Niet voor niets start het boek Het is oorlog maar niemand die het ziet van Huib Modderkolk met een bijeenkomst in 2015 van de hoofden van de veiligheidsdiensten met Rutte, waarin deze wel de noodzaak van actie onderschrijft, maar er geen geld voor beschikbaar stelt. Zorgwekkend!
Belangrijk dus, cyber. Maar ook moeilijk te begrijpen, toch? Nee hoor! De auteur heeft een ongelofelijk knappe prestatie geleverd om deze behoorlijk technische problematiek heel helder en jargon-vrij op te schrijven. Dit boek is daardoor voor iedereen makkelijk te lezen, hier hoef je geen IT-kennis voor te hebben. Makkelijk, en ook spannend! Het leest als een thriller, inclusief cliffhangers: ‘....en zien ze iets wat ze niet voor mogelijk hadden gehouden...' (einde hoofdstuk). Mijn eerste reactie na pas een paar bladzijden gelezen te hebben: het lijkt wel een boek van Joris Luyendijk! En dat blijkt geen toeval te zijn, in het dankwoord wordt Joris genoemd als adviseur, ‘waardoor het boek leesbaarder en urgenter werd'. Aha!
De auteur beschrijft een aantal bekende en minder bekende anekdotes èn de diverse onderzoeken die hij deed, en eindigt met een waarschuwing.
In deel 1 ‘Wat is er aan de hand' komt onder andere de ellende met Diginotar aan de orde. Buitengewoon boeiend! Ik heb dit destijds wel zijdelings gevolgd (moet ook wel als IT-auditor) maar de omvang en impact ervan werden mij pas goed duidelijk na het lezen van dit hoofdstuk. De zoektocht naar de oorzaak van de problemen wordt gedetailleerd uitgewerkt, en bij de ontdekking van die oorzaak zei ik hardop: Dit kan niet waar zijn! 'Het was zo koud in de kluis'. Menselijke fout, zoals zo vaak, maar dat verwacht je niet bij dit soort bedrijven.
In deel 2 ‘Wat zijn de gevolgen' maken we kennis met ‘Robin', een van de anonieme bronnen van de auteur. Zij vertaalde stukjes tekst voor een Australisch bedrijf dat software bouwt om spraak om te zetten in tekst. Ze krijgt korte fragmenten van Nederlandstalige telefoongesprekken te horen. Het gaat over van alles, tot de volgende vakantiebestemming aan toe. Het lijkt allemaal random, maar na een tijdje ziet ze toch een patroon: ze hoort veel jongeren met een Marokkaanse of Turkse achtergrond; de meeste zijn taxichauffeurs, en komen uit de regio's Den Haag en Amsterdam. Soms hoort ze zelfs door een computerstem voorgelezen chatberichten. Raar. En dan hoort ze de stem van haar ex-vriend, die met zijn nieuwe vriendin belt. Ze schrikt zich rot, belt hem op om te vragen of hij meewerkt aan haar project. Nee natuurlijk. Dit onderdeel maakt heel goed duidelijk hoe de afluisterpraktijken ons allemaal kunnen raken. Waarom word je afgeluisterd? Door wie? En waar gaan die gesprekken en transcripties heen?
Nog heftiger is het verhaal van de Somalische herder die zijn beide dochters verliest door een Amerikaanse raket gericht op de sim-kaart in de telefoon van een terrorist. Waarschijnlijk op basis van Nederlandse inlichtingen, maar dat is niet zeker omdat de Amerikanen hierover niets willen meedelen. Die terrorist leeft overigens nog. Collateral damage heet dat geloof ik: onschuldige slachtoffers.
Dan deel 3 ‘Waar gaat het naar toe?' waarin onder andere het verhaal over Russische criminelen die in 2007 geld overboeken van onwetende klanten van de ABN Amrobank. Die transacties zien eruit alsof de klanten het zèlf gedaan hebben. Foetsie is je geld! De truc is een fantastisch goed nagemaakte inlogpagina van de bank, waarop de klanten hun gegevens intoetsen. Ook andere banken zijn het slachtoffer, de schade bedraagt honderden miljoenen. Deze truc kennen we nu, maar wat is de volgende?
In deel 4 ‘Wie gaat ons beschermen?' lezen we over het referendum over de sleepwet, Fox-IT, en de twijfels van de auteur. Om de samenleving te beschermen tegen spionage en sabotage hebben de veiligheidsdiensten onderzoeksbevoegdheden nodig die een vrije samenleving onder druk zetten. Een democratische regering mag niet hacken, afluisteren of censureren, bepalen wat nepnieuws is en wat niet. Maar de overheden in China en Rusland kennen die aarzelingen niet. Die steunen hun hackers bij hun spionage en sabotage (of geven daar zelfs opdracht toe). De Verenigde Naties probeert tot normen te komen om digitale escalatie tegen te gaan, maar Rusland en China hebben zich hieruit teruggetrokken. Zij spelen het spel met andere spelregels. Dat zet ons op achterstand, maakt ons kwetsbaar. Er gaat geen dag voorbij zonder online schermutselingen, de aanvallen vanuit Rusland zijn het meest volhardend en zorgelijk. Minister Bijleveld noemt dit in 2018 ‘een vorm van oorlog'. Een oorlog die niemand ziet. Wie beschermt ons? De auteur komt weer terug op de bijeenkomst van Rutte. De politiek in ieder geval niet.
Nog niet.
Dit boek kan het inzicht in en de zorgen over beveiliging concretiseren, waardoor er druk op de overheid kan worden uitgeoefend om aandacht en geld te besteden aan cyber-kennis en beveiliging. Zou dat geen mooi resultaat zijn?
In dit boek lees je ook over de relatie tussen de verschillende inlichtingen- of veiligheidsdiensten, niet alleen binnen Nederland (de AIVD en MIVD) maar ook de relatie met de Amerikaanse en Britse inlichtingendiensten. Die relatie is soms prima, dan wordt er goed samengewerkt en informatie uitgewisseld. Maar vaker nog zitten de diensten elkaars bedrijven en overheden te hacken, en dat is minder fraai. Ik maak me dan minder zorgen over de hacks van de Engelsen en Amerikanen dan over die van Rusland (op onze infrastructuur) en China (op onze bedrijven, op jacht naar IP), maar is dat terecht, of juist naïef? Dat is alvast weer een leerpuntje.
Dit boek is heel fijn leesvoer voor iedereen die wel eens wat hoort over cyber-risico's en privacy, maar het niet zo goed begrijpt of er geen interesse voor heeft (en hiertussen is een correlatie).
Voor ons als burgers dus, die ons zorgen (zouden moeten) maken over onze data en onze privacy. Maar ook voor ons als managers in het bedrijfsleven. Het geeft heel helder weer waar de kwetsbaarheden van bedrijven zitten en wat de impact kan zijn van een hack. Is jouw personeel niet zo ‘beveiligingsminded' dan zal dit boek ze de ogen openen. Wat aandacht voor continuïteitsmaatregelen zou een mooi gevolg kunnen zijn van het lezen van dit boek. Of gaan we zitten wachten op de volgende paniekreactie als een heel bedrijf wordt platgelegd (zoals de Rotterdamse haven en duizenden andere bedrijven wereldwijd in 2017)?
Ik heb ook wat kritiek: de auteur maakt regelmatig uitstapjes naar het verleden, om verbanden te leggen of achtergronden te verduidelijken. Deze niet helemaal chronologische vertelstijl maakt het boek af en toe wat moeilijk te volgen. In welk jaar speelt deze ontdekking? En was dat voor of na het vorige avontuur? De onderverdeling van die anekdotes in de eerste drie delen (Wat is er aan de hand, Wat zijn de gevolgen, Waar gaat het naar toe?) was voor mij ook niet helemaal helder.
Daarnaast vond ik het lastig de verbanden te zien tussen de verschillende incidenten of schermutselingen en het ene en andere onderzoek. Er gebeurt zovéél, wat is de rode draad?
Het is oorlog, maar niemand die het ziet leest als een thriller en geeft een heel mooi inkijkje in de onderzoeksjournalistiek: hoe komen de journalisten aan bronnen, wanneer publiceren ze een verhaal, en wanneer niet? Hoe gaan ze om met veronderstelde staatsgeheimen? Interessant is in het nawoord te lezen dat de Nederlandse inlichtingendiensten het boek voor publicatie gelezen hebben, en er delen uit hebben laten verwijderen. Dat maakt je wel nieuwsgierig! Hopelijk lezen we hier dan weer over in het volgende boek.
Over Elly Stroo Cloeck
Elly Stroo Cloeck is project- en interim-manager op het gebied van Finance, Internal Audit en Risk Management. Daarnaast schrijft ze recensies en samenvattingen van managementboeken.