Nederlands leger richt zich op cyberoorlog

Nederland krijgt in januari 2012 een nieuw krijgsmachtonderdeel, dat zich volledig gaat toeleggen op het voeren van internetoorlogen. Wie handig is met een toetsenbord kan oorlogen ingrijpend beïnvloeden. Met de vorming van een ’digitale taskforce’, wil de krijgsmacht laten zien dat het menens is op het internet (bron).

Natuurlijk weten we allemaal dat we meer en meer oorlogen zullen krijgen in de virtuele wereld. Deze zullen voorlopig nog wel aangevuld worden met kogels, bommen en granaten, maar denk je eens in. Je kunt een heel land ontwrichten als je de bevolking kan weghouden van hun primaire levensbehoeften. Je zorgt er gewoon voor dat men het water uit de kraan niet meer durft te drinken, je voorkomt dat voedsel getransporteerd kan worden, je zorgt voor elektriciteitsstoornissen en voorkomt dat men onderling kan communiceren. De radiofrequenties worden platgegooid en er ontstaat chaos. Voor zover je je er nog niets bij voor kon stellen, kun je dat nu wel. En geloof me, er is nog veel meer mogelijk.

Op zich nog weinig opmerkelijks. Gewoon feiten en we zullen daar zeker mee geconfronteerd worden in de toekomst. Geen menselijke slachtoffers door rondslingerende kogels, maar ze langzaam uit laten drogen en uit laten hongeren. Geen fraai vooruitzicht, toch?

Wat dan weer wel opmerkelijk is, is dat we spreken over Defensie. Of in gewoon Nederlands: bescherming. Nu is er inderdaad de afgelopen jaren niet zoveel te beschermen geweest dus hebben we onze bijdrage geleverd aan allerlei vredesmissies. Nee, daar gaan we hier geen discussie over voeren. Er zijn mensen tegen en er zijn mensen voor.

Nu gaan we dus een krijgsmachtonderdeel oprichten dat zich gaat richten op internetoorlogen. Maar draaien we de wereld dan niet een beetje om? Zouden we geen krijgsmachtonderdeel op moeten richten dat zich gaat richten op internetdefensie? Gaan we nu ineens actief meedoen in allerlei oorlogen op het internet (die, als je het mij vraagt, allang bezig zijn)?

Zouden we de aandacht niet beter kunnen richten op het beschermen van onze kritieke infrastructuur? Ja, ik weet het, daar lopen al allerlei initiatieven voor, maar hoe goed die zijn is slechts voor een enkeling echt inzichtelijk.

Nee, voor we actief ten strijde trekken, zou ik persoonlijk toch graag een iets beter gevoel willen hebben bij de beveiliging van onze eigen infrastructuur. Ik heb liever dat we die zowel virtueel als fysiek goed beschermen zodat we recht doen aan Defensie. Maar het zal altijd wel een spanningsveld blijven, we noemen het het Ministerie van Defensie, maar spreken wel over krijgsmacht.

Geldgebrek houdt F16’s aan de grond

Vandaag maar eens een raadsel: hoe kun je zien dat 9/11 alweer te lang geleden is?

Juist: door alle bezuinigingen die we doorvoeren in onze beveiligingsmaatregelen. De overheid doet daar gezellig aan mee.
Door aanhoudende bezuinigingen op het Defensiebudget staan steeds meer toestellen van de Nederlandse F16-vloot aan de grond. De straaljagers zijn defect en geld voor vervangende onderdelen en reparatie is er niet (bron).

Overigens is bezuinigen op beveiliging niet specifiek voor de overheid, veel andere organisaties snijden ook in die kosten omdat er nu eenmaal bezuinigd moet worden. Op zich geen probleem want ik ben er van overtuigd dat je met een goede, integrale, beveiligingsaanpak een berg geld kunt besparen terwijl je toch een stuk veiliger wordt. Geloof me er worden bergen geld uitgegeven aan schijnveiligheidsmaatregelen. Zouden we die budgetten efficiënter inzetten dan zouden we er nu een stuk beter/veiliger voor staan.

Juist door te bezuinigen op beveiliging voordat je het goed hebt ingericht ga je meer risico’s lopen. De formule is niet zo ingewikkeld: door nu te bezuinigen op proactieve beveiligingsmaatregelen ga je ze straks dubbel en dwars terug betalen met de repressieve en correctieve maatregelen. Hopelijk bezuinig je niet zoveel dat repressieve of correctieve maatregelen straks niet meer nodig zijn omdat je na het incident de deuren hebt kunnen sluiten.

Organisaties zijn na een incident bereid om te investeren in beveiliging, maar dan moet je als beveiliger wel snel je slag slaan. Na een maand of 3 is iedereen het incident weer vergeten en worden alle budgetten weer bevroren. Toch zie je dat na die drie maanden de dreiging niet is afgenomen.

Ook hier kunnen we een parallel trekken naar 9/11. Is de terroristische dreiging zodanig afgenomen dat we het ons kunnen veroorloven om de F16’s aan de grond te houden? Persoonlijk denk ik van niet. De dreiging is nog steeds aanwezig en wellicht zelfs iets verhoogd met ons nieuwe kabinet. De bombrieven vliegen ons om de oren, de Russen vliegen vrolijk over ons grondgebied om te kijken hoe waakzaam we nog zijn. Een tip voor de Russen: denk nu niet dat we jullie niet zien als er geen F16 opstijgt, nee we hebben gewoon even F16-pech.

Ben benieuwd wat de huidige status van de Joint Strike Fighter is. Heb het nieuws op dat vlak al een poos niet gevolgd maar ben benieuwd. Kopen we straks JSF-en om ze ook aan de grond te zetten? Waarschijnlijk zullen die machines best wat vlieguren kunnen maken voordat ze in onderhoud gaan, maar onderhoud hoort er wel bij en dan het liefst al vanaf het begin.

Het verzoek aan alle vreemde naties is om ons de komende jaren maar even met rust te laten…we zijn vleugellam en hopen op een beetje respijt.

Britse Defensie verliest 340 laptops

Het Britse Ministerie van Defensie is de afgelopen twee jaar 340 laptops kwijtgeraakt, waarvan de meeste niet versleuteld waren. De schade bedraagt bij elkaar meer dan 700.000 euro. Naast de laptops verdwenen ook 593 CDs, DVDs en diskettes, 215 USB-sticks, 96 draagbare harde schijven en dertien mobiele telefoons. Van alle gestolen of verloren apparaten, was 80% onversleuteld. Volgens een Defensiewoordvoerder wordt het verlies van materiaal zeer serieus genomen en zijn er robuuste procedures aanwezig. (bron).

Ben je na het lezen van bovenstaande gegevens ook zo benieuwd hoeveel tanks, kanonnen, geweren en munitie ze kwijt zijn geraakt? Ik wel, maar goed, dat zullen we wel nooit te weten komen. Hopelijk gaan ze voorzichtiger met hun personeel om. Nu staat er een klein berichtje op internet en alleen degene die er in geïnteresseerd zijn lezen het. Maar als er de afgelopen twee jaar 340 militairen om het leven waren gekomen dan was de wereld te klein geweest.

Schrikbarende cijfers en dan hebben we het hier nog over een instantie als het leger kun je nagaan wat er bij andere, minder beveiligde, organisaties zoal verdwijnt. Of zou het leger het hier slechter doen dan de maatschappij? We mogen hopen van wel, maar dat ze een serieus probleem hebben mag duidelijk zijn.

De afgelopen jaren hebben ze waarschijnlijk allerlei mooi, ingewikkeld en vooral duur oorlogsmaterieel gekocht, maar ze hadden beter een deel kunnen investeren in beveiligingsmaatregelen. Natuurlijk hebben naties nog oorlogsmaterieel nodig, maar er is steeds meer sprake van digitale oorlogsvoering en die hebben de Britten in ieder geval al verloren.

En hoewel we voorzichtig moeten zijn met het geven van beveiligingsadviezen (want we kennen de context niet) kunnen we in ieder geval stellen dat de focus zou moeten liggen op: versleuteling van de gegevens en bewustwording bij het personeel. Maak het personeel persoonlijk verantwoordelijk voor de spullen die ze krijgen en als ze daarvan iets zijn kwijtgeraakt dan duurt het even langer voordat ze er een streepje bij krijgen op de schouder. Dit soort maatregelen kunnen andere bedrijven natuurlijk ook doorvoeren. Maak het personeel verantwoordelijk en trekt de kosten die je loopt bij verlies of diefstal af van het salaris, moet je eens opletten hoe goed iedereen op zijn spullen gaat letten.

Als militairen, die van nature toch al een gevoel bij beveiliging zouden moeten hebben, al zo met hun spullen omgaan dan moeten we ons zorgen maken voor de veiligheid van de maatschappij en de gewone burgers daarin, die zijn zich nog minder bewust van de risico’s.

Voorlopig ligt er nog genoeg werk voor de beveiligingsadviseurs alleen moet het management gaan begrijpen dat er aan dit soort risico’s wel degelijk iets te doen is. En die 700.000 euro heb je dan zo terug verdient. Die 700.000 euro is trouwens niet de echte schade, dat is slechts de schade voor de hardware, maar hoeveel is de informatie die er op te vinden is waard en hoeveel uren zijn er verloren gegaan als gevolg van het zoekraken van gegevens? Daar zit hem de echte schade en die is vele malen hoger.

Het lijkt me toch dat er, na het zomerreces, vragen over gesteld gaan worden in het Lagerhuis, hopelijk geven ze een seintje als ze dat gaan doen want die discussie wil ik niet missen.

Defensie neemt beveiligde USB stick in gebruik

Na een aantal keer het nieuws te hebben gehaald met verloren USB sticks is het Ministerie van Defensie begonnen met het verstrekken van beveiligde USB sticks aan haar medewerkers. Deze sticks worden door het Ministerie in bruikleen aan de medewerkers gegeven zodat altijd de eigenaar van de stick achterhaald kan worden.

Mits de achterliggende techniek voldoende sterk is, wordt hiermee aan de exclusiviteitseisen die gesteld worden aan de staatsgeheime informatie tegemoet gekomen. Ook voor andere organisaties, zoals financiele instellingen, dienstverleners in de zorgsector en gemeentes, zou dit een goede maatregelen kunnen zijn om de aan hen toevertrouwde informatie beter te beschermen.

Door aanvullend de medewerkers te trainen, de juiste classificatie aan de informatie toe te kennen en het verstrekken van toegang tot die informatie op basis van need to know kan al voor een deel voorkomen worden dat informatie in de verkeerde handen terecht komt. Als dan ook nog op de juiste wijze back-ups van de informatie gemaakt worden kunnen we naast de exclusiviteitseisen ook aan de beschikbaarheidseisen voldoen.