[In Dutch] Noodzaak tot integrale blik op spionage voor bedrijfsleven en overheid

Bron: WNL 13 december 2020

Kernpunten:

  • Nederland loopt voorop in een aantal strategische sectoren die van interesse zijn voor buitenlandse inlichtingendiensten en is daarmee onderdeel van het spionage strijdtoneel.  
  • Juist in deze COVID-19 crisis zijn de spionagerisico’s nog veel groter door bewuste en onbewuste datalekken door werknemers.
  • Cyber is niet voldoende om maatregelen te treffen tegen spionage. Het Rusland-incident laat zien dat fysieke spionage en de bredere, op de mens gerichte,  maatregelen daartegen fundamenteel zijn voor de aanpak tegen spionage door buitenlandse inlichtingendiensten. 

 

Afgelopen donderdag maakte de minister van Binnenlandse Zaken bekend dat onze Algemene Inlichtingen- en Veiligheidsdienst (AIVD) recentelijk een operatie heeft beëindigd van een inlichtingenofficier en zijn collega in een ondersteunende rol van de Russische civiele inlichtingendienst SVR. Beiden werkten als geaccrediteerde diplomaat op de Russische ambassade in Den Haag. Hun focus lag op spionage op het gebied van technologie en wetenschap. Zij bouwden een “substantieel netwerk” op van bronnen, die allen werkzaam zijn of waren in de Nederlandse hightech-sector.

In jaarverslagen van zowel de AIVD als de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) wordt hier al jaren voor gewaarschuwd. Het is echter niet vaak dat ze over concrete incidenten naar buiten treden. DG-AIVD Erik Akerboom gaf in een interview aan dat het incident te groot werd en naar buiten moest worden gebracht. Naast grote zorgen om cyberdreigingen laat juist dit incident de nog steeds grote zorgen zien op het gebied van de fysieke spionage operaties. Niet alleen Rusland maar ook China en Iran gebruiken nog steeds menselijke bronnen en benaderen werknemers om aan informatie te komen. Het is opvallend dat ondanks dat zogenoemde ‘humint’, human intelligence, gevaren met zich meebrengt, toch ingezet blijft worden op fysieke spionage. Dit moet voor die buitenlandse diensten dus additionele waarde met zich meebrengen. Waarom zou je hacken als je een bibliotheek aan bedrijfsinformatie op een usb-stick kan kopen?

Spionage aandachtsgebieden

Welke sectoren hebben de focus van inlichtingendiensten? Stratfor heeft dit voor China en Rusland op een rijtje gezet op basis van bronnen van de Amerikaanse Kamer van Koophandel, de Russische presidentiële decreten, en het bureau van het ministerie van Wetenschap en Hoger Onderwijs van de Russische Federatie.

Bron: Stratfor 14 april 2020

Nederland is een belangrijke technologische marktleider op gebieden als voedseltechnologie, artificial intelligence (AI), nanotechnologie en satelliettechnologie met kernactiviteiten hierop in zowel universiteiten als bedrijfsleven.

COVID-19 en spionage

De spionagedreiging is juist nu tijdens onze wereldwijde economische en gezondheidscrisis potentieel groter en ernstiger. Bedrijven worstelen om hun voortbestaan en zijn intern gericht om flexibel in te kunnen springen op veranderingen. Ook sectoren die het economisch goed doen tijdens de crisis moeten zich aanpassen aan de nieuwe situatie. Werknemers moeten thuiswerken met alle stress en complexiteit van dien. Uit recent onderzoek is gebleken dat werknemers sinds COVID-19 85% meer onbewuste fouten maken op het werk, hetgeen kan leiden tot een toename van datalekken.  Deze omstandigheden kunnen daarnaast ook aantrekkelijker zijn voor de meer bewuste werknemer die informatie verkoopt. Crisis en bijbehorende stressfactoren kunnen een trigger vormen om juist beslissingen te nemen meer ten gunste van de kortetermijnbehoefte van een werknemer en minder in relatie tot de belangen van de werkgever. In combinatie met een meer assertieve houding van genoemde inlichtingendiensten is dit een gevaarlijke cocktail. 

Er is meer dan cyber: strategische en holistische aanpak van statelijke spionage

De verwachting van Corporate Information Security Officers (CISOs) is dat vanwege de huidige omstandigheden verhoogde aandacht moet komen op zowel het welzijn van werknemers (denk aan een goede inrichting van de werkplek thuis) als het tegengaan van onbedoelde datalekken in het komende jaar. Echter, dit probleem wordt te veel opgepakt als een cybersecurity probleem. Dit zijn zaken die fundamenteel gaan over werknemers – mensen dus – die soms langzaam betrokken raken in actieve spionageactiviteiten. Men moet zich afvragen waarom er hoogopgeleide medewerkers zijn met een goede baan die nog steeds bereid zijn mee te werken met een buitenlandse inlichtingendienst. Die veranderende focus van een blik van buiten (wat voor dreigingen komen er op ons af) naar een blik van binnen (hoe manifesteren die zich in ons eigen systeem van medewerker, cultuur en leiderschap) is nu nog meer van belang.

Bedrijven moeten strategischer kijken naar het spionage probleem, in nauwe samenwerking met de overheid. Dat begint bij het willen onderkennen dat er inlichtingendiensten zijn die alles uit de kast willen trekken om aan informatie te komen. Dat begint met een  risicoanalyse. De Kwetsbaarheidsanalyse spionage (KWAS) van de AIVD is hierbij ten dele een hulpmiddel, maar legt de focus met name op het onderkennen van de dreiging en is daarbij ook behoorlijk verouderd (2010). Cruciaal is het treffen van de juiste maatregelen. De Amerikaanse overheid loopt hierin ver voorop. Zowel in het onderkennen van de dreiging (zie soortgelijke video’s van Operation Ghost Stories in 2011) en de aanpak ervan. Op overheidsniveau is in 2011 door Obama een Executive Order opgesteld gericht op het voorkomen van datalekken 2012 is een Presidentieel Memorandum voor een nationaal ‘insider threat’-beleid en minimumeisen opgesteld waaraan moet worden voldaan, die in de eerste instantie door federale overheidsinstanties en contractors worden toegepast maar nu ook steeds meer in het bedrijfsleven. De high tech sectoren lopen hierin voorop. Dit lijkt vanzelfsprekend gezien de dreiging.

Strategische vragen die het Nederlandse bedrijfsleven zich moet stellen zijn de volgende: 

  • Hoe ga ik om met mijn vestigingen in landen waar de spionage dreiging zeer hoog is? 
  • Hoe kan ik zorg dragen voor mijn medewerkers om niet in de spionage ‘trap’ te vallen? Gelijkend daaraan: op wat voor manier voorkom ik dat mijn mensen gevoelig worden voor verleidingen van buitenlandse inlichtingendiensten.  
  • Hoe kan ik vaststellen wat er aan de hand is wanneer medewerkers wel de mist in gaan? 
  • Hoe moet ik mijn bedrijf zodanig inrichten om eventuele schade te beperken (denk aan toegang tot gevoelige informatie)? Dus als iemand de mist in gaat: hoe zorg ik ervoor dat ze niet met alles de deur uit kunnen lopen?

Ook op overheidsniveau moet met een meer strategische blik worden gekeken naar het beschermen van onze economische en militaire landsbelangen. Naar aanleiding van het Rusland-incident wordt er nu gekeken naar het strafbaar stellen van medewerkers die data lekken naar buitenlandse mogendheden. Dit statement kan goed zijn, maar is repressief van aard. De vraag is of hier echt een preventieve werking vanuit gaat. Een medewerker zet sowieso veel op het spel. Er moet in de breedte gekeken worden naar het geheel aan maatregelen en overheid en bedrijfsleven zou hierin nog meer mogen optrekken. Hulde dat de AIVD het Rusland-incident naar buiten heeft gebracht. Hopelijk schudt dit het bredere bedrijfsleven en ook de overheid meer wakker om bredere maatregelen te treffen.

Related Blogs