Tekst Bert van Elk
Foto Mediacentrum Defensie
'Vijand hoeft zich maar te abonneren op jouw timeline en krijgt alles te zien'
Computers zijn overal. 2 generaties geleden was een leven mét computers haast ondenkbaar, anno 2020 is het andersom. Computers en netwerken zorgen niet alleen voor veel digitaal gemak, maar, als we niet uitkijken, ook voor veel ongemak. Niet alleen privé, maar ook op het werk. De Cyber Coördinator van CZSK, werkzaam bij het Maritime Warfare Centre , kapitein-luitenant ter zee Erik, heeft een dagtaak aan het coördineren van de marineactiviteiten in het digitale domein, de wereld van de enen en de nullen.
Een coördinator zorgt ervoor dat activiteiten op elkaar zijn afgestemd. Zo ook Erik. De marine is actief op cybergebied, net als landmacht, luchtmacht en marechaussee. Op centraal niveau kent Defensie ook nog eens de Militaire Inlichtingen en Veiligheidsdienst (MIVD) (die met de AIVD binnen de Joint Sigint Cyber Unit samenwerkt), het Defensie Cybercommando en het Defensie Cyber Security Center. "De laatst genoemde zorgt ervoor dat onze informatie van ons blijft en niemand ons hackt. De marechaussee is de 4e instantie, mét opsporingsbevoegdheid."
'Je weet dat een marineschip in jouw gebied rondvaart en je hebt een manier om mee te kijken; handig, toch?'
Ook zelf verantwoordelijk
Het afstemmen met de andere cyberorganisaties vraagt het meeste van zijn tijd. "Wie doet wat? Een voorbeeld: op defensief gebied, dus voorkomen dat anderen schade kunnen toebrengen in het cyberdomein, kent Defensie het Defensie Cyber Security Center. Maar de marine is er ook zelf verantwoordelijk voor dat haar netwerken en systemen niet makkelijk zijn binnen te dringen. Als dat gebeurt, moet je ook zelf een deel van de oplossing aandragen. Als dat bijvoorbeeld aan boord van een schip gebeurt, willen we er straks voor kunnen kiezen om, in overleg met de commandant van het schip én cyberspecialisten van CZSK, dat netwerk al dan niet plat te leggen. Daarnaast maken we gebruik van de capaciteiten van centrale organisaties, zoals het Defensie Cyber Security Center."
Leven aan boord lastiger
Óf marineschepen een gewild doel zijn voor een cyberaanval, wil Erik niet zeggen. Wel dat tegenstanders er belang bij zouden hebben om systemen binnen te dringen. "Stel, je bent een piraat. Je weet dat een marineschip in jouw gebied rondvaart en je hebt een manier om mee te kijken; zodat je permanent weet waar het is; handig, toch? Dat geldt voor al onze potentiële tegenstanders. Als die ook nog het functioneren van het schip moeilijker kunnen maken, door bijvoorbeeld de GPS te storen, dan wordt het leven aan boord een stuk lastiger. Dat kunnen we natuurlijk wel opvangen met ons zeemanschap, maar je bent toch wel gewend om met GPS te navigeren."
Goed meekomen
Volgens Erik kan de marine op cybergebied internationaal goed meekomen. "We stellen onszelf de vraag wat we als marine moeten doen. Onze mensen hebben de juiste opleidingen. We zijn een hightech-organisatie en trekken mensen aan die in techniek zijn geïnteresseerd. Zij vinden het cyber-domein ook interessant. Nederland heeft goede opleidingen, waardoor ze zich, met een beperkte hoeveelheid studie, bij de KM kunnen kwalificeren voor functies binnen het cyberdomein." Technici zijn moeilijk te krijgen, maar de KM heeft in dat opzicht volgens Erik een beetje geluk. "Computers zijn voor veel mensen een hobby. Cyberspecialisten waren al van jongs af aan met computers bezig en maken nu van hun hobby hun beroep; daar kunnen we ons voordeel mee doen."
Vuist maken
De Nederlandse krijgsmacht kan op cybergebied een redelijke vuist maken, vindt hij. "We hebben goede mensen in dienst. We moeten hun krachten bundelen en wellicht ze nog beter opleiden, zodat ze ook in de praktijk kunnen wat ze theoretisch al weten. Nederland staat bekend als een van de meest gedigitaliseerde landen ter wereld. Dat zijn we niet voor niets, omdat we lang geleden die keuze daarvoor hebben gemaakt. Die beslissing van toen heeft zijn weerslag op onze mensen in Nederland; op de krijgsmacht als geheel en op onze marine."
'Cyberspecialisten waren al van jongs af aan met computers bezig en maken nu van hun hobby hun beroep; daar kunnen we ons voordeel mee doen.'
Kwaad- en goedwillenden
Wat grote, toekomstige bedreigingen vormen, valt volgens de cyber-coördinator moeilijk te zeggen. "Gemiddeld komen instellingen en bedrijven er pas na een half jaar achter dat hun systemen zijn geïnfecteerd, soms nog veel later. Stel je voor dat de krijgsmacht nu in actie moeten komen, dan zou het zomaar kunnen zijn dat onze systemen al een hele tijd geleden zijn gehackt. Ik vind het heel moeilijk om te zeggen wat straks grote bedreigingen worden. Er is een wapenwedloop gaande tussen kwaad- en goedwillenden. Of dat nou landen, organisaties of mensen zijn, is niet belangrijk. De aanvallende partij is in het voordeel en dat voordeel wordt steeds groter. De verdedigers hebben het steeds moeilijker om de boefjes buiten te houden. Dat betekent dat onze achterstand steeds groter wordt en dat is best vervelend.”
Toch is Erik ook positief gestemd: “Je probeert je systemen te beschermen en dat lukt tot op heden prima. We moeten ervoor zorgen dat de systemen moeilijk zijn binnen te dringen, we snel in de gaten hebben dat er iets niet in de haak is en de situatie herstellen. Als je dat doet, kun je met veel dreigingen omgaan."
'Melden dat je schip volgende week in New York ligt, zou zomaar strafbaar kunnen zijn'
Leed voorkomen
Er is volgens de marineman met wat simpele regels al veel leed te voorkomen. "Om het concreet te maken: kies slimme passwords en laat ze niet 6 jaar onveranderd. Schrijf ze niet op een briefje en hang dat niet op het beeldscherm van een systeem. Als je een USB-stick cadeau krijgt, zogenaamd met foto's erop, doe 'm nergens in. Ook niet in je eigen laptop. Kijk goed als je een mailtje, smsje of appje krijgt of het wel klopt. Je kunt mail krijgen van een adres dat wel erg lijkt op een mindef-account, maar dan staat er bijvoorbeeld ‘mindel.nl’. Als je het niet vertrouwt, meldt het dan, maar klik er niet op.”
Jijzelf als doelwit
Dat via social media soms zo makkelijk te achterhalen valt wat de volgende haven van een schip is of waar het Korps Mariniers oefent, daar maakt Erik zich zorgen om. “Je hoeft daarvoor geen hacker te zijn; het is overal te vinden. De vijand hoeft zich alleen maar te abonneren op jouw timeline en hij krijgt alles te zien. Melden dat je schip volgende week in New York ligt, zou zomaar strafbaar kunnen zijn, omdat het confidentiële informatie is. Daarmee maak je jezelf tot een doelwit." Om dit alles is Erik ook blij met het programma Cyber Secure Behaviour binnen Defensie, dat niet alleen bewustzijn schept, maar ook de juiste houding aanleert.
Je geeft informatie weg
Wat moet de gemiddelde marinemens wel en niet doen op cybergebied? "Ga volledig offline", raadt hij lachend aan. "Dat is het veiligst, maar natuurlijk niet haalbaar. Maar wees je ervan bewust dat je niet weet wie er meekijkt en met welke bedoelingen. Je geeft veel informatie weg, zonder dat je er erg in hebt. Aan mensen die geïnteresseerd zijn in jouw informatie. En als je denkt dat je het snapt, lees er dan wat over. Dat zie je dat er heel veel gebeurt en dat het niet altijd leuke dingen zijn. Leer omgaan met het cyberdomein."