Volledig scherm
Een computergestuurde containerterminal van het havenbedrijf lag in 2017 stil. © ANP

Nederland niet klaar voor digitale ramp

ONDERZOEK WRRNederland is niet klaar voor een cyberaanval of grote storing. Er is amper zicht op alle verweven netwerken, hulptroepen kunnen niet op tijd ingrijpen en backupsystemen ontbreken of rammelen, zoals bij de grote KPN-storing in juni. ‘Een zaak van leven of dood’, stelt de WRR in nieuw onderzoek.

Bij digitale rampen is het nu te vaak improviseren en handelen op de gok, stelt het adviescollege vandaag in een rapport over ‘digitale ontwrichting’. ,,Dat komt deels door naïviteit”, zegt WRR-onderzoeker Erik Schrijvers. ,,Maar het is ook gemakzucht: we zien vooral voordelen van het automatiseren van allerlei processen, het is goedkoper en diensten zijn makkelijk te gebruiken. Backups kosten vaak ook meer.”

Omdat systemen die bijvoorbeeld telefoonverkeer, betalingen, beveiliging en transport regelen volledig geautomatiseerd zijn, onderling verbonden en opereren in een web met allerlei leveranciers en tussenbedrijven is er amper overzicht, stelt de raad. Met alle risico’s van dien. De grote storing bij KPN in juni is een treffend voorbeeld hoe het mis kan gaan, volgens de onderzoekers. Op 24 juni lag een groot deel van het telefoonnet er urenlang uit. Ook 112 was onbereikbaar, maar liefst drie terugvalsystemen lieten het ‘op onverklaarbare wijze’ (aldus de minister) afweten. Tijdens de storing overleden drie mensen, ambulances arriveerden later dan gewenst.
(Artikel gaat verder na de foto)

Volledig scherm
Door de storing bij KPN was ook de meldkamer van 112 in juni niet bereikbaar. ‘Het kan over leven of dood gaan'. © Marco Okhuizen

Schrijvers: ,,Het illustreert die enorme verwevenheid, in dit geval tussen de aanbieder KPN, softwarebedrijven die aan KPN leveren, en het noodnummer. Maar het toont ook aan hoe slecht we voorbereid waren: voor allerlei rampen zullen er teksten klaarliggen voor noodberichten, maar dit scenario was duidelijk niet of te lang geleden geoefend. Zo ging veel tijd verloren.”

Bijkomend probleem: als de digitale ramp uitbreekt, duurt het vaak veel te lang voordat hulptroepen aan de slag kunnen. ,,Als ergens brand is kan de brandweer vaak gewoon naar binnen. Maar digitaal is dat lastiger. Toen de systemen van containerbedrijf Maersk in de Rotterdamse haven lam lagen in juni 2017 kon de veiligheidsregio eerst niks toen ze informatie wilden. Dan ben je afhankelijk van de grillen van de eigenaren.”

Aanbeveling: stroppenpot

De WRR doet een aantal aanbevelingen om het digitale rampenplan op orde te brengen. Zo moet er een grote ‘röntgenfoto’ worden gemaakt van de netwerken en toeleveranciers van systemen in belangrijke sectoren (een zogenoemd cyberafhankelijkheidsbeeld). Ook zal daaruit moeten blijken of er alsnog terugvalopties moeten komen. Ook moet er een schadepot komen voor slachtoffers van hacks en storingen: ,,Verzekeraars willen een cyberaanval vaak niet vergoeden, dan spreken ze van een oorlogshandeling. Maar de impact kan enorm zijn: de NotPetya-hack in juni 2017 leverde 10 miljard dollar schade op. Nederland zou daardoor een speciaal fonds kunnen instellen.”
Als de regering niks doet, kan het veel vaker misgaan zoals in juni: ,,We zijn er niet klaar voor, maar het kan een zaak zijn van leven en dood.”