In deze aflevering van CyberGrowth by Gruzzy gaan we in gesprek met Jort Kollerie, specialist bij Orange Cyberdefense. Samen duiken we in het omstreden voorstel van de EU: Chat Control.

We bespreken wat dit plan inhoudt, waarom het zo’n grote impact heeft op onze privacy en veiligheid, en welke risico’s er ontstaan als end-to-end encryptie wordt verzwakt. Jort legt uit waarom dit voorstel misschien goed bedoeld is, maar in de praktijk leidt tot massale surveillance en grotere kwetsbaarheid voor iedereen.

Deze aflevering zit vol met scherpe inzichten, eerlijke kritiek en duidelijke argumenten waarom we ons als sector – én als samenleving – moeten uitspreken tegen Chat Control.

Dit kun je doen op de website: fightchatcontrol.eu

Aflevering 13:

Chat Control – Digitale bescherming of massasurveillance?

Een podcast van Jesse Hendriks oprichter Gruzzy Recruitment en gast Jort Kollerie van Orange Cyberdefense. Deze aflevering is te beluisteren via:

De hack op het laboratorium dat bevolkingsonderzoeken naar baarmoederhalskanker verwerkt, blijkt groter dan gedacht. Ook gegevens van huisartsen zijn buitgemaakt, meldt de Landelijke Huisartsen Vereniging. Over de omvang van de gestolen data is nog weinig duidelijk, maar ook ziekenhuizen maken zich zorgen. Jort Kollerie van Orange Cyberdefens noemt het lek 'zeer ernstig', omdat niet alleen persoonsgegevens, maar ook gevoelige medische informatie is gestolen. Tijdens het programma de Ochtendspits van BNR Nieuwsradio werd ik gevraagd om uitleg te geven: Datahack bij laboratorium veel groter dan gedacht.

Luister hieronder naar het fragment:

Het grote aantal grote bedrijven dat te maken heeft met de gevolgen van een datalek bij Salesforce, is het slachtoffer geworden van ‘een klassiek voorbeeld van social engineering’, zegt Jort Kollerie, strategisch adviseur en adjunct-Chief Information Security Officer bij Orange Cyberdefense. ‘Deze criminelen hebben medewerkers van deze bedrijven gemanipuleerd om ze zo te gebruiken.’ Het hackercollectief Shiny Hunters zou hierachter zitten. Tijdens het programma de Ochtendspits van BNR Nieuwsradio werd ik gevraagd om uitleg te geven: Hack bij Salesforce gevolg van social engineering, ‘personeel gemanipuleerd’.

Luister hieronder naar het fragment:

De Australische overheid verplicht sinds eind mei grote organisaties om binnen 72 uur melding te doen van elke betaling als gevolg van cyberafpersing, ook wel cyber extortion genoemd (Cy-X). Een wereldwijde primeur, die volgens Orange Cyberdefense navolging verdient.

“Dit is een noodzakelijke stap richting transparantie en volwassen risicobeheer”, zegt Jort Kollerie, Strategic Advisor bij Orange Cyberdefense. “We kunnen deze criminaliteit alleen structureel tegengaan als we het volledige plaatje kennen.”

Hoewel cyberafpersing via bijvoorbeeld ransomware een van de grootste digitale dreigingen is, blijft het werkelijke aantal slachtoffers grotendeels onbekend. Juist daarom is meer transparantie essentieel. “Cy-X thrives in silence”, zegt Kollerie. “Zolang we doen alsof betalen normaal is, blijven we achter de feiten aanlopen. De meldplicht is geen afrekensysteem, maar een manier om collectieve weerbaarheid op te bouwen.”

Strategisch wapen

Het verplicht melden van betalingen als gevolg van cyberafpersing moet niet worden gezien als bureaucratische overlast, maar als een strategisch wapen in de strijd tegen cybercriminaliteit. Hiermee krijgen overheden en securityorganisaties zicht op de omvang, aard en impact van deze aanvallen. We weten simpelweg niet goed wie wordt getroffen, door wie, en welke sectoren kwetsbaar zijn.

Een meldplicht geeft overheden realtime inzicht in de tactieken van cybercriminelen en geeft de volgende voordelen:

1. Snellere identificatie en ontmanteling van criminele netwerken

Door meldingen te analyseren van bijvoorbeeld betaalbedragen, wallet-adressen en communicatiepatronen kunnen opsporingsdiensten zoals Europol of de Nederlandse politie gericht jagen op specifieke groepen. Zo kon het netwerk van LockBit dankzij internationale samenwerking tijdelijk uit de lucht worden gehaald. Dit verstoorde hun operatie, levert cruciale inlichtingen op en geeft bedrijven wereldwijd ademruimte om hun verdediging te versterken.

2. Waarschuwen van andere bedrijven of sectoren

Zodra duidelijk wordt dat een specifieke aanvalsmethode meerdere organisaties treft, kunnen overheidsinstanties via sectorale CERT’s (zoals Z-CERT voor de zorg) of het Nationaal Cyber Security Centrum (NCSC) gerichte waarschuwingen uitgeven.

3. Witwasbestrijding en blokkeren van betalingen aan gesanctioneerde partijen

Met verplichte meldingen krijgen de Financial Intelligence Unit (FIU) en andere toezichthouders beter zicht op de financiële routes die cybercriminelen gebruiken. Zodra duidelijk is welke wallets of transacties gelinkt zijn aan cybercriminelen of gesanctioneerde landen, kunnen deze adressen op waarschuwingslijsten worden geplaatst. Wordt het losgeld vervolgens omgezet naar reguliere valuta via een gereguleerde crypto-exchange, dan kunnen die tegoeden direct worden bevroren en/of in beslag genomen.

4. Internationale druk en sanctiebeleid vormgeven

Meldingen van betalingen als gevolg van cyberafpersing geven Europese autoriteiten inzicht in de omvang en impact van digitale afpersing. Die gegevens zijn cruciaal om internationale samenwerking af te dwingen. Denk aan gezamenlijke sancties of afspraken over opsporing. Binnen mondiale samenwerkingsverbanden, zoals het door de VS geïnitieerde Counter Ransomware Initiative (CRI), kan de EU met harde cijfers onderbouwen hoeveel schade Europese bedrijven lijden. Zo ontstaat internationale druk op landen die cybercriminelen de hand boven het hoofd houden, en kan er worden opgetreden tegen bijvoorbeeld witwasnetwerken of digitale infrastructuur van cybercriminelen.

Geen administratief monster

Een meldplicht voor betalingen als gevolg van cyberafpersing hoeft volgens Kollerie geen administratief monster te worden als deze goed is ingericht. Het begint met een helder doel: meer inzicht in het dreigingslandschap, niet het bestraffen van slachtoffers. Vervolgens moet het meldproces digitaal en gestandaardiseerd verlopen, bijvoorbeeld via een beveiligd online formulier waarin alleen de noodzakelijke gegevens worden ingevuld: datum, type aanval, betaalmethode, bedrag. Geen lange rapportages dus, maar overzichtelijke signalen.

Om te voorkomen dat dit op het bordje van toch al overbelaste IT-teams belandt, kunnen meldingen worden gedaan via bestaande structuren zoals sectorale CERT’s of meldpunten zoals het NCSC. Deze organisaties kunnen de informatie verzamelen, analyseren en doorzetten.

Zo blijft de meldplicht werkbaar, zelfs voor kleinere organisaties, en draagt het bij aan betere bescherming zonder extra bureaucratie.

“De strijd tegen cyberafpersing vraagt om drempels én dialoog,” stelt Kollerie. “Australië laat zien dat streng beleid en constructieve samenwerking hand in hand kunnen gaan. Ook het Verenigd Koninkrijk zet een stap, door sinds april betalingen voor cyberafpersing door publieke instanties te willen verbieden. Maar alleen verbieden is niet genoeg, het kan slachtoffers isoleren en incidenten juist onder de radar houden. Een meldplicht, zoals in Australië, is werkbaarder én effectiever: het creëert inzicht, versnelt opsporing en versterkt de collectieve weerbaarheid.”

Nederlandse media draaien op grote schaal op Amerikaanse clouddiensten van Microsoft, Google en Amazon, ondanks de risico's die hierbij komen kijken. Dat blijkt uit onderzoek van BNR onder 25 publieke omroepen, nieuwsmedia, onderzoeksplatformen en uitgevers. Dit onderzoek werd uitgevoerd door Lisanne Wichgers. Tijdens het programma de Ochtendspits van BNR Nieuwsradio werd ik gevraagd om uitleg te geven: "Technologie wordt steeds meer met geopolitiek verweven"

Luister hieronder naar het fragment:

Europa loopt een reëel risico op digitale verzwakking als het blijft vertrouwen op buitenlandse cybersecurity-allianties. Daarvoor waarschuwt Charl van der Walt, hoofd van het Security Research Center bij Orange Cyberdefense. “De Europese afhankelijkheid van niet-Europese technologieën en leveranciers maakt ons kwetsbaar op momenten dat het er écht toe doet”, stelt hij.

Europa is op vrijwel elk niveau van de digitale waardeketen afhankelijk van externe spelers. In bijna elke laag van de zogeheten ‘tech stack’ – van chips, cloud en netwerken tot AI en software – domineren bedrijven uit de Verenigde Staten en China. Europese bedrijven hebben op een enkele uitzondering na nauwelijks mondiale slagkracht. Volgens het recente EuroStack-rapport is zelfs meer dan 80% van Europa’s digitale infrastructuur en technologie geïmporteerd.

Dat leidt tot structurele kwetsbaarheden op het gebied van innovatie, economische autonomie en veiligheid. De roep om technologische soevereiniteit is dan ook een noodzakelijke strategie voor geopolitieke weerbaarheid. Van der Walt roept Europese securityprofessionals, CISO’s en beleidsmakers op om bewuster te kiezen voor technologie van eigen bodem en om gezamenlijk te werken aan een onafhankelijke, toekomstbestendige digitale infrastructuur. Collega Jort Kollerie, Strategic Advisor, doet vijf concrete aanbevelingen om die digitale soevereiniteit te versterken.

1. Behoud een gezond investeringsklimaat, maar bescherm strategische technologie

Europa moet scherper toezien op de bescherming van zijn technologische kerncapaciteiten. Veelbelovende Europese cybersecuritybedrijven worden regelmatig overgenomen voordat ze kunnen doorgroeien tot marktleiders. Dat is een risico voor onze digitale autonomie én voor toekomstige economische waardecreatie in eigen regio.

Tegelijkertijd is het definiëren van welk bedrijf precies ‘strategisch’ of ‘kritiek’ is, niet zo eenvoudig. Zeker bij kleinere spelers in een niche. “Een start-up met specialistische technologie kan vandaag onopgemerkt blijven, maar over vijf jaar een cruciale rol spelen in de Europese digitale infrastructuur”, zegt Kollerie. “Juist daarom is vroegtijdige aandacht nodig, niet alleen achteraf.”

In plaats van generieke restricties vindt Orange Cyberdefense daarom een intelligent toezichtkader verstandig: een Europese toetsingsprocedure die ruimte laat voor nationale belangen, maar ook kijkt naar de impact op lange termijn. Zo’n mechanisme kan bijvoorbeeld adviesgericht zijn, of risicogericht focussen op specifieke sectoren, technologieën of afhankelijkheden.

“Het gaat niet om het blokkeren van investeringen, maar om bewust kiezen waar we strategische groei willen vasthouden”, benadrukt Kollerie. “Als we daar geen afwegingskader voor maken, lopen we het risico dat we blijven bouwen aan ecosystemen die elders hun waarde verzilveren.”

2. Geef start-ups een eerlijke kans bij Europese aanbestedingen

Alleen wanneer aanbestedingen toegankelijk en strategisch zijn ingericht, kunnen ze een krachtig middel zijn om innovatie aan te jagen. In de praktijk vallen Europese cybersecuritybedrijven, met name jongere spelers, regelmatig buiten de boot. Dat komt niet per se door een gebrek aan kwaliteit, maar door zware formele eisen op het gebied van omzet, certificeringen en referenties. Zo blijven grote, vaak niet-Europese leveranciers structureel bevoordeeld.

Daarom zijn aanbestedingscriteria belangrijk die ruimte geven aan Europese oplossingen, zonder in te boeten op kwaliteit of schaal. Daarom zou het Europese karakter zwaarder mogen meewegen in aanbestedingen. Denk hierbij aan aspecten als herkomst, datasoevereiniteit en interoperabiliteit binnen EU-kaders.

“We begrijpen heel goed dat overheden zoeken naar consolidatie en minder complexiteit in hun leverancierslandschap”, zegt Kollerie. “Maar dat hoeft niet automatisch te betekenen dat alle innovatie van buiten Europa moet komen.”

3. Help Europese tech opschalen

Als Europa technologisch weerbaar wil worden, moet het beginnen met zelf kiezen voor Europese oplossingen. “We bouwen markten voor anderen”, vindt Kollerie. “Terwijl technologie in de VS wordt ingezet als strategisch machtsmiddel en in China de kern vormt van nationaal beleid, ontbreekt in Europa de structurele zelfversterking. Er wordt wel technologie ontwikkeld, maar die vindt te weinig afzet op eigen bodem.”

Digitale soevereiniteit begint echter bij concrete keuzes: wat kopen we in, waar investeren we in, en welke technologie passen we toe? Elke euro die lokaal wordt uitgegeven, versterkt direct het Europese ecosysteem.

Orange Cyberdefense vindt daarom gerichte investeringen noodzakelijk in infrastructuur, open standaarden en onafhankelijke test- en certificatiefaciliteiten. Juist kleinere spelers hebben toegang nodig tot validatie, vertrouwen en afnamekracht om te kunnen opschalen. “Zonder die schaal verdwijnen innovaties in de marge”, waarschuwt Kollerie. “Daarom is het tijd voor een duidelijk signaal: support your locals, in alles wat je doet.”

4. Maak strategisch investeren aantrekkelijk voor Europees kapitaal

Europese cybersecuritybedrijven hebben groeikapitaal nodig om op te schalen, maar lopen vaak vast in het conservatievere investeringsklimaat op ons continent. “Venture capitalists opereren met verantwoording richting eindbeleggers. Hun focus ligt op rendement, en strategische autonomie weegt daarin meestal niet mee”, zegt Kollerie.

En dat heeft gevolgen. Niet alleen voor de cybersecuritysector, maar breder in de tech-industrie. Kijk naar het recente voorbeeld van ASML, dat overweegt Nederland te verlaten vanwege het gebrek aan een aantrekkelijk vestigingsklimaat en investeringszekerheid. Als zelfs onze grootste technologische kampioenen zich afvragen of Europa nog een logische thuisbasis is, is het tijd voor actie.

In plaats van te pleiten voor meer risicobereidheid, moeten overheden volgens Orange Cyberdefense zorgen voor randvoorwaarden die strategische investeringen wél aantrekkelijk maken: denk aan publiek-private fondsen, fiscale stimulansen of garantstellingen voor deeptech-sectoren. “Zonder zulke instrumenten blijft Europees kapitaal liever aan de zijlijn. Daarmee beperken we onze groei.”

5. Zorg voor Europese coördinatie en governance

Strategische autonomie vereist meer dan investeringen en technologie. Het vereist ook effectieve samenwerking tussen lidstaten. “Zonder goede governance verliezen we niet alleen overzicht, maar vooral snelheid. Juist snelheid is cruciaal bij innovatie”, stelt Kollerie.

Daarom is het belangrijk dat Europese landen beter samenwerken, ook op juridisch en praktisch vlak. Bijvoorbeeld door dezelfde regels af te spreken, gezamenlijke standaarden te gebruiken voor het testen van technologie, en overheidsinvesteringen beter op elkaar af te stemmen. Alleen met die coördinatie kunnen de vier eerdere maatregelen echt resultaat opleveren.

Geen digitale isolatie, wel strategische keuzes

Van der Walt benadrukt dat deze oproep geen pleidooi is voor digitale isolatie: “Cybersecurity overstijgt grenzen. We moeten bruggen slaan, maar dan wel op een fundament dat we zelf beheren en begrijpen.” Hij roept op tot samenwerking tussen overheden, aanbieders en eindgebruikers om Europa digitaal weerbaarder te maken. “Security is the power to choose”, vindt Van der Walt. “Zonder eigen keuzes hebben we geen eigen toekomst.”

Het lijkt een overwinning: de gevreesde Cyber Extortion-groepen (CyX) LockBit en Everest zijn gehackt. Bij LockBit werd een interne database gelekt met gevoelige gegevens, waaronder chatlogs en wachtwoorden. Hoewel dit nieuws op het eerste gezicht opluchting kan geven, waarschuwt Jort Kollerie van Orange Cyberdefense dat dit juist kan leiden tot een versnipperd en daardoor gevaarlijker dreigingslandschap.

De situatie deed bijna denken aan een cybercrimesoap: beide dark web-leksites toonden de spottende boodschap: “Don’t do crime. CRIME IS BAD xoxo from Prague.” Bij LockBit was de klap nog groter: hun interne database werd openbaar gemaakt, inclusief ongeveer 60.000 unieke Bitcoin-adressen, meer dan 4.400 interne chatberichten tussen LockBit en hun slachtoffers, en de inloggegevens van 75 leden.

De ironie van de hacks

Er zit een wrange ironie in deze gebeurtenissen: juist de cybercriminelen die jarenlang organisaties hebben afgeperst, zijn nu zelf slachtoffer geworden van de kwetsbaarheden die ze normaal gesproken uitbuiten. De aanvallers wisten binnen te dringen via een bekende WordPress-kwetsbaarheid; bij LockBit bleken wachtwoorden zelfs onversleuteld opgeslagen. Een zeldzaam geval van criminelen die niet alleen een koekje van eigen deeg krijgen, maar ook pijnlijk laten zien hoe slecht hun eigen basisbeveiliging was.

De hack heeft niet alleen de reputatie van LockBit en Everest een zware klap toegebracht, maar zorgt ook voor onrust binnen hun netwerken. CyX-groepen opereren vaak via een gedecentraliseerd model, waarbij meerdere aangesloten cybercriminelen samenwerken. Nu interne informatie is uitgelekt, komt de onderlinge samenwerking onder druk te staan.

“Als grote spelers zoals LockBit en Everest verzwakken, ontstaat er een nieuwe dynamiek binnen het cybercrimelandschap”, zegt Jort Kollerie, Strategic Advisor bij Orange Cyberdefense. “De bekende term hiervoor is dan ook: one dies, one rises. Waar deze CyX-groepen jarenlang de markt domineerden, zien we nu een wildgroei aan kleinere, chaotisch opererende spelers. Die maken vaak gebruik van gelekte tools, zonder duidelijke structuur of aansturing. Dit leidt tot een onvoorspelbaar dreigingslandschap met uiteenlopende vormen van cyber extortion, van kleinschalige opportunistische aanvallen tot gecoördineerde campagnes. Voor securityteams wordt het daardoor veel moeilijker om aanvallen tijdig te herkennen.”

„Als grote spelers zoals LockBit en Everest verzwakken, ontstaat er een nieuwe dynamiek binnen het cybercrimelandschap.”-Jort Kollerie

Kansen voor veiligheidsdiensten

Toch bieden de lekken ook waardevolle inzichten voor de verdedigende kant. De gelekte chatlogs en documenten geven een unieke inkijk in de interne structuur, communicatie en werkwijze van LockBit. Als er ook informatie in staat over andere betrokkenen, zoals de uitvoerders van de cyberaanvallen, kan dat helpen bij het opsporen van deze personen of netwerken.

“Ik verwacht niet dat de uitgelekte gegevens direct tot arrestaties leiden”, stelt Kollerie. “Criminelen gebruiken vaak proxy’s, VPN’s, cryptovaluta-mixers en andere methoden om hun identiteit te verbergen. Maar elementen zoals Bitcoin-adressen of communicatiepatronen kunnen wel degelijk helpen om betalingen aan specifieke aanvallen te koppelen. Arrestaties zijn niet direct te verwachten, maar ook niet uit te sluiten.”

Kwetsbaarheden aan de andere kant

Opvallend is dat deze hack, anders dan eerdere lekken zoals bij Conti, niet voortkomt uit interne onenigheid of klokkenluiders. Dit keer gaat het om een doelgerichte aanval van buitenaf.

“Wie er precies achter zit, is lastig vast te stellen”, zegt Kollerie. “Het kan gaan om statelijke actoren, rivaliserende criminele groepen of zelfs white hat-hackers. Wat duidelijk is: ook deze groepen zijn kwetsbaar. Voor onze verdediging betekent dit dat we niet alleen moeten kijken naar wie er aanvalt, maar ook naar hoe deze aanvallers zelf opereren, communiceren en fouten maken. Elk lek geeft ons aanknopingspunten om hun gedrag beter te begrijpen. Threat intelligence-teams kunnen de data vertalen naar detectieregels. Daarmee kunnen bedrijven hun verdediging aanscherpen op basis van bekende aanvalspatronen. Zo bieden de lekken niet alleen een blik achter de schermen, maar ook concrete kansen om de cybercriminelen een stap voor te blijven.”

Dit artikel verscheen voor het eerst op Emerce - Orange Cyberdefense: “Verzwakking van LockBit en Everest geen reden om te juichen”

Cyberaanvallen richten zich steeds meer zich op de zorgsector. Dit vertraagt de patiëntenzorg en verhoogt zelfs het sterftecijfer. Maar zonder kennis van dreigingen kun je je niet verdedigen. Voorbereiding is daarom cruciaal, benadrukt Jort Kollerie van Orange Cyberdefense.

Een cyberaanval, daar zit geen enkel bedrijf op te wachten. Toch gebeurt het om de haverklap. Volgens de Security Navigator 2025 van Orange Cyberdefense is het aantal cyberincidenten het afgelopen jaar met maar liefst 50 procent gestegen. De zorg komt daarbij als een van de meest aangevallen sectoren uit de bus. Patiëntendossiers zijn immers veel geld waard vanwege de zeer gevoelige aard van de gegevens, en dus zijn ze een aantrekkelijk doelwit voor cybercriminelen. De gevolgen raken direct de patiëntenzorg.

Spoed­ei­sen­de hulp

Spreker Jort Kollerie maakt op Zorg & ict 2025 een vergelijking met de Spoedeisende Hulp. Daar schieten artsen en verpleegkundigen direct in de actiestand als er een kritieke patiënt binnenkomt. Een scenario dat zich bij een cyberaanval ook in de digitale wereld afspeelt, weet de strategisch adviseur van Orange Cyberdefense. “Op de SEH is het dan meteen alle hens aan dek, specialisten werken volgens protocollen en handelen in de juiste volgorde. Zo werkt het ook met cybersecurity, waar samenwerking eveneens cruciaal is. Alleen schort het daarbij nogal eens aan de procesmatige kant en dat kan levens kosten.”

Goede voor­be­rei­ding

Hoe voorkom je nu dat jouw organisatie op de digitale spoedeisende hulp belandt? “Je kunt je organisatie niet verdedigen als je niet weet wat er op je afkomt”, stelt Kollerie. Het is dus zaak om je goed voor te bereiden op een eventuele cyberaanval. Zo’n aanval kan uit verschillende hoeken komen, variërend van de cybercrimineel die van de gelegenheid gebruik maakt, de hacker die op laaghangend fruit mikt en de insider die bewust informatie doorspeelt, tot aan de zogeheten advanced attacker.”

Die laatste categorie is het lastigst te tackelen, omdat dit vaak aanvallen vanuit landen of legers betreft. “Neem Rusland, dat recent heeft geprobeerd om het wifinetwerk van het ministerie van OCW te hacken. Daar doe je vrij weinig tegen.” Volgens Kollerie zijn wifi-netwerken binnen organisaties overigens vaak het slechts beveiligd.

Ver­de­di­gings­stra­te­gie

Daarnaast moet een organisatie zich kunnen verplaatsen in de cybercrimineel. “Bedenk wat hun pad en motief kunnen zijn. Wat valt er bij jullie te halen? Geld? Kennis? Bitcoins? Vallen ze via de server aan of via de Cloud? Pas als je dat soort zaken goed in kaart hebt, kun je een effectieve verdedigingsstrategie opstellen.”

Zo’n strategie bestaat uit vijf hoofdthema’s: anticipeer op dreigingen, identificeer risico’s, bescherm je organisatie, detecteer aanvallen en reageer op incidenten.

Trainen, trainen en nog eens trainen

Toch zijn veel organisaties nog altijd meer gefocust op de techniek dan op security, stelt Kollerie. Hij pleit ervoor dat de security meegroeit met de organisatie en de ontwikkelingen. “Er bestaat geen 100 procent security en je kunt cyberaanvallen ook niet 100 procent voorkomen. Maar je kunt er wel veel aan doen, door proactief hiaten op te lossen.”

Alles draait om volwassenheid, besluit de strategisch adviseur, die hamert op trainen, trainen en nog eens trainen. “Getrainde mensen kunnen meer aan dan ongetrainde.”

Goede raad

Zorgorganisaties geeft hij tot slot nog een goede raad mee: “Start zo snel mogelijk met het beter inrichten van je processen en begin klein. Een kind speelt ook niet meteen met LEGO Technic, maar eerst met DUPLO.”

De Verenigde Staten stonden op het punt zich terug te trekken uit een van de belangrijkste fundamenten van wereldwijde cybersecurity: de financiering van de CVE-database. Hoewel de VS inmiddels hebben ingestemd met een tijdelijke verlenging van elf maanden, blijft het onderliggende signaal onveranderd. Voor Europa is dit opnieuw een geopolitieke wake-upcall. Want stel dat de Amerikanen er daarna wél de stekker uittrekken, hoe zorgen we dan voor een oplossing, en belangrijker nog: hoe nemen we als Europa eindelijk zelf de regie?

De enorme afhankelijkheid

Overheden, softwareleveranciers, securitybedrijven en CERT’s overal ter wereld vertrouwen op CVE-nummers als dé standaard om kwetsbaarheden te beheren. Zonder die referentie weet niemand meer wat écht urgent is, waar de grootste risico’s zitten of wat je als eerste moet patchen.

“En toch: al sinds 1999 draait vrijwel alles achter de schermen op Amerikaanse kosten”, benadrukt Jort Kollerie, strategic advisor bij Orange Cyberdefense. “In totaal is er zo’n 75 tot 125 miljoen dollar in gestoken in 25 jaar tijd. Een relatief klein bedrag, als je bedenkt hoeveel de wereld er dagelijks op bouwt.”

Publieke data geeft geen garanties

De gegevens uit de CVE-database zijn grotendeels openbaar. “Maar dat betekent nog niet dat je het beheer zomaar ergens anders onderbrengt”, legt Kollerie uit. “Achter de database schuilt een complex systeem van duizenden CVE Numbering Authorities (CNA’s) en vaste internationale afspraken. Dit netwerk is gebaseerd op jarenlange samenwerking en een stevige reputatie als neutrale partij.” Bovendien kan de Amerikaanse overheid de overdracht van data vertragen of blokkeren als onderdeel van bredere geopolitieke druk. Kortom: dit is niet zomaar een technisch project, maar een strategisch én diplomatiek dossier.

Wie het beheer wil voortzetten, moet ook meer in huis hebben dan alleen toegang tot de data. Het vereist een stevige technische infrastructuur, ervaren mensen, een centraal coördinatiepunt en het vertrouwen van internationale softwareleveranciers, securitybedrijven en CERT’s.

„Een Europees alternatief is mogelijk. Dat lukt alleen met een stevige voorbereiding en uitvoering. Als we echt werk willen maken van digitale autonomie, zullen we niet langer alleen maar moeten roepen om meer grip op cybersecurity, maar ook bereid zijn om zelf flink te investeren in mensen, middelen en verantwoordelijkheid.”-Jort Kollerie

Wat is er nodig voor een Europees alternatief?

De CVE-database wordt beheerd door MITRE, een onafhankelijke Amerikaanse non-profitorganisatie. Een Europees initiatief is geen simpele kopie van wat zij doen. Het vraagt om politieke daadkracht, langetermijninvesteringen en vooral: vertrouwen vanuit de internationale securitygemeenschap. Een succesvolle voortzetting van de CVE-functie in Europa vereist volgens Kollerie onder meer de volgende bouwstenen:

1. Een Europese beheerorganisatie met mandaat en gezag

Er moet een centrale instantie worden aangewezen die de dagelijkse operatie coördineert, vergelijkbaar met de rol van MITRE. ENISA (het Europees Agentschap voor Cybersecurity) ligt voor de hand vanwege haar bestaande rol in Europese cybersecurity-coördinatie. Die rol moet worden uitgebreid met een formeel mandaat en voldoende capaciteit, zowel technisch, organisatorisch als juridisch. Dit orgaan moet kunnen optreden als neutrale partij tussen lidstaten, bedrijven en onderzoekers.

2. Een robuust netwerk van CNA’s binnen Europa

CVE-nummers worden wereldwijd uitgegeven door CVE Numbering Authorities (CNA’s): organisaties die meldingen verifiëren en publiceren. Europa heeft al enkele CNA’s, maar dat netwerk is incompleet en versnipperd. We moeten toewerken naar een representatief, goed georganiseerd netwerk van nationale CERTs, leveranciers en onderzoeksinstellingen die als CNA kunnen optreden. Dat vraagt om standaarden, procedures en onderlinge afstemming.

3. Heldere governance-afspraken over eigenaarschap en transparantie

Een database voor kwetsbaarheden moet wereldwijd vertrouwen genieten. Dat lukt alleen met volledige transparantie over hoe kwetsbaarheden worden gevalideerd, toegewezen en gepubliceerd. Governance betekent ook: wie beheert de data? Welke criteria gelden voor opname? Hoe voorkomen we politieke beïnvloeding of vertraging? Zonder duidelijk en internationaal gedragen regels zullen leveranciers en CERT’s buiten Europa afhaken.

4. Een technische infrastructuur die schaalbaar en betrouwbaar is

De bestaande MITRE-infrastructuur verwerkt tienduizenden meldingen per jaar. Europa zal zelf een platform moeten bouwen voor intake, verificatie, nummering en publicatie van de kwetsbaarheden. Dat moet veilig, snel en schaalbaar zijn, met open interfaces zodat leveranciers en andere stakeholders snel updates kunnen integreren in hun tooling en producten.

5. Structurele financiering vanuit EU-niveau en/of lidstaten

De kosten voor MITRE’s beheer van CVE bedragen naar schatting slechts 3 tot 5 miljoen dollar per jaar. Toch is ad-hoc financiering geen optie. Er moet een structureel budget komen, zodat het beheer stabiel, onafhankelijk en professioneel kan worden ingericht. Europese financiering via de EU-begroting ligt voor de hand, eventueel aangevuld met bijdragen van lidstaten of publieke-private samenwerkingen met leveranciers.

6. Toegang tot de bestaande database en kennisinfrastructuur

Hoewel CVE-gegevens grotendeels openbaar zijn, zijn de bijbehorende tools, processen en netwerken dat niet. Een Europese beheerder moet ofwel formele afspraken maken met MITRE over datatoegang en overdracht, of op basis van de publieke data een eigen structuur opnieuw bouwen. Dat laatste kost tijd en vergroot de kans op inconsistentie. Zonder samenwerking met MITRE of de Amerikaanse overheid dreigt een dubbele administratie, of erger: internationale desintegratie van het systeem.

Er zijn in Europa wel al eerste stappen gezet. Zo heeft ENISA inmiddels de European Vulnerability Database (EUVD) gelanceerd, een eigen openbare database voor kwetsbaarheden. De database bevindt zich nog in bèta en is zeker nog geen volwaardig alternatief voor CVE. Toch laat Europa hiermee wel zien dat er een politiek en strategisch besef is ontstaan waar digitale veiligheid niet alleen afhankelijk mag zijn van de Amerikaanse infrastructuur. Echter zit er nog een flinke kloof tussen besef en een volwassen alternatief. En die moet volgens Kollerie nu snel overbrugd worden.

Europa in actie

“De acties van de VS laten zien dat onze digitale infrastructuur kwetsbaar is, hoe betrouwbaar dat land tot nu toe ook is geweest”, vindt Kollerie. “Als we als Europa serieus werk willen maken van digitale soevereiniteit, dan begint dat hier. Door niet langer gebruik te maken van de Amerikaanse goodwill, maar wel door zelf het heft in handen te nemen.”

In Libanon en Syrië vielen in Hezbollah-kringen minimaal elf doden en zo’n 2.700 gewonden doordat en masse een nieuw type pieper (pager) tot ontploffing werd gebracht. Beschuldigende vingers wijzen naar Israël, al ontbreekt bewijs. ‘Israël is hiertoe in staat’, meent securityexpert Jort Kollerie, waarbij hij in herinnering brengt dat de militaire grootmacht in het verleden mobiele telefoons op afstand liet ontploffen.

Het is het nog te vroeg om met zekerheid te zeggen om wat voor situatie het hier gaat. ‘Belangrijke vraag is of Israël hier bevestigend op zal reageren en daarmee de aanslag zal opeisen’, aldus Kollerie, die als strategisch adviseur werkzaam is bij Orange Cyberdefense. ‘Met deze aantallen lijkt het er op dat de supply chain mogelijk gecompromitteerd is geweest of de zending is onderschept. Mogelijk zijn toen de piepers gemodificeerd met als doel op afstand gelijktijdig te ontploffen via een gecodeerd bericht.’

Deze actie is volgens Kollerie een onderdeel van hybride oorlogsvoering met als doel om, naast conventionele militaire aspecten, de vijand te destabiliseren door middel van fakenieuws, propaganda, sabotage, drones en cyberoorlog. ‘Als Israël hier achter zit, wil het overduidelijk laten zien wat hun slagkracht en mogelijkheden zijn. Maar vooral ook hoe slim de Israëliërs zijn met het uitschakelen van doelen op afstand.’

Golf

Op dinsdag 17 september vond er in Libanon en Syrië een golf aan mini-explosies plaats die erop lijkt te zijn gericht om de militante Libanese beweging Hezbollah een slag toe te brengen. De Israëlische geheime dienst Mossad zou enkele maanden geleden een kleine hoeveelheid explosieven in vijfduizend piepers hebben geplaatst. Deze ‘pagers’ zouden door Hezbollah zijn besteld. Ongeveer drieduizend daarvan ontploften tegelijkertijd toen een gecodeerd bericht naar ze werd gestuurd.

De piepers zouden zijn gemaakt door het Taiwanese bedrijf Gold Apollo. Dat ontkent betrokkenheid en wijst naar het Hongaarse bedrijf BAC Consulting. Dit bedrijf geeft in licentie producten van Gold Apollo, waaronder een pager van het type AR924, dat de explosies heeft veroorzaakt. BAC Consulting heeft niet gereageerd. Het bedrijf werkt veelvuldig met overheden samen in projecten in oorlogsgebied en ‘probleemlanden’. Zo werkt het met de Nederlandse overheid samen in een acceleratorprogramma in Libië.

Meer dan batterij

‘Deze piepers zijn waarschijnlijk op een of andere manier aangepast om dit soort explosies te veroorzaken’, analyseert onderzoeksdeskundige Mikko Hypponen van WithSecure in The New York Times. Hypponen is ook cybercrime-adviseur bij Europol. ‘De omvang en kracht van de explosie wijzen erop dat het niet alleen de batterij was.’