‘Cybercriminaliteit grootste bedreiging voor democratie’
Tijdens de behandeling van het nieuwe regeerakkoord in de Tweede Kamer viel het CDA-leider Buma op dat niemand stilstond bij het onderwerp cybercriminaliteit. En dat terwijl ‘het misschien wel een van de grootste bedreigingen voor onze democratie’ vormt, aldus de bewindsman. Hoe accuraat is deze uitspraak?
Buma uit zijn zorgen tijdens de Algemene Politieke Beschouwingen van 1 november. In zijn betoog gaat hij in op de Nederlandse cyberveiligheid, waarbij een grote zorg naar boven komt.
Bekijk het fragment:
https://www.youtube.com/watch?v=EKG_zWTmd1c&feature=youtu.be&t=1h36m25s
De fractieleider doelt hierbij op een specifieke vorm van cybercriminaliteit, zoals in zijn betoog duidelijk wordt. “Onze democratie is kwetsbaar door beïnvloeding vanuit andere landen. Denk aan de activiteiten van Rusland op sociale media. Iedere dag worden we bedreigd.” Buma noemt het ‘een reële dreiging’ en wijst naar de VS als voorbeeld.
Cybersecuritybeeld Nederland
Hoe groot is de dreiging van cybercriminaliteit werkelijk? En waar bestaat deze dreiging precies uit? Uiteraard houdt de Nederlandse overheid ontwikkelingen op dit gebied in de gaten. Het Nationaal Cyber Security Centrum (NCSC) maakt een jaarlijkse rapportage over de digitale veiligheid van Nederland: het Cybersecuritybeeld Nederland (CSBN). De meest recente editie, die in juni verscheen, onderstreept het probleem dat Buma aankaart. Het spreekt ook over beïnvloeding van ‘democratische processen’. Het is aannemelijk dat Buma en het NCSC het hier over dezelfde dreiging hebben. “Statelijke actoren blijven zich bezighouden met digitale sabotage en economische en politieke spionage”, zo leest het rapport. “Zij intensiveren hun activiteiten en hebben zich daarnaast het afgelopen jaar ook gericht op digitale beïnvloeding van democratische processen voor geopolitiek gewin.” De dreiging bestaat volgens het onderzoek uit het beïnvloeden van besluitvormingsprocessen en de publieke opinie.
Cybercriminaliteit bij verkiezingen
Het rapport beschrijft verschillende manieren waarop die beïnvloeding bij de afgelopen verkiezingen heeft plaatsgevonden of kunnen plaatsvinden. Social media-accounts van politieke partijen werden gehackt naar aanleiding van een aantal datalekken. De websites van verschillende kieshulpen bleken kwetsbaarheden te bevatten. Nederlandse organisaties, waaronder de Stemwijzer en het Kieskompas, waren het doelwit van denial-of-serviceaanvallen, waarbij een website onbereikbaar wordt gemaakt door het te overspoelen met verzoeken. Ook waren er ‘defacements’, het aanpassen of vervangen van de homepage van een website met iets anders (zoals een politieke boodschap).
Spionage
Digitale spionage is volgens het CSBN een groot probleem. Volgens het rapport houden meer dan honderd landen zich hiermee bezig. Samen met beroepscriminelen vormen andere overheden de grootste digitale bedreiging voor Nederland en richten zij de meeste schade aan. “De AIVD en de MIVD hebben gezien dat Nederlandse overheidsinstellingen het afgelopen jaar herhaaldelijk doelwit waren van omvangrijke en hardnekkige digitale spionageaanvallen. De aanvallen geven blijk van omvangrijke en structurele interesse in de Nederlandse overheid.” Informatie die wordt verzameld via digitale aanvallen is gebruikt om de publieke opinie te beïnvloeden. “Cyberaanvallen hebben geleid tot het uitlekken van informatie rond de Amerikaanse presidentsverkiezingen en in meerdere landen is beïnvloeding van democratische processen waargenomen of zijn pogingen daartoe geconstateerd.”
Offensief
Naast spionage zijn veel landen bezig met het opzetten van offensieve digitale middelen. Ook die worden volgens het rapport gebruikt voor beïnvloedingsoperaties.
Het Cybersecuritybeeld geeft ook een overzicht van verschillende bronnen en risicogroepen in Nederland. Het overzicht bevestigt het verhaal dat digitale spionage een grote bron van zorgen is voor de Nederlandse overheid, en dit risico valt dan ook in de zwaarste categorie (rood). De andere soorten cyberaanvallen waar de Nederlandse overheid mee te maken heeft, zijn gecategoriseerd als oranje.
Andere actoren
Andere landen vormen echter niet het enige gevaar voor de Nederlandse overheid. Ook de categorieën ‘beroepscriminelen’ en ‘cybervandalen en scriptkiddies’ staan in de hoogste categorie, met het risico op verstoring van ICT-systemen van de overheid. Het is niet helemaal duidelijk of Buma hier ook op doelde, of enkel de bedreiging van andere staten beschreef. Deze andere actoren vormen een minder grote dreiging voor de Nederlandse overheid, omdat zij veelal uit zijn op het verdienen van geld en niet op politiek gewin.
Het risico op beïnvloeding van democratische processen is volgens het CSBN dus een serieuze dreiging. Bovendien ‘blijft de weerbaarheid in Nederland achter bij de groei van de dreiging’, concludeert het rapport. Klinkt zorgwekkend.
Nationaal Veiligheidsprofiel
Om de dreiging van cybercriminaliteit in perspectief te zetten, moeten we de digitale risico’s, die blijkbaar duidelijk aanwezig zijn, vergelijken met andere soorten dreigingen. Middels het Nationaal Veiligheidsprofiel (NVP) analyseert de overheid iedere vier jaar de risico’s die Nederland loopt. Dat gebeurt aan de hand van een aantal scenario’s. Daarbij wordt ook het effect op sociale en politieke stabiliteit meegenomen. Binnen die categorie bestaat de subgroep ‘aantasting van de democratische rechtstaat’. Ieder risico dat aan bod komt wordt op dat gebied beoordeeld, aan de hand van een oordeel over de kans en impact van het risico:
Aan de twee categorieën (kans en impact) is voor deze factcheck een waardering van 0 tot 5 gehangen. Daardoor ontstaat het volgende overzicht:
Uit de grafiek blijkt dat het risico ‘ondermijnende enclaves’ en ‘ondermijning vanuit buitenland’ de grootste risico’s vormen. Met ondermijnende enclaves doelt het onderzoek op het ontstaan van parallelle samenlevingen in Nederland: gebieden die zich niet houden aan Nederlandse wetten en regels en hun eigen gang gaan. Dit zou volgens het onderzoek grote gevolgen hebben voor de democratische rechtsstaat, omdat de overheid haar grip zou verliezen op deze gebieden. Ondermijning vanuit het buitenland houdt in dat een ander land de Nederlandse samenleving negatief probeert de beïnvloeden voor eigen gewin. Denk bijvoorbeeld aan het verspreiden van geruchten en schandalen. Ook hier is de schade voor ons bestuur groot: politieke vertegenwoordiging en openbaar bestuur wordt aangetast en het draagvlak voor de rechtsstaat en grondrechten wordt ondergraaft.
Cyberveiligheid
Het risico ‘cyberspionage overheid’ staat op de derde plaats met zowel een hoge kans (4) als impact (3). Dit is het risico waar Buma het over heeft in zijn betoog. Het NVP onderschrijft de dreiging: “Cyberspionage gebeurt wereldwijd op zeer grote schaal en wordt daarom door veiligheidsdiensten als een van de meest concrete en actuele risico’s gezien voor de nationale veiligheid.” De gevolgen hiervan zouden waarschijnlijk groot zijn: “Functioneren van politieke vertegenwoordiging, openbaar bestuur en OOV (openbare orde en veiligheid) wordt aangetast, maar de mate hangt ook hier sterk af van het type informatie dat is gelekt.”
Twee samenhangende risico’s, ‘crimineel buitenlands concern’ en ‘inmenging bedrijfsleven’ hebben een even grote kans, maar lagere impact. Het gaat hierbij om bedrijven met (verborgen) criminele banden en clandestiene (overheids-)activiteiten.
Er staan nog drie risico’s in het overzicht die gerelateerd zijn aan cyberveiligheid, maar alle drie hebben een lagere kans en impact dan cyberspionage. Volgens dit rapport is de grootste bedreiging dus niet – zoals Buma stelt – de grootste bedreiging voor de democratie. Ondermijning is een groter risico voor de Nederlandse rechtsstaat.
Conclusie
Buma stelt dat cybercriminaliteit – specifiek digitale beïnvloeding van onze samenleving – de grootste bedreiging vormt voor onze democratie. Volgens het Cybersecuritybeeld Nederland is die dreiging inderdaad erg groot. Meer dan honderd landen houden zich bezig met digitale spionage en de afgelopen jaren zijn er tal van voorbeelden bijgekomen van beïnvloeding van politieke processen. Maar plaatsen we dit risico in een bredere context, dan blijkt dat ondermijning van de Nederlandse rechtsstaat het grootste risico vormt. Cyberspionage staat daar echter niet ver onder. De stelling dat cybercriminaliteit de grootste bedreiging vormt voor onze democratie is dus niet juist, maar zit er niet ver naast.
Gerelateerde factchecks:
‘Nederland in top 5 landen waaruit spam en malware wordt verstuurd’
‘Nederland is het meest digitale land ter wereld’