In de digitale samenleving zijn niet alleen technologische beveiligingsoplossingen vereist. Men mag men ook de menselijke factor niet onderschatten. Dat betoogde een medewerker van de AIVD onlangs tijdens een debat over cybersecurity bij Siemens in Den Haag.

De AIVD heeft als missie dreigingen op te sporen en zichtbaar te maken voor ze zich manifesteren. Cybercriminaliteit is een nog jonge maar ernstige bedreiging. Veiligheidsdiensten zien dat hackers steeds vaker vitale processen binnendringen. Vooralsnog heeft dit niet tot ontwrichtingen geleid. ‘We maken ons daar wel zorgen over,’ klinkt het bij de AIVD. ‘Een gerichte aanval op vitale bedrijven en organisaties is voorstelbaar.’ De AIVD helpt bedrijven die actief zijn in vitale sectoren bij het opstellen van realistische dreigingsscenario’s. Men hoeft immers niet alles te beveiligen tegen alle bedreigingen. De focus moet liggen op de kernbelangen. Veel bedrijven hebben voor zichzelf niet goed in beeld wat hun ‘kroonjuwelen’ zijn. ‘Akker dat eens door met een paar verstandige mensen binnen de organisatie’, adviseert de AIVD. ‘Informeer alle medewerkers hierover, zodat ze weten waar de rode lijn loopt en wat de zaken zijn waarover ze op bijeenkomsten niet mogen praten.’

Economische spionage

Terwijl de AIVD zich met cyber alleen richt op contra-terrorisme en contra-spionage of het vergaren van politieke informatie over andere landen, hebben veel buitenlandse inlichtingendiensten ook de taak om aan economische spionage (bedrijfsspionage) te doen. Nederlandse bedrijven en organisaties blijken hier kwetsbaar voor. Ons land wordt door veel landen economisch bespioneerd. De ‘topsectoren’ voor economische spionage zijn onder andere hightech, energie en de chemische industrie. Niet alleen onze kennis maakt ons tot een doelwit van bedrijfsspionage. Interessant voor spionnen is ook onze ‘openheid en transparantie’. We delen graag kennis en hebben een laag veiligheidsbewustzijn. Oftewel: kennis die wellicht ook in andere landen aanwezig is, kan men bij ons net iets makkelijker vergaren.

Zwakke schakel

Beveiliging tegen spionage kan nooit succesvol zijn door alleen technische beveiligingsmaatregelen te nemen. Vaak vormt de mens de zwakste schakel in de keten. Voorafgaand aan een aanval wordt veel gebruik gemaakt van social engineering. Digitale spionnen trachten via het open internet zoveel mogelijk informatie te verzamelen over bijvoorbeeld de medewerkers van een bedrijf. Vervolgens verleiden ze mensen ertoe op een malafide link te klikken of kwaadaardige software te installeren. Op die manier verschaffen ze zich toegang tot het bedrijfsnetwerk. Hoe wapent men zich tegen deze hackers? ‘Het is zo gek nog niet om medewerkers op cruciale posities om terughoudendheid op social media te vragen’, aldus de AIVD. ‘Mensen zetten tegenwoordig veel over zichzelf op Linkedin en daar wordt misbruik van gemaakt.’

Informatielekken

Niet alleen op social media lopen we het risico slachtoffer te worden van spionage. We nemen vaak veel te veel bedrijfsinformatie mee op zakenreis en gebruiken te makkelijk externe netwerken. Dit verhoogt de kans op informatielekken. Een tip van de AIVD: ‘Tref voorzieningen zodat mensen veilig kunnen werken. Geef ze bijvoorbeeld schone reislaptops mee, die niet aan het bedrijfsnetwerk hangen en die na iedere reis worden opgeschoond. Denk er goed over na waar je je data stalt. Maak incidenten bespreekbaar en stel een security officer aan.’

Integrale aanpak

Bedrijfsspionage vraagt om een integrale beveiligingsaanpak. Al was het maar omdat naast cyberspionage ook de meer klassieke spionagemethoden nog steeds succesvol worden ingezet. ‘Je kan alles perfect technisch dichtgetimmerd hebben, maar als je vervolgens een spion door de voordeur laat binnenkomen en je zet hem in dat ene speciale lab, heb je geen moer aan beveiligingstechnologie.’ Inlichtingenofficieren zijn de dagelijkse praktijk. Ze kunnen zich under cover voordoen als diplomaat of medewerker van een reisbureau. Hun taak is het opbouwen van een netwerk en dicht in de buurt te komen van informatie die in geen enkele database is opgeslagen maar in de hoofden van slechts een handjevol mensen zit. Dergelijke gerichte spionageactiviteiten kunnen zeer schadelijk zijn. Infiltreren heeft vele gedaantes. Wat weten wij eigenlijk over de vele buitenlandse studenten die stage lopen in onze bedrijven? De AIVD adviseert dan ook: ‘Negeer geen signalen. Richt je organisatie zodanig in dat vreemde gedragingen tijdens het werk onmiddellijk opvallen en gemeld worden.’