ORANJESTAD – Het is zeldzaam dat de Veiligheidsdienst Aruba (VDA) een journalist uitnodigt om verhaal te doen over staatsdreigingen. Correspondent Sharina Henriquez vertelt over haar afspraak.
Reden voor het gesprek is de serie van publicaties van Caribisch Netwerk die gaat over de cybersecurity op Aruba. Vitale bedrijven en overheidsinstellingen lopen onnodig gevaar op, omdat ze hun IT-beveiliging niet op orde hebben, blijkt uit een onderzoek van cyberexpert Erik Jan Koedijk.
“Ik wil hiermee benadrukken dat niemand namens ons spreekt”, zegt het hoofd, Juri Nicolaas.
We zitten in een grote vergaderzaal met geblindeerde ramen, met alleen pen en papier. Ik mag het gesprek niet opnemen. “Ik heb ook geen telefoon bij mij nu. Papier is nog altijd het veiligst”, zegt Nicolaas. “Sorry, maar dit zijn de regels.”
De bezoeker wordt al vanaf buiten in de gaten gehouden en vervolgens geregistreerd -foto: Sharina Henriquez
Een week eerder was ik bij op het kantoor van de NCTVI bij een taskforce cyberexperts voor wederhoor. Maar de Veiligheidsdienst, ook lid van deze groep, zat niet aan tafel.
Wie is waarvoor verantwoordelijk?
VDA informeert dat zij de eerste grote push heeft gegeven om cybersecurity op de agenda te krijgen. En dat de nieuwe club NCTVI die sinds 2018 bestaat, vervolgens naar voren is geschoven om het (mede) verder te trekken.
Er is ook een verschil in verantwoordelijkheden, legt Nicolaas uit. “Zij houden zich bezig met criminaliteit in het algemeen, wij als het een dreiging is voor de nationale veiligheid.” Dat is het ook als bijvoorbeeld een hacker de enige water- en stroomproducent WEB platlegt, vertelt hij. De samenwerking tussen de vitale bedrijven en de overheid (taskforce) heeft de VDA geïnitieerd.
Directeur Juri Nicolaas wil niet graag in beeld, maar een schets is wel te vinden op Linkedin.
Op Aruba is er alleen een werkgroep die waken over de vitale bedrijven WEB, Elmar, Setar, Centrale Bank Aruba. Het is een pilot – een proef – die waarbij ze nauw samenwerken met de veiligheidsdienst en NCTVI. Andere cruciale bedrijven dus nog niet.
De bedoeling is, legt Nicolaas uit, dat er meer van deze zogeheten ISAC’s komen. Dat zijn Information Sharing and Analysis Centers waar partijen uit de overheid en het bedrijfsleven informatie over cyberdreigingen, maar ook andere kennis met elkaar delen. Omdat het vaak gevoelige informatie is, maken de partijen afspraken hierover.
“Het moet nog gestructureerd worden”, vertelt Nicolaas. “De bedoeling is dat elke sector een ISAC krijgt met eigen protocollen. Uiteindelijk krijg je dan een soort weerberichten die NCTVI uitstuurt over cyberdreigingen. De informatie is nog beroepsgeheim en er is nog geen meldplicht.” Maar zoals NCTVI eerder aangaf, er zijn plannen om alsnog met een meldplicht te komen in een nieuwe wet.
‘Uiteindelijk krijg je een soort weerberichten van cyberdreigingen’
Hoe urgent het is dat Aruba prioriteit maakt van cyberveiligheid, blijkt wel ook weer uit het antwoord van Nicolaas over de bedreigingen voor het eiland. “Cybersecurity is belangrijker dan counterrorisme”, stelt de voorman van de Arubaanse veiligheidsdienst.
“Counterrorisme staat nu lager op de agenda. Informatiebeveiliging en cybersecurity zijn heel belangrijk geworden. De dreiging van cybercriminaliteit was eerst laag, want Aruba was niet gedigitaliseerd. Nu dus hoger omdat steeds meer digitaal gaat.”
De oorsprong van cyberaanvallen door staten- info: Veiligheidsdienst Aruba
Die bedreigingen komen bovendien steeds meer van statelijke actoren in plaats van ‘gewone’ criminelen. “We zien voetafdrukken van China en Rusland. We zien dagelijks wat er gebeurt op onze website. We bekijken specifieke voetafdrukken en of het als gevaarlijke actor beschouwd kan worden. We kijken naar handelingen van Venezuela, wat voorzichtig een platform wordt in de regio.”
De veiligheidsdienst doet aan cyberveiligheid voor beveiliging van overheidsinformatie, spionage of contraspionage. “En daarbij hacken we ook alsof.”
Veiligheidsdienst doet bewustwordingscampagne
De dienst is dus ook degene die bewustwordingscampagnes doet voor het publiek. Op de website is veel informatie te vinden over hoe cybercriminelen te werk gaan, de trends waar je dus voor moet oppassen. Maar de vraag rijst nu of de veiligheidsdienst niet zelf moet leren van de eigen campagne.
De Nederlandse cyberexpert Erik Jan Koedijk heeft de website van VDA en het maildomein vda.aw onderzocht en komt tot de conclusie komt dat de veiligheidsdienst ‘onnodig kwetsbaar voor cybercriminaliteit want de basisinstellingen lijken niet op orde’.
‘We kunnen geen Fort Knox zijn, want mensen moeten ons kunnen blijven tippen’
Een opmerkelijke conclusie, maar Nicolaas ziet het echter allemaal anders. “Onze experts zeggen dat het allemaal meevalt. Ze weten ervan, maar delen niet zijn conclusie dat de burger risico’s loopt. Onze database is trouwens niet verbonden met het internet. Risico voor staatsveiligheid is nul. Ja, de website is verouderd, we zijn bezig met een nieuwe. Maar het kan ook geen Fort Knox zijn. Want we willen ook dat mensen ons blijven tippen.”
“Ik wil het hiermee niet bagatelliseren”, zegt Nicolaas, “maar wat vink je af? Welke instellingen we op privacymode aan of uitzetten, is een keuze. We hebben niet het risicoprofiel, ons domein is nog niet ‘gespoofd’. Dus we herkennen de punten, maar de conclusie is kort door de bocht. Niet oké.”
Ethisch hacken is niet strafbaar in Nederland en wordt zelfs beloond. Op Aruba mag het niet – Foto: OM.nl
‘Aruba niet vergelijken met grote landen’
Nicolaas vindt bovendien dat je Aruba niet kan vergelijken met Nederland en de Verenigde Staten. “Die hebben al een volwassen cybersecurity. Ze zijn al jaren bezig met een robuuster budget en hebben een relatie met de hackerswereld gerealiseerd. In de meeste landen is het nog strafbaar of je komt op een targetlijst.”
“Ook in Europa moet met wetgeving nog veranderen dat je zaken kan melden zonder vervolging. Ik weet dat de Nederlandse overheid die T-shirts van ‘I hacked the Dutch Government and all I got is this lousy t-shirt’ geeft. Dat is een gezonde relatie.”
Een defensieve reactie van de Veiligheidsdienst op het onderzoek van Koedijk? Zo is dat niet, vindt Nicolaas. “Zo willen we niet overkomen. Ik ben dankbaar dat burgers ons scherp en kritisch houden. Maar (over Koedijks onderzoek) ik zou dit anders aangevlogen hebben. Ik zou eerst een gesprek voeren in plaats van een post (op Facebook), want dan creëer je verwachtingen.”
Nicolaas erkent wel dat een mail die Koedijk eerder naar de Veiligheidsdienst stuurde met zijn bevindingen, is blijven hangen en pas veel later is gevonden. Ook erkent hij dat Aruba nog veel moet regelen voor een cyberveiliger eiland. “Maar we willen niet leiden op basis van angst. Daarom concentreren we op bewustwording. Het is een uphill development.”
