Net goed! – Je laptop als wapen

===

Edda: 24 februari 2022. Op hetzelfde moment dat de eerste troepen Oekraïne binnenvallen, worden de terminals van het internationale satellietbedrijf Viasat door een computeraanval lamgelegd. Achtenvijftig honderd windmolens in Duitse windmolenparken komen stil te liggen en in Oekraïne wordt de communicatie tussen de militairentop onmogelijk gemaakt. Zelenski vraagt om hulp. Elon Musk zendt een paar duizend Starlink-ontvangers. Veilige communicatie voor de legertop is weer mogelijk. Oorlog. Voorheen waren de opties een aanval via land, lucht of water. Inmiddels zijn naar de takken Cyber en Space bijgekomen. Is Nederland in een heuse cyberwar verwikkeld. En wat hebben we op dat gebied te bieden?

Het internet, al zo’n veertig jaar een onmisbaar stukje technologie. Onmisbaar, maar onzichtbaar. Want waar zit dat internet precies? Hoe werkt het en hoe heeft het ons leven veranderd? In de podcast ‘Net goed!’ van NEMO Kennislink duiken we in de wereld achter het wereldwijde web.

Edda: Hallo, ik heb een afspraak. Ik ben op weg naar het Defensie Cyber Commando in Den Haag, ook wel DCC.

Marcel: Welkom bij het Cyber Commando Cyber Commando.

Edda: Dat klinkt meteen heel spannend. Een man in uniform heet me welkom en stelt zich voor als: 

Marcel: Ik ben Marcel.

Edda: En geen achternaam. 

Marcel: Nee, daar doen we niet aan. 

Edda: Er is strenge beveiliging. Alles moet door poortjes. 

Marcel: We lopen het beveiligde gedeelte in, dus je moet even je telefoon, smartwatch, alles wat een antenne heeft of een zender, moet even in het kluisje. 

Edda: Mijn telefoon in een kluis, mijn apparatuur uitgebreid gecheckt. Dit is niet zomaar een kantoor. Ik had me er al goed op voorbereid.

Bezoekersfilmpje: Binnenkort brengt u een bezoek aan een defensielocatie. Hierbij is veiligheid belangrijk. 

Edda: Niet alleen door vooraf een bezoekersfilmpje te kijken, maar ook door meerdere gesprekken met verschillende partijen. DCC, DCSC en MIVD. Ja, wen maar vast aan afkortingen. Defensie is er dol op. Gewoon even binnenlopen met m’n recorder en wat vragen stellen is er niet bij. Er zijn maanden aan overleggen overheen gegaan voor ik naar binnen mocht. Je begrijpt het, mijn verwachtingen liggen hoog. We lopen verschillende sluizen door. Geblindeerde deuren, pasjes langs scanners en dan ... 

Marcel: Hier zijn we.

Edda: Ja, ja, ja. Het kantoor. Ja, ik weet niet wat ik had verwacht bij Cyber Commando, maar misschien toch meer het spannende commandocentrum dat ik ken uit films. Een wereldkaart aan een muur met overal knipperende lampjes. Donker, afgesloten van de buitenwereld. Hier is het enige opvallende een digitale klok in een hoek van de ruimte. Verder is de kamer naast een tafel en stoelen kaal. 

Edda: Bij defensie ter land, ter zee en in de lucht kan ik me wat voorstellen. Maar cyber? 

Marcel: Ongeveer tien jaar geleden bedachten we ons dat we ook in het cyber domein heel veel werden aangevallen. Maar wij konden daar zelf niet aanvallen. En toen hebben we bedacht dat we dat eigenlijk wel moeten kunnen. Om Nederland veilig te houden. Dus tien jaar geleden is het Defensie Cyber Commando opgericht om als wapen van de krijgsmacht in het cyberdomein op te treden.

Edda: Het wapen van de krijgsmacht in het cyberdomein om anderen te kunnen aanvallen.

Marcel: Wij hebben dus een aantal cyberteams. Mannen en vrouwen, jongens en meiden die heel goed zijn in het hacken. En met die mensen willen wij de verdediging van Nederland helpen door de tegenstander aan te vallen zoals we dat ook willen kunnen met tanks op het land en met F-35’s in de lucht willen we dat ook met hackers kunnen doen in het cyberdomein.

Edda: Ja, wat is aanvallen? Hoe moet ik me dat voorstellen?

Marcel: Nou, aanvallen. Dat houdt in dat je probeert in te breken op netwerk van de tegenstander, probeert uit te vinden wat er zich op die netwerken bevindt en probeert uit te vinden wat er gebeurt als je daar iets kapotmaakt. Bijvoorbeeld een malware plaatst waardoor bijvoorbeeld een radar het niet meer zou doen, of waardoor een treinmanagementsysteem het niet meer doet.

Edda: Maar ook bijvoorbeeld ransomware plaatsen waardoor berichten van de tegenstander versleuteld worden zodat ze ze niet meer kunnen lezen. Maar dit soort dingen doen ze alleen als het oorlog is, benadrukt

Marcel: In oorlogstijd uiteraard. Dat is het nu gelukkig niet, maar dat willen we wel kunnen.

Edda: Cyberoorlog, een digitale oorlog. Het heeft iets ongrijpbaars. Maar ik vind het ook wel eng klinken. En ik ben niet de enige. Wat vinden de mensen op straat?

Persoon 1: Ik vind het af en toe een beetje eng worden. Wel zoals het nu gaat, want bij fysieke dreiging heb ik ... Maar dat ligt aan mijn leeftijd, denk ik: vanavond ga ik dood. Geen enkel probleem. Ik heb een heerlijk leven gehad en dan gaan we maar dood als er een bom valt bij wijze van spreken. Cyberdreigingen is wat anders omdat je dan dagenlang zonder water, zonder verwarming, zonder eten kan zitten. En dan sterf je dus een hele langzame nare dood.

Edda: Even kijken zonder water, zonder verwarming, zonder eten. Zijn dat echt de dingen waar je rekening mee moet houden? Er is een collega aangeschoven.

Matthijs: Ja, goedemiddag, ik ben Matthijs.

Edda: Het blijft een beetje gek voelen om in deze officiële setting met serieuze mensen in uniform ze bij de voornaam te noemen. Maar ik vraag me af met wat voor soort dingen heeft Nederland nu al te maken? Dat blijkt echt heel uiteenlopend.

Matthijs: Denk maar aan een aantal jaar geleden, had Albert Heijn opeens geen kaas meer. Dat was niet omdat er geen kaas meer te koop was, maar de leverancier die de logistiek verzorgde om de kaas te bezorgen bij Albert Heijn. Die was gehackt.

Edda: Tja, een keer geen kaas op mijn brood. Maar Matthijs trekt het verder.

Matthijs: Nou, als je dan bedenkt het internet doet het niet meer, wat gaat dat dan voor enorme impact hebben?

Persoon 2: Cyberaanvallen kunnen tegenwoordig veel meer aanrichten, zeggen mensen. Fysiek en gegevens en zo. Ik denk dat zeg maar cyberaanvallen wel steeds erger wordt, zeg maar. Dat is ziek.

Persoon 3: Ik denkt dat cyber misschien ook erger is, zeg maar voor de persoon zelf. Echt persoonlijke aanval inderdaad van met persoonlijke gegevens en zo. En dat fysiek dan meer voor de hele wereld meer impact heeft.

Persoon 4: Angst omdat ik voel dat dat een bedreiging is en voel dat het een reële bedreiging is.

Persoon 5: Ja, het is ook geen vrolijke boodschap.

Persoon 1: Online kan je natuurlijk invloed uitoefenen op mensen en je kan het leven zuur maken. Kan de knop uitzetten van mijn internet als ik niet wil ontvangen, maar als de Russen op de stoep staan, ja, kan ik de deur dichthouden, maar ze komen toch binnen. Ik heb bijvoorbeeld een nieuw dekbed gekocht en een hele zware die ik had, die nog vrij goed was, dacht ik nou van: die kan wel weg. Toen dacht ik van nou: stel je nou voor dat alles uitvalt, dan wordt het wel lekker warm onder dat dekbed. Dus hij zit toch in de kelder in een tas. Maar ik heb wel een radiootje in huis en twee flessen water. Het enige wat ik nog ga halen zijn waterzuiveringspulletjes. Dat neemt geen ruimte in en voor de rest niet. Maar ik denk: ja, als zelfs Rutte het zegt ...

Edda: Ja, wat zei Mark Rutte laatst in zijn speech over het voorbereiden op een oorlog?

Mark Rutte: Hostile actions against allied countries are real and accelerating. Malicious cyber-attacks on both sides of the Atlantic. Jamming to disrupt civil aviation in the Baltic region.

Edda: Malicious Cyber-Attacks. Toenemende cyberaanvallen. Maar wie valt ons aan? Is het Rusland, China, of iets anders?

Mark Rutte: But also North Korea and Iran are hard at work to try to weaken North America and Europe. To chip away at our freedom. They’re testing us and the rest of the world is watching. No, we’re not at war. But we’re certainly not at peace either.

Edda: Geen oorlog, maar ook geen vrede. Er wordt aan onze vrijheid geknaagd. Maar hoe dan? Wat is er aan de hand? Ik vraag me af wat is cyberoorlog nou eigenlijk?

Marcel: Cyberwar kun je definiëren als een staat die het internet gebruikt om zijn doelen te bereiken, agressieve doelen. En het interessante aan cyberwar of het cyberdomein gebruiken voor een statelijke actor is dat hij kan proberen om net niet irritant genoeg te zijn, waardoor het net geen echte oorlog wordt. En dan blijf je dus onder de drempel van een gewapend conflict. En dat is voor sommige statelijke actoren echt heel erg interessant. En dat is iets wat we eigenlijk elke dag meemaken.

Edda: Zoveel?

Marcel: Ja.

Edda: Elke dag aanvallen. Kleine geniepige prikjes.

Marcel: Rusland, die zijn daar heel erg behendig in. Dus in aanvallen uitvoeren die onder de drempel van een gewapend conflict zijn. Een paar jaar geleden ook in het nieuws, waren twee Russische spionnen die in Nederland proberen in te breken via wifi op de netwerken van OPCW.

Edda: OPCW. Ze zitten in Den Haag. Het is de organisatie voor het verbod op chemische wapens en dat is een interessante partij om digitaal bij in te breken.

Marcel: Dus dat is heel brutaal en heel agressief, maar allemaal net niet genoeg om ons echt in oorlog te brengen.

Edda: Ineens vraag ik me af. Marcel zit bij het DCC, het cyberwapen van Nederland. Niet ter verdediging maar echt voor de aanval. Maar als je, stel je start een oorlog, nog moet beginnen met je cyberaanvallen uitzetten, dan ben je te laat. Doen zij, of ik moet zeggen, doen wij als Nederland dat ook geniepige aanvallen? Zijn wij dat ook aan het doen bij Rusland?

Edda: Zijn wij ook zo een beetje irritant.

Marcel: We kunnen daar niet zo veel over vertellen.

Edda: Hoe kom ik meer te weten over cyberwar? Defensie wil me wel te woord staan, maar kan niet overal op antwoorden. Gelukkig is daar:

Paul: Paul Ducheine.

Edda: Waar ik mee afspreek in een kantoortje op de Universiteit van Amsterdam.

Paul: Ik ben tot 1 november bijzonder hoogleraar recht van militaire cyberoperaties geweest en verder ben ik brigadegeneraal bij de landmacht en hoogleraar cyberwarfare voor de Defensie Academie.

Edda: Drukke tijden nu lijkt me.

Paul: Ja, en voor Defensie en voor buitenlandse politiek ja.

Edda: Maar niet specifiek voor het cyberdomein?

Paul: Jawel, want het digitale domein volgt eigenlijk gewoon de andere bewegingen, maakt daar deel van uit. Dus als er onrust in de wereld is, dan is dat niet alleen fysiek, maar dan is dat ook fysiek, militair, economisch, maar ook digitaal.

Edda: Wat is volgens Ducheine de definitie van cyberoorlog?

Paul: Voor krijgswetenschappers zoals ik is oorlogvoering een confrontatie tussen gewapende groepen. En de digitale oorlogsvoering is dus de digitale kant daarvan. In het lossere gebruik heb je het over psychologische oorlogsvoering, economische oorlogvoering, politieke oorlogsvoering. En dan hoeft er niet per se oorlog te zijn, maar is er wel een soort van conflictsituatie.

Edda: Dus volgens die striktere benadering zijn wij nu niet verwikkeld in een cyberoorlog?

Paul: Ja, dat klopt, daar zijn we niet in verwikkeld.

Edda: En volgens de lossere benadering?

Paul: Is er in ieder geval een confrontatie gaande. Ook in de digitale ruimte, overigens ook in de fysieke ruimte, in de economische sfeer.

Edda: Ja, ik denk bij cyberwar aan iets dat puur online gebeurt, maar het is dus eigenlijk iets dat altijd samenhangt met dingen in de echte wereld. En in die echte wereld zijn wij niet in oorlog. Dat zegt Marcel ook.

Marcel: Of we in oorlog zijn, dat gaat wat ver, denk ik. Dat zijn wij op dit moment niet. Oekraïne is dat. En er zijn natuurlijk ook landen waar het absoluut geen oorlog is en die volledig in vrede zijn. Ik denk Nederland zit daar tussenin. Maar als we kijken naar hoe we dat rechtsstatelijk zien, dan zijn we dus niet in oorlog. Maar goed, we worden wel constant aangevallen. En niet alleen wij als defensieorganisatie, maar bedrijven ook. En individuen worden ook constant aangevallen.

Edda: Maar ik snap niet zo goed als je zegt we worden aangevallen, dan zou je denken: dan heb je oorlog toch?

Marcel: Ja, zo werkt dat dus toch niet helemaal.

Edda: Nee, dat is het zeker niet. Cyber is anders dan.

Marcel: Cyber is anders dan in de andere domeinen. Ja, als je in het landdomein aangevallen wordt, dan wordt er geschoten en dan vallen er doden. Zo is dat in het cyberdomein niet, of in ieder geval veel minder.

Edda: Oké, geen oorlog, maar er is wel iets aan de hand in de wereld.

Paul: Ik denk dat er een verschuiving gaande is van een hele bekende en stabiele situatie tussen grootmachten en die nu in eigenlijk een heel snel tempo door verschillende gebeurtenissen onder druk staat, waardoor die machtsverhoudingen veranderen en dat veroorzaakt in feite een schok in de internationale relaties. En daardoor beweegt een heleboel. Ja, dat klinkt heel abstract, maar daardoor zie je dat dat ontstaat als Rusland z'n kansen grijpt. Daardoor zie je dat in het Midden-Oosten opeens heel veel verandering in korte tijd gaat. Syrië, Israël, Gaza en tegelijkertijd zie je dat de Verenigde Staten zich op een bepaalde manier manifesteert die aan die veranderingen en aan die druk en spanning en frictie een extra impuls geeft. Omdat de Verenigde Staten voor West-Europa, de Trans-Atlantische band hebben we het dan over, zo’n zeventig jaar lang een hele stabiele en betrouwbare bondgenoot is geweest, waar heel veel op geleund en gesteund werd en die ook heel veel droeg en bijdroeg. En dat ziet er nu naar alle waarschijnlijkheid gewoon heel erg anders uit. En Europa staat meer op zichzelf, staat losser van de Verenigde Staten. Andere delen van de NAVO staan ook losser van de Verenigde Staten potentieel. En de verhouding tussen Rusland en Verenigde Staten, die vroeger bipolair was, tegenover elkaar was. Die lijkt nu ook niet meer zo vanzelfsprekend als tegenstellingen te gelden. En er zit een staat als Oekraïne zit daar gesandwhicht tussenin. En China op de achterhand die kijkt toe en die, die gebruikt, denk ik de speelruimte die ontstaan doordat de Verenigde Staten zich terugtrekt en in dat vacuüm stapt China en probeert zijn eigen belangen te behartigen.

Edda: Wat zou je als het begin kunnen nemen voor deze omwentelingen?

Paul: Na februari 2022 is denk ik een begin.

Edda: De inval van Rusland in Oekraïne.

Paul: Dan volgt daar de aanslag van Hamas in Gaza op. Of Israël Gaza, nog bij de omwenteling in Syrië, de verkiezing van Trump en de koerswijziging van de Verenigde Staten. Ja, dat gebeurt nu allemaal.

Edda: Ik zie nu een groot bord Risk voor me. Probeer de ontwikkelingen die Ducheine noemt te plaatsen op de kaart. De hele wereld is betrokken. Ducheine noemt de inval van Rusland drie jaar geleden als een startpunt van deze veranderingen. Aan de universiteit deed hij de afgelopen jaren onderzoek naar de oorlog in Oekraïne.

Paul: De eerste twee jaar van de oorlog in Oekraïne hebben we nauwgezet gevolgd op de digitale oorlog. Wat gebeurt er nu?

Edda: Maar hoe doe je onderzoek als alles zo geheim is?

Paul: We doen het gewoon met openbare informatie. Dat is volledig openbaar. We gebruiken ook alleen maar openbare bronnen, dus we publiceren ook gewoon op alle normale onderzoeksites. Ik en mijn collega's gebruiken geen geclassificeerde informatie, dus het kan zijn dat we af en toe helemaal naast zitten te theoretiseren en dat de werkelijkheid er bij inlichtingendiensten misschien heel anders uitziet. Aan de andere kant, ik denk dat we voor 90% echt wel on target zitten. En een aantal dingen, ja, die weten we niet.

Edda: Tijd om eens te gaan kijken bij de inlichtingendiensten, bij de MIVD in dit geval.

Jelle: Ik ben Jelle en ik werk bij de Militaire Inlichtingen en Veiligheidsdienst.

Edda: Ook daar weer door poortjes, lange gangen, portretten aan de muur van het koningshuis.

Jelle: Ja, maar dan zie je ook wel: het is heel spannend werk, soms ook in een heel saai kantoorgebouw.

Edda: Ja, inderdaad, want ik kwam hier binnen. Nou jawel, dat spannende van poortjes en paspoorten en iemand keek heel diep in mijn ogen of ik wel echt die persoon was die je claimt te zijn. Maar verder gewoon systeemplafond ...

Jelle: En tl-balken. Ja zeker, maar we zitten op een kazerne, de Frederikkazerne in Den Haag, en dat is het hoofdkwartier waar de Militaire Inlichtingen en Veiligheidsdienst zit, en ook delen van de Algemene Inlichtingen- en Veiligheidsdienst. Wat we hier doen is het werk van inlichtingendiensten om de nationale veiligheid van Nederland en onze bondgenoten te beschermen. We verzamelen inlichtingen en zorgen dat afnemers, dus ministers, politici, bepaalde organisaties, daar iets mee kunnen om Nederland veilig te houden.

Edda: Ben jij dan een spion?

Jelle: Nee, dat is heel interessant. Hier kom je echt op: wat is dan een spion? In de media en in films zou je dit spionnenwerk noemen. Wij gebruiken daar andere termen voor. Dus wat in een film vaak als spion wordt gezien, zoals James Bond, dat heet bij ons een case officer of een acquisiteur. Die stuurt dan bepaalde mensen in het buitenland aan.

Edda: James Bond, case officer. Tja, dat klinkt...

Jelle: Toch minder cool dan in de films, ja.

Edda: En wat is jouw rol?

Jelle: Ik ben bezig met cybersecurity binnen de dienst. We doen onderzoek naar digitale dreigingen. Heel vaak gaat het over best ingrijpende dingen, dit gaat vaak over leven en dood. Het gaat over schade. Dat is ook het werken bij een inlichtingendienst. Het is geen makkelijk werk om met deze onderwerpen te dealen. We zijn met z'n allen bezig om Nederland veilig te maken.

Edda: Oké, maar hoe dan?

Jelle: Wij doen met name onderzoek naar APT’s, dus de grootste dreiging op cybersecurity.

Edda: APT’s, even googelen. Advanced Persistent Threats, een langdurige en doelgerichte cyberaanval waarbij een onbevoegd persoon onopgemerkt en langdurig toegang krijgt tot een netwerk.

Jelle: Ze zijn advanced, dus ze kunnen gebruikmaken van de meest technische kennis in de maatschappij. Dus de beste studenten die hier komen werken. Ze zijn ook nog eens persistent, dus ze kunnen het heel lang volhouden. Zoals: de eerste keer inloggen op jouw mailbox lukt niet, maar een overheid heeft tijd. Daar zitten gewoon ambtenaren die veertig uur per week betaald krijgen. Dus als het nu niet lukt, dan misschien over een jaar wel met nieuwe technologie. En dat laatste stukje threats, dat is gewoon een dreiging.

Edda: Oké, hoe gaan ze te werk?

Jelle: Dit is natuurlijk een heel gevoelige vraag bij inlichtingendiensten. We kunnen er wel wat over vertellen, maar onze modus operandi proberen we natuurlijk zo geheim mogelijk te houden.

Edda: Jelle legt uit dat het te vergelijken is met een onderzoek dat je tijdens je studie zou uitvoeren. Je hebt een onderzoeksvraag en gaat dat met het inlichtingenteam uitpluizen.

Jelle: In dat inlichtingenteam zitten analisten, bewerkers, informatieverwerkers die bedenken de operatieplannen. Dus stel je voor dat jij een target zou zijn van een dienst...

Edda: Kijk, nu wordt het interessant. Even inleven in mijn karakter: ik ben zogenaamd van plan Nederlandse bedrijven te saboteren en word daarvoor betaald door een buitenlandse partij.

Jelle: Dan willen mijn collega’s en ik jouw mailbox in. Eerst moeten we toestemming krijgen van de minister en een toezichthouder, plus heel veel papierwerk en stempels. Maar stel dat we dat hebben, dan gaan onze technische mensen, onze hackers, aan de slag met het in kaart brengen van jouw mailbox.

Edda: Hoe komen ze binnen? Eerst kijken of mijn wachtwoord al ergens bekend is?

Jelle: Wat is er al openbaar beschikbaar? Want als je wachtwoord al een keer gelekt is, bijvoorbeeld omdat je geen passwordmanager gebruikt en overal hetzelfde wachtwoord hebt, en het wachtwoord is ook nog eens ...

Edda: Eén, twee, drie, vier.

Jelle: Eén, twee, drie, vier. Of je kat, of de naam van iemand waar je mee online geassocieerd wordt, dan is dat vrij makkelijk. Maar tegenwoordig zie je gelukkig dat mensen bewuster zijn geworden. Dus als een wachtwoord gelekt is, gebruik je een ander. Dan wordt het lastiger. Maar wij hebben niet alleen hackers. We hebben ook de James Bonds, de case officers en de agenten. Die kunnen we ook proberen naast je in de bus te krijgen, of in het openbaar vervoer.

Jelle: En als je dan je zonnebril op hebt en je gezichtsherkenning werkt niet, en je typt die code in, als iemand dan met je meekijkt, is dat veel makkelijker dan hacken. Dus dat is gewoon iemand naast jou in de tram of metro zetten. En zo kunnen we ook binnendringen in je mailbox of je telefoon. Dus zo en zo. En dat dat is dat. Ik noem het af en toe wel altijd de slimme plannetjes bedenken, maar dat doet een inlichtingenteam. Gewoon nadenken over van: hoe kom ik nou bij mijn doel? Hoe kan ik nou mijn onderzoeksvraag die ik heb beantwoorden?

Edda: Oké, ik zit straks onderweg naar huis heel anders in het OV. Het blijft lastig te doorgronden wat Jelle nou precies doet de hele dag. Veel overleggen met mensen, veel achter de computer. Maar ja, de MIVD is gewoon heel gesloten. Er zijn een paar artikelen verschenen over dingen die ze hebben achterhaald. Bijvoorbeeld operatie ‘kleerhanger’.

Jelle: FortiGate is een bepaalde fabrikant van routers en het zijn routers die je vaak in een klein bedrijf of in midden en kleinbedrijf gebruikt.

Edda: En dus ook bij defensie en in die FortiGate-routers zat een klein lek.

Jelle: En dit is dus zo'n voorbeeld dat er in een van die producten een achterdeur, een kwetsbaarheid zat waar die tegenstander op relatief grote schaal gebruik van kan maken.

Edda: Wie waren dat dan?

Jelle: Een Chinese actor. Dan moet je gewoon denken aan de Chinese inlichtingendiensten die in Nederland cyberoperaties draaien om data te verzamelen over onze kritieke sectoren.

Edda: De MIVD ontdekte de malware, de kwaadaardige software en gaven hem codenaam kleerhanger.

Jelle: Code Hanger is zo'n naam die we dan gebruiken om te refereren aan een bepaalde malwareset.

Edda: In de malware stond de zin: “She took his coat and hang it up.” Ze nam zijn jas aan en hing hem op. Super vaag, maar het was in elk geval de reden dat ze voor kleerhanger kozen.

Jelle: Dus dat zou ook het werken bij een dienst, heel veel doe je met codenamen zodat we, als we ergens over praten, dat niet iedereen gelijk weet: het ging over Chinese malware of dit ging over bepaalde targets en zo. Dus je wordt op een gegeven moment echt wakker als je werkt bij de inlichtingendienst is dat je denkt van: deze zin is volledig onverstaanbaar voor buitenstaanders zeg maar. Dus dat je het ook echt hebt over van: oké, we gaan een rode deur inzet doen op wit kantoorpand en we zetten daar de twee-schilderijencapabilities op in en dat begrijp je dan zeg maar. En dan zet je dat... Zo’n moment dat je denkt: oké, ik ben nu wel echt ingewerkt.

Edda: Oké, even oefenen. De groene appel is van de koelkast gerold of het loopfietsje maakt een zwakke bocht naar links. Ja, ik denk dat ik heel goed ben in codetaal verzinnen, dus volgens mij ben ik best geschikt om hier aan de slag te gaan. Maar hoe kom je bij de MIVD?

Jelle: Vroeger hadden we meer het systeem dat de mensen zeg maar, ook weer een beetje uit de film, dat je een tikje op je schouder kreeg van: hé, zou je niet willen werken bij de dienst?

Edda: Ja, dat is precies waar ik op wacht.

Jelle: Of dat er hele algemene vacatureteksten in de in de krant stonden van signaalinterceptie dan bij het ministerie van Binnenlandse Zaken of bij ministerie van Defensie. Tegenwoordig doen we gewoon open en bloot op de website: werken bij Defensie en MIVD volgens mij. Of iets, moet je maar googelen. Of DuckDuckGo. Dus er staan vacatures bewerkers, analisten, hackers. Dat kan allemaal in begrijpbare taal online. Dus het is gewoon solliciteren.

Edda: Maar ik ga even kijken en...

Jelle: Journalisten zijn dus heel geschikt voor inlichtingenwerk. Het is bijna hetzelfde.

Edda: Oké, we zijn een beetje aan het dollen, maar ik ga toch echt even kijken.

Persoon 6: Dit is voor de mensen achter de schermen die systemen doorgronden, code maken of kraken. Die verzamelen, analyseren en verspreiden.

Edda: Een spannend filmpje over werken bij de afdeling Cyber van Defensie.

Persoon 6: Jouw Intel. Letterlijk van levensbelang. Jij bent de backup. Dit is ICT teruggebracht tot de kern. Technologie voor informatie en communicatie. Want zonder onze data is er geen defensie.

Edda: Tja, ik weet toch niet of ik wel helemaal de doelgroep ben. Maar ik zie het inderdaad ook op vacatures. Even kijken. Medewerker Informatiemanagement. Ja, dat klinkt als een heel saaie functie, maar dat is natuurlijk expres. Dit is vast zo'n spionnenvacature waar Jelle het over had. Even de tekst lezen. Ja, volgens mij voldoe ik aan de voorwaarden. O wacht.

Persoon 7: We vragen je om niet met anderen te spreken over je sollicitatie bij de MIVD. Het kan je sollicitatie en eventuele loopbaan bij de MIVD schaden en je veiligheid in gevaar brengen.

Edda: Oké, nou, misschien niet de beste zet om een podcast te maken over dit onderwerp dan. En wacht. We dwalen af. Deze aflevering gaat natuurlijk niet over het vinden van een nieuwe baan. Ik vroeg me af: zijn we in een cyberwar beland? En nu zit ik vacatures bij de militaire veiligheidsdienst te checken. Maar ik heb wel het gevoel dat ik iets wil doen en dat blijkt te kunnen. Even terug naar het DCC, Defensie Cyber Commando, waar Marcel me uit probeert te leggen wat ze doen zonder te veel te vertellen. Je zegt we zijn nu niet in oorlog. Ik neem aan je wil wel trainen. Hoe oefen je dan?

Marcel: Ja, nou de landmacht oefent dat op het land, op oefenterreinen en de luchtmacht oefent dat in de lucht. En wij hebben bijvoorbeeld een systeem dat heet de cyber brains, waar we het internet nabouwen en waar we een aantal keer per jaar oefenen op onze taak. En dan zetten we daar een hele hoop computers neer, bouwen een netwerk op en dan gaan we oefenen. Daar zetten we een rood team en een blauw team tegenover elkaar. Het blauwe team moet verdedigen. Oefenen die dat ook. En dat rode team moet aanvallen en inbreken op het netwerk. Kijken wat er is, kijken waar ze kunnen verstoren en dat dan ook proberen op het juiste moment uit te voeren.

Edda: Het gaat dus puur om oefeningen.

Marcel: Stel je voor dat je een autofabriek zou willen aanvallen, wat we dus niet doen. Maar stel: dan kun je je richten op de machines die de auto's maken. Je kunt ze gaan richten op de bedrijven die de auto onderdelen aanleveren. Je kunt je richten op het interne mailsysteem van dat bedrijf, zodat je ervoor zorgt dat de orders niet binnenkomen. Zo ga je zo’n doel helemaal uit elkaar pluizen en ga je kijken: waar gaan we ons precies op richten?

Edda: Marcel had ik al geïntroduceerd, maar Matthijs nog helemaal niet. Hij is...

Matthijs: Commandant van de cyberreservisten en zelf ook cyberreservist.

Edda: Cyberreservist. Kijk eens aan, heel even: wat is een reservist ook alweer?

Matthijs: Een reservist is iemand die naast zijn of haar civiele baan er een parttime baan bij heeft, bij Defensie. En dat doe je in uniform.

Edda: En dat doe je in uniform. Ik zie het. En wat doe je dan in het dagelijks leven?

Matthijs: In het dagelijks leven ben ik werkzaam bij een cybersecurity bedrijf.

Edda: En weten je collega's dat je dit op de site doet?

Matthijs: Ja, mijn collega's weten dit wel. Ik treed als commandant ook iets meer naar buiten toe, maar ik heb het bijvoorbeeld niet op mijn social media staan.

Edda: En wat is dan eigenlijk het verschil tussen z'n werk in de cybersecurity en bij Defensie?

Matthijs: Als je voor een bedrijf werkt, dan mag je alles doen, tenzij de wet zegt dit mag niet. Als je voor Defensie werkt, mag je alleen doen waarvan de wet zegt dit mag jij doen, maar buiten mag je niks doen. Dat is. Dat is een andere manier van nadenken. Ik denk dat als cyberreservist heb je het beste van beide werelden, want we mogen hier dingen doen die je in bedrijfsleven absoluut niet mag doen.

Edda: Vertel!

Matthijs: Nou ja, sommige van de handelingen die je die je verricht, nou die die die vallen wat wij noemen onder geweld handelingen en daarvoor moet je een uniform dragen. Dat dat mag je als bedrijf niet doen want dan ben je strafbaar of dat mag je als burger ook niet zomaar doen. Maar hier mogen we dat dan weer wel doen.

Edda: Maar wat die geweldshandelingen dan precies zijn, dat mag hij niet vertellen. Maar het klinkt wel heel spannend. In elk geval spannender dan wat ik me voorstel bij het bedrijfsleven. Hoe is hij hier terecht gekomen?

Matthijs: Ik ben al heel lang werkzaam in het cyberdomein en op een gegeven moment dacht ik: ik wil eigenlijk ook wel iets terug doen om om Nederland veiliger te houden, iets terugdoen voor de samenleving.

Edda: Ik wil dat ook wel, maar ik ben bang voor wapens. Dus op zich zou in het cyberverdedigingsteam zitten wel een interessante optie zijn. Cybersoldaat. Maar wat zou ik dan moeten kunnen?

Matthijs: Pen-testen, penetratietesten dus kan ik ergens binnendringen? Of redteamopdrachten. Maar je kunt ook zeggen: heb ik juist ervaring om het te verdedigen dat ik min of meer een monitoring kans zit of ervaring? Wat moet ik doen als ik gehackt ben of cyber threat intelligence? En wat doet nou mijn tegenstander? Hoe werken die nou? Hoe kan ik dat nou herkennen? Maar we hebben ook wel mensen die bijvoorbeeld dingen kunnen bouwen voor ons, hardware of software die wij weer gebruiken in onze cyberwerkzaamheden.

Edda: Oké, ik val af. Matthijs legt uit dat mensen met de meest uiteenlopende achtergronden als cyberreservisten werken. Natuurlijk mensen uit de cybersecurity, maar ook van grote banken, ministeries, techbedrijven, vervoersbedrijven...

Matthijs: En dat is ook wel fijn voor Defensie, want wij brengen ook veel ervaring mee uit onze civiele baan. Soms op hele specialistische gebieden. Denk bijvoorbeeld aan mensen die bij een telco werken en die alles weten over 6G.

Edda: Heel interessant om te zien dat het bedrijfsleven of in elk geval mensen uit het bedrijfsleven blijkbaar zo geïntrigeerd zijn in Defensie. Dat vindt ook Paul Ducheine.

Paul: Wat ons opviel in dat onderzoek was, als je als krijgsmacht zo afhankelijk bent van die bedrijven, denk aan Starlink, Microsoft, Apple, cloudservices, de IT-securitybedrijven, wat zegt dat dan over jouw vermogen? Want het maakt je effectiever aan de ene kant, maar het maakt je ook super kwetsbaar aan de andere kant. En ja, aan wie zijn die bedrijven loyaal? Aan de aandeelhouders of aan de contractpartij?

Edda: En dan? Dan vraag je zo'n bedrijf zo: hé Microsoft, aan wie zijn jullie eigenlijk loyaal?

Paul: Je ziet nu in deze verandering in de wereldorde, zie je dat mensen bewust worden van: ik gebruik WhatsApp, maar waarom eigenlijk geen Signal? Is Signal dan wel zo veel veiliger?

Edda: Even tussendoor: dit gesprek is opgenomen vóór de openbaar gemaakte berichtjes waarin de Amerikaanse legertop aan het brallen is over hun aanval in Jemen.

Paul: Waarom heb ik een e-mailservice in de Verenigde Staten? Waarom heb ik niet Proton in Europa? Hebben we eigenlijk een Europese cloud? Hebben we Europese satellietcommunicatiesystemen? Dit zijn spiegels die je jezelf voorhoudt. Die spiegel komt omhoog en dan: o shit, ik moet hier iets mee. Dat vergt dan weliswaar een lange adem, maar ja, als je nu niet begint, dan begin je natuurlijk altijd te laat. Dus de kwetsbaarheden die je nu wil voorkomen, daar moet je dus nu mee aan de slag.

Edda: De grote rol van het bedrijfsleven is dus iets wat Ducheine opviel in z'n onderzoek. Maar er is meer.

Paul: En ook een aantal observaties gedaan die we nu eigenlijk niet verwacht hadden. We hadden niet verwacht dat er heel veel mensen van over de hele wereld mee zouden gaan vechten op een digitale manier.

Edda: Wacht even. Dus er zijn mensen nu gewoon over de wereld, een soort vrijwilligers die zagen: daar gebeurt wat in Oekraïne en wij gaan digitaal helpen?

Paul: Ja, die zijn uitgenodigd door een account, onder andere op Twitter, maar ook op andere sociale media. Het IT Army of Ukraine. En die hebben allerlei doelen bestookt, hebben kwetsbaarheden aangedragen van sites in Rusland, over en weer, want aan de Russische kant gebeurt dit ook. Maar de Oekraïense hackers van over de wereld die meegedaan hebben, daar zijn er nu een aantal die een waardering hebben ontvangen vanuit Oekraïne voor hun bijdragen. Net zoals fysieke strijd gewaardeerd wordt met herinneringsmedailles en zo. Dus die vrijwilligers, die hadden we niet verwacht, althans niet in die mate.

Edda: Geweldig! Mijn vertrouwen in de mensheid neemt weer wat toe.

Persoon 8: Je weet niet waar het eindigt en volgens mij weet niemand dat. Maar ik vind het ook griezelig dat je via internet aangevallen wordt. Ze kunnen tegenwoordig met één, nou ja, één druk op de knop zal het niet zijn, maar kunnen ze alles platleggen qua elektriciteit, verwarming, noem maar op. Ze kunnen de halve wereld of de hele wereld platleggen. Via internet.

Persoon 9: Dan ben je een deel van je kringen kwijt. En dat geldt denk ik voor de halve mensheid. Dus er is wel een grote afhankelijkheid, zeker voor de samenleving tegenwoordig, ja.

Persoon 8: En dat vind ik geen fijn idee. Nou ja, het geeft je wel een zicht op waar we nu staan en hoe ontzettend afhankelijk we inderdaad van het internet nu zijn. En wat nou als er niks meer is? En als we het gewoon weer zelf moeten doen of zo?

Edda: Ja, we zijn inderdaad afhankelijk van internet. Ik zelf kan niet zonder. Nederland is één van de meest gedigitaliseerde landen. Er is bijna geen apparaat meer te vinden dat niet in verbinding staat met het internet. Zijn we misschien beter af als we gewoon alles wat minder digitaal maken? Is dat een oplossing?

Paul: Dat kan niet meer denk ik. Dat gaat gewoon niet meer. Dat is te duur. We hebben de infrastructuur niet meer. Het werkt traag, het werkt te langzaam. Het is niet meer het serviceniveau wat je dan wenst te hebben in de maatschappij waarin we leven. Dus je wordt of ongelukkig, of je wordt eruit geconcurreerd want je bent te langzaam geworden. Dus dat gaat denk ik niet. Ik denk dat dit is gewoon hoe we nu leven. Net zoals de zeespiegel een bepaalde hoogte heeft, dat is wat het is. En natuurlijk die stijgt, dus dat zien we wel. Dus daar moeten we iets mee. Dus we moeten ook met die kwetsbaarheden van die digitale ruimte iets. Maar zeggen: ik stap eruit, dat gaat niet meer, denk ik.

Edda: Terug naar een tijd voor internet. Dat gaat niet meer, zegt Paul Ducheine. En eerlijk gezegd zou ik dat zelf ook lastig vinden. Tegelijkertijd wordt er wel degelijk gewerkt aan meer analoge alternatieven.

Paul: Kijk, wij in Nederland waren helemaal gedigitaliseerd qua communicatie en wij zijn nu oude systemen opnieuw aan het inkopen met draden en telefoons die gewoon met batterijen werken.

Edda: Wow, apparaten met snoeren, niet draadloos. Is dat ook iets dat ik thuis moet doen? Ik spreek hier kort over met Marleen Stikker. Je hoort haar verder in de volgende aflevering.

Marleen: Low tech is echt soms gewoon de oplossing. In heel extreme situaties, bijvoorbeeld als datanet uitvalt en wifi-knooppunten uitvallen, wat heb je dan in handen? Nou, we hebben dan nog steeds radiogolven of de ether als mogelijkheid.

Edda: Stikker werkt met haar collega's bij de Waag aan ...

Marleen: Een internetsurvivalkit. En de kit gaat over dat dat een heel klein apparaatje is gebaseerd op LoRa. Dat is ook radiogolven met een mesh-netwerk, een soort walkietalkie maar die internet gebruikt. Dus je kunt dan zonder satelliet en zonder wifi toch met elkaar communiceren via radiogolven.

Edda: Interessant. Terug naar Paul Ducheine over alle diensten die ik gebruik op het internet.

Paul: Je moet er rekening mee houden dat dat een keer uit kan vallen. En de kunst is niet zozeer je verdedigen tegen het feit dat dat überhaupt kan gebeuren, maar het is je voorbereiden op het feit dat het gebeurt. Je kunt niet tegenhouden dat de stroom een keer uitvalt en dat de trein niet rijdt. Heb je dan een idee hoe je thuiskomt? Nou, zo gaat het eigenlijk in de digitale ruimte ook. Dat noodpakket dat we in de kelder hebben staan of in de gangkast hebben staan en waar nu veel aandacht voor is, ja, dat noodpakket omvat denk ik ook het feit dat je niet bij digitale wachtwoorden kunt komen. Dat je niet bij telefoonnummers kunt komen. Dat je niet bij je digitale betaalkaart kunt komen. En dat kan technisch veroorzaakt worden door een fout in het systeem, of doordat je batterij leeg raakt, of omdat je met je telefoon in het water valt. Maar het kan ook zijn dat iemand dat manipuleert.

Edda: Oké, dus wat kan ik doen? Een lijstje maken met de belangrijkste telefoonnummers. Uitzoeken welke alternatieven er zijn voor al mijn online diensten en misschien de Waag in de gaten houden voor die internet survival kit waar ze aan werken. Toch nog even de vraag aan Ducheine. Bent u daar op voorbereid? Heeft u naast waxinelichtjes in de kast en een radiootje, heeft u een digitaal noodpakket?

Paul: Nee, nog niet. Een aantal dingen wel. Ik heb mijn wachtwoorden en ik wel allemaal een geprint ergens liggen, maar mijn telefoonnummers? Nee, dat denk ik niet. En in die e-mailadressen die ik gebruik, die zitten toch wel in een zekere redundantie in meerdere systemen, dus ik kom daar wel bovenop denk ik. Nee, maar helemaal helemaal geprepareerd heb ik mijzelf ook nog niet. Nee.

Edda: Gelukkig. Als de hoogleraar cyberwarfare zelf ook nog niet helemaal voorbereid is, dan voelt het toch wat minder dringend.

De volgende aflevering gaat het over geheimen, over gluren. En ik vraag me af, hoewel ik na vandaag een beetje vrees voor het antwoord: kun je nog dingen stiekem doen als je overal online bent?