberveiligheid is van ons allemaal, ook van de gewone burger. De uitdaging is de digitale deur op slot houden.”

Nog maar een paar jaar geleden draaiden we aan de thermostaat, nu is er de ‘slimme’ temperatuurregelaar. ING meldt rekeninghouders nu de uitgaven voor de komende periode. Twee voorbeelden dat producten en diensten van bedrijven meebewegen met de digitale ontwikkelingen. Wie kwaad in zin heeft, hoeft maar te hacken.

“Banken verschuiven van hoeders van geld naar hoeders van data”, zegt Frans Feldberg. Volgens de professor Data-Driven Business Innovation aan de Amsterdamse Vrije Universiteit gaan banken onder druk, door onder meer lage rente, fintechs, nadenken over nieuwe, op data gebaseerde, producten en diensten. Op basis van data-analytics is er nu die service van financiële planning. “Slimme thermostaten als Google Nest genereren data. Gaat de installatie kapot, dan volgt een seintje. De relatie van installateurs van cv-ketels met klanten verandert, kan bijvoorbeeld door Google worden overgenomen.”

Banken, energiebedrijven, ziekenhuizen, maar ook individuen, zijn daardoor potentiële slachtoffers. Grote organisaties denken na over bescherming, weet Feldberg. Die hebben een chief data officer in dienst. “Maar veel organisaties onderschatten wat je met data kunt of zijn zoekende, ook omdat er constant nieuwe vraagstukken zijn.” Daarover maakt Van Nispen zich grote zorgen. Zijn bedrijf levert software om industriële netwerken te monitoren en geeft vervolgens een overzicht van de kwetsbaarheden. “Op kantoorniveau is men zich bewust van het belang van security. Maar in de chemische industrie, productiebedrijven, waterschappen is het bewustzijn schrikbarend.” Volgens de General Manager gebruikt in de industrie tachtig tot negentig procent van de productiebedrijven PLC’s (een industriële digitale computer, red.) van vijf tot tien jaar oud. “Maar toen was niemand bezig met cybersecurity. Dus waanzinnig veel procescomputers zijn niet berekend op gevaren van buitenaf.”

Dus zegt Van Nispen: men onderschat het gevaar. In Oekraïne en de Verenigde Staten werden energiebedrijven gehackt, raakte het telefoonnetwerk overbelast en kwamen tienduizenden mensen zonder stroom te zitten. In Duitsland vielen hackers een staalbedrijf aan en kon een van de hoogovens niet meer op een gecontroleerde manier worden uitgeschakeld. Voor Nederland is volgens Van Nispen een nieuwe watersnoodramp een reëel gevaar: “Ik wil niet bang maken en klinken als een onheilsprofeet, maar gevaarlijke zaken gebeuren al, alleen worden ze vaak niet bekend. Producenten van voedingsmiddelen en chemicaliën komen daar liever niet mee naar buiten uit angst voor imagoschade. De vraag is niet of er iets ergs gaat gebeuren, maar wanneer.”

Dat klinkt inderdaad onheilspellend. Worden risico’s onderzocht, dan is er de bewuste keuze er iets aan te doen. Is men zich er niet van bewust, dan wordt sowieso niets gedaan. Dat baart Van Nispen zorgen. Zorko zegt dat het bewustzijn wel degelijk toeneemt. “Je moet het risico voor jezelf of je eigen organisatie onderzoeken en vervolgens actie ondernemen.” Weten is een ding, actie ondernemen is het volgende. “Bijvoorbeeld door zo’n tien procent van het ICT-budget aan veiligheid te besteden.” Toch is Van Nispen er niet gerust op. “De bewustwording komt er, maar het gaat langzaam. Die zal pas exponentieel stijgen als er iets erg gebeurt.”