Speech Dick Schoof op Dutch Transformation Forum over economische veiligheid

Toespraak | 21-11-2019

Beste aanwezigen,

Hartelijk dank voor de uitnodiging voor dit Dutch Transformation Forum.

Ik voel een bepaalde druk dat ik na zo’n interessante dag nog moet proberen u te informeren, inspireren of misschien zelfs een beetje amuseren met een key note speech.

Ik hoop u toch voor het diner straks nog wat extra gespreksstof mee te geven.

Vanuit de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) hebben wij onze eigen benadering waar het gaat om de dreiging vanuit andere landen en de dreiging voor onze economische veiligheid, waar we vandaag over spreken.

Noem het een inlichtingenmatige benadering.

Misschien is het goed om eerst nog even kort te schetsen waar de AIVD voor staat.

Wij maken dreigingen zichtbaar, die anderen niet zien.

Dat kunnen wij onder meer omdat wij bijzondere bevoegdheden hebben die wij mogen inzetten.

Wij schetsen fenomenen en trends en proberen verwachtingen voor de toekomst uit te spreken, op basis van onze inlichtingen.

Zoals onze naam al zegt: wij zijn een inlichtingen- en veiligheidsdienst.

Die combinatie is in de wereld best uniek.

Kijk bijvoorbeeld naar een land als het Verenigde Koninkrijk.

Daar heb je een dienst die zich bezighoudt met binnenlandse dreigingen, MI5.

En er is een dienst die onderzoek doet naar politieke ontwikkelingen in andere landen, dus vooral over en in het buitenland, MI6.

Daarnaast heb je nog een aparte dienst die zich bezighoudt met het onderscheppen van communicatie, GCHQ.

Bij ons gebeuren al die drie aspecten van het inlichtingenwerk binnen de muren van ons pand in Zoetermeer.

Die taken en expertises bij elkaar gebracht in één dienst zorgt ervoor dat onze slagkracht groot is.

Wij kunnen snel schakelen.

Dat maakt ons ook in de internationale samenwerking een aantrekkelijke partner.

En ook, omdat we gewoon best goed zijn in ons werk.

Maar wij zijn dus een inlichtingen- en veiligheidsdienst.

Een veiligheidsdienst doet onderzoek naar binnenlandse dreigingen.

Vanuit die taak onderzoeken wij terroristische personen en organisaties, extremistische groeperingen en activiteiten die op spionage wijzen.

Waar de afgelopen jaren vooral jihadistisch-terroristische dreiging veel van onze capaciteiten opslokte, zien we dat nu meer verschuiven richting buitenlandse inmenging en spionage.

Dat laatste is iets waarbij wij een land als China zeker tegenkomen als AIVD.

Een inlichtingendienst onderzoekt de intenties van andere landen.

In het diplomatieke en economische verkeer zegt land A wel dat ze met ons samenwerken, maar uit de bronnen die wij hebben, begrijpen wij dat dat alleen voor de bühne is.

Dat het land met een dubbele agenda werkt en andere bedoelingen heeft.

Wij informeren daar het ministerie van Buitenlandse Zaken over, zodat dat zijn beleid daarop kan aanpassen.

Naar welke landen en regimes wij onderzoek doen maken wij niet publiek.

Dat zou ook wat merkwaardig zijn, omdat het soms om landen gaat waar wij verder economisch bijvoorbeeld goede banden mee hebben of op andere gebieden samenwerken.

Dat brengt mij mooi bij de spagaat waar wij als Nederland en ook de rest van Europa in zitten.

De relatie met China.

Arjen Lubach wist het krachtig te schetsen ruim twee weken geleden. Daar wilde ik een fragment van laten zien.

[Fragment Zondag met Lubach van zondag 3 november 2019 over 'China 2025']

Denk daar maar over na, zegt Lubach.

En dat is precies wat wij doen.  En wat we al langer doen.

In dezelfde uitzending herhaalde Arjen Lubach dan ook de waarschuwing die wij als AIVD eerder hebben gedaan richting China.

Zo ondermijnt China het verdienvermogen van Nederland door hier bedrijfsgeheimen te stelen.

Maar we kunnen China niet even zomaar negeren. China is ‘here to stay’ en vormt een belangrijke geopolitieke en economische macht met een duidelijke economische agenda.

We moeten er alleen mee leren omgaan dat het een ander waardesysteem hanteert dan wij in Nederland of de westerse wereld.

Daar moeten we op een realpolitische manier mee omgaan.

China heeft economische potentie met een potentieel risico.

Want wat zien wij als AIVD?

Wat zien wij inlichtingenmatig?

Want wij zien dat de economische agenda zich direct vertaalt in de inlichtingenagenda.

Wat voor zicht krijgen wij door onze onderzoeken?

Een belangrijk aspect voor economische spionage door China, maar ook andere landen, is de digitalisering.

Vroeger moest een persoon weten binnen te dringen in een bedrijf of overheidsinstantie om daar met een camera foto’s te maken.

Kostbaar en met een groot afbreukrisico.

Digitalisering maakt spionage een stuk eenvoudiger, goedkoper en succesvoller.

Daarom zien we ook steeds meer landen die zich bezighouden met digitale spionage.

Door digitaal in te breken is snel binnen te komen en het bereik is vele malen groter.

Onze ervaring is dat de achterdeurtjes die worden ingebouwd daar voor jaren kunnen blijven zitten.

En dat typeren wij dan als zogeheten Advanced Persistent Threats, APT’s.

Deze worden uitgevoerd door  groeperingen in opdracht van een staat.

Zij doen niets anders doen dan een land bestoken met digitale aanvallen en informatie wegslurpen.

Inmiddels is een aanzienlijk aantal van de APT's toe te wijzen aan China.

Maar dat toewijzen is steeds lastiger.

De aanvallen die wij tegenwoordig zien, gebeuren steeds anoniemer, ook omdat landen elkaars middelen recyclen.

Alles bij elkaar vormt het uitvoeren van digitale aanvallen een uitermate goed businessmodel.

Wij zien in onze onderzoeken dat diverse statelijke actoren zich bij hun digitale aanvallen niet langer alleen direct richten op de gebruikers.

In toenemende mate richten zij zich ook op de leveranciers van digitale producten en diensten.

Het gaat daarbij om ICT-dienstverleners zoals internetproviders, telecomproviders en Managed Service providers.

Deze toeleveranciers kunnen worden ook gebruikt als een springplank om het uiteindelijke doelwit te infiltreren.

Een zogenaamde supply chain attack.

Dit is een zorgelijke ontwikkeling, omdat deze leveranciers vanuit hun functie vaak toegang hebben tot netwerken en gevoelige informatie van hun klanten die zeer interessant zijn voor kwaadwillende staten.

Veel bedrijven en overheidsinstanties besteden bedrijfsprocessen uit aan dienstverleners.

U zult dat hier wel herkennen. 

Denk bijvoorbeeld aan loonadministratie, marketing, maar in toenemende mate ook netwerkbeheer, internettoegang en soms ook (informatie) beveiliging.

Deze dienstverleners hebben vaak toegang nodig tot het netwerk van hun klanten om werk te kunnen doen.

Staten kunnen hierdoor misbruik maken van de legitieme toegang die de dienstverleners hebben binnen de netwerken van hun klanten. Dit bemoeilijkt het tijdig voorkomen en ontdekken van misbruik.

Dergelijke supply chain attacks hebben de afgelopen jaren ook in Nederland slachtoffers gemaakt binnen zowel de overheid als het bedrijfsleven.

Omdat wij allemaal vertrouwen in de dienstverleners, geven supply chain attacks omvangrijke, diepgravende en structurele toegang tot datastromen in onze netwerken.

Dit biedt mogelijkheden tot spionage door technische, financieel-economische, politiek-bestuurlijke of persoonsgegevens te verzamelen bij zowel overheidsinstanties als private bedrijven.

Deze supply chain attacks worden overigens niet alleen gebruikt om te spioneren.

Wij zien ook dat staten proberen zich in te nestelen in de vitale infrastructuur, zoals energie-, drinkwater- of elektriciteitsvoorziening waardoor zij sabotagekunnen plegen.

Hierdoor kunnen de besturings- en controlesystemen van vitale infrastructuren die aan het internet gekoppeld zijn, verstoord worden.

Behalve dat wij zien dat dienstverleners als springplank worden gebruikt, zien wij ook dat deze dienstverleners zélf doelwit zijn van kwaadwillende staten.

Ook hierbij wordt gevoelige informatie gestolen.

Denk bijvoorbeeld aan internet service- en telecomproviders die het internet- en telefoonverkeer voor bedrijven en overheden faciliteren.

Een kwaadwillende staat hoeft dan dus niet het netwerk van bedrijven of overheden zelf te hacken om toch toegang tot gevoelige informatie te krijgen.

Om het voor begrip analoger te maken: er wordt dus niet ingebroken bij het bedrijf zelf om een brief te onderscheppen, maar het wordt uit de tas van de postbode gehaald.

Dit wordt ook wel een man-in-the-middle-attack genoemd.

Wij hebben in onze onderzoeken vastgesteld dat staten op grote schaal bij telecomproviders binnendringen om het telefonieverkeer van kun klanten te onderscheppen.

Deze informatie wordt gebruikt om doelwitten en hun contacten in kaart te brengen en te monitoren.

Zo worden hooggeplaatste militairen, politici en dissidenten gemonitord.

De managed service, internet- en telecom providers die doelwit zijn van deze supply chain en man-in-the-middle attacks zijn vaak internationaal opererende bedrijven met duizenden tot miljoenen klanten.

Dit biedt kwaadwillende staten enorme mogelijkheden, als zij toegang hebben tot dergelijke leveranciers.

In potentie kunnen wereldwijd enorme aantallen slachtoffers vallen.

Dit maakt de toename van supply chain attacks en man-in-the-middle- attacks via dergelijke providers tot een zeer zorgelijke ontwikkeling.

Het risico op dergelijke aanvallen neemt ook nog eens toe wanneer deze providers dan wel de hardware- en softwarebedrijven die ze gebruiken uit landen komen die een offensief cyberprogramma voeren tegen Nederlandse belangen.

Ik noem daarbij landen als Rusland, China en Iran.

Deze providers en hard- en softwarebedrijven kunnen vaak gedwongen worden om mee te werken met de inlichtingen- en veiligheidsdiensten van die landen.

Ook in Nederland gebruiken wij buitenlandse hard- en software.

Door internationalisering, globalisering en overnames is niet altijd uit te sluiten dat een ICT-bedrijf onder invloedssferen van een ander land komt.

Dat maakt ons kwetsbaar.

Al deze vormen van digitale aanvallen zijn voor ieder bedrijf, organisatie of instelling een risico.

Zo worden op deze manier worden bedrijfsgeheimen gestolen bij onze topsectoren, bij high tech bedrijven of komen documenten over politieke besluitvorming in verkeerde handen.

Als het gaat om het draaiend houden van de samenleving.

Als het raakt aan de processen die cruciaal zijn voor ons dagelijks leven, dan zijn de gevolgen van een digitale aanval nog veel desastreuzer.

Ik denk dat in deze zaal best een behoorlijke groep mensen denkt: ja, maar dit doen jullie zelf toch ook?

Bent u nu niet roomser dan de paus?

En ja, inderdaad, dat doen wij ook.

Ik zal het u sterker vertellen.

Als zij kunnen, wat wij kunnen, dan zijn mijn zorgen alleen maar groter.

Ja, wij hacken en breken in bij systemen van andere landen om erachter te komen waar zij mee bezig zijn.

Ja, wij maken daarbij ook gebruik van zwaktes in hard- en software als dat nodig is.

En ja, met onze nieuwe wet zijn ook hier telecomaanbieders verplicht om met ons mee te werken om ons te faciliteren bij onze onderzoeken.

Er zijn daarbij twee grote verschillen: wij mogen inderdaad offensief opereren, maar altijd om Nederland te beschermen.

Dus met een defensief doel.

Wij hebben niet de taak om de Nederlandse economie te helpen door uit andere landen intellectueel eigendom weg te halen.

Voor ons zijn digitale aanvallen geen businessmodel.

Bovendien: wij werken met een geheel ander wettelijk kader.

Wij doen onderzoek om de nationale veiligheid te beschermen.

In landen die bij ons spioneren ontbreekt zo’n uitgebreid controle- en toezichtsmechanisme zoals wij dat in Nederland kennen.

Bij de inzet van bijzondere bevoegdheden moet de minister voor ons aan een onafhankelijke toetsingscommissie vragen of het mag.

Daarna kan de Commissie van Toezicht nog onderzoek doen naar de rechtmatigheid.

Had ik dat liever anders gewild? Want dat maakt het werk toch lastig.

Nee.

Want dat onafhankelijke toezicht zorgt ervoor dat u kunt vertrouwen op ons werk.

Dat dat volgens de regels van een democratische rechtsstaat gebeurt.

De toetsing, toezicht en controle vormen onze license to operate.

Om Popper aan te halen uit de paper van dit Forum: How can the open society remain strong in the face of foes and its own fragility without sacrifciing its openness

Dat biedt ons de mogelijkheid om onafhankelijk te zijn en om tegen de politieke stroom in te gaan.

Dat is ook de reden voor onze wapenspreuk: ‘per undas adversas’, ‘wij zwemmen tegen de stroom in’.

Vandaar de vissen.

We speak truth to powers, zoals de Engelsen dat zeggen.

Maar ik dwaal af.

We gaan terug naar het thema van vandaag.

Er zijn veel landen die een offensieve cyberstrategie hebben, gericht tegen Nederlandse belangen.

Niet alleen China.

Daarbij spelen vaak economische motieven, maar net zo vaak politieke.

Als het gaat om processen die van vitaal belang zijn voor ons land, dan vinden wij het als AIVD onwenselijk als gebruik wordt gemaakt van hardware of software die afkomstig is uit de landen die zo’n strategie hebben.

Het gebruik van dergelijke apparatuur is alleen mogelijk als er een goede risico-inventarisatie is gemaakt.

Iets dergelijks hebben wij ten aanzien van de veiligheid van 5G ook gedaan.

En dat betekent dus niet dat wij China nergens willen hebben, om het even plat te stellen.

Dit weekend las ik op Twitter een aantal tweets van de directeur van de FBI, Christopher Wray, die aansluiten bij de gedachte dat economische belangen niet voor alles gaan.

Hij stelde: We welcome competition, all for it. We welcome foreign visitors, all for them. We welcome research exchange, all for it. But what we are not going to tolerate is rampant intellectual property theft & cyber intrusions and economic espionage.

Het gevoel van het beschermen van de economische veiligheid is niet nieuw.

Echt manifest werd het in 2012 toen KPN dreigde te worden overgenomen door een Mexicaanse investeerder.

Opeens zagen we dat er kwetsbaarheden waren voor ons land.

Dit werd twee jaar geleden nog sterker duidelijk bij vermoedens dat vanuit het buitenland interesse was in het Nederlandse-Duitse-Britse Urenco.

Wil je een bedrijf dat zich bezighoudt met de verrijking van Uranium aan een niet-Europees land verkopen.

Het heeft ons geleerd om niet alleen naar de economische kansen te kijken, maar ook de risico’s voor de nationale veiligheid mee te wegen.

Ons land drijft op een open economie en internationale handel.

En het is in onze ogen nog altijd anders als een Belgisch bedrijf de post wil overnemen, dan wanneer China interesse heeft in de Rotterdamse haven.

In het eerste geval is sprak van nationaal sentiment, in het tweede geval is sprake van nationale veiligheid.

Economische belangen en de bescherming van de nationale veiligheid kunnen elkaar raken, ze kunnen soms schuren en ze kunnen zelfs af en toe botsen.

Politiek moeten afwegingen worden gemaakt waarbij de nationaleveiligheidsbelangen moeten worden afgezet tegenover de diplomatieke en economische belangen.

Het heeft Economische potentie met  een potentieel risico.

Kunnen we hier Europees nog iets betekenen, tussen de grootmachten Verenigde Staten en China?

Dat is best een ingewikkeld speelveld. 

Als het gaat om jihadistisch terroristen die onze kant opkomen, dan zijn we als Europa eensgezind en is samenwerking tamelijk eenvoudig te organiseren.

Maar wanneer economische belangen op het spel staan en ieder land zijn eigen relaties en politieke belangen heeft, dan wordt het lastiger.

Het 5G-vraagstuk maakt dat ook duidelijk waarbij we in Europa nog niet erg eensgezind zijn.

Is de groei van China ‘disruptive’ zoals in de publicatie ‘Gaming the new security Nexus’ bij dit Dutch Transformation Forum wordt geopperd.

Nee, maar het is wel gevaarlijk.

En we weten dat het komt, dus kunnen ons erop voorbereiden.

Het vraagt om intensieve samenwerking en onderling openheid en vertrouwen.

En dan pak ik zelf ook de handschoen op.

Door opener te zijn over onze inlichtingen als AIVD, kunnen wij meer draagvlak creëren.

De Taskforce Economische Veiligheid waar wij samen met diverse overheidsinstanties in zitten, is een goed voorbeeld van zo’n samenwerking.

Van daaruit hebben we bijvoorbeeld ook samen met telecombedrijven de risico’s in kaart kunnen brengen als we kijken naar de toekomstige ontwikkelingen.

Wij hebben duidelijk kunnen maken op welke manier staten misbruik maken van de telecomsector.

En het werkt beide kanten op. Een goede gesprekspartner zijn voor de telecombedrijven levert ons ook nuttige informatie op.

Op die manier kunnen wij met elkaar een sterker netwerk creëren. Klaar voor de toekomst.

Beste mensen, ik rond af.

De afgelopen 15 tot 20 minuten heb ik met u vooral gesproken over wat de risico’s zijn van digitale aanvallen en hoe die plaatsvinden.

Wat wij in onze inlichtingenonderzoeken zien.

Toch moet u ook de mens in dit geheel niet vergeten.

Vaak zien wij in onze onderzoeken dat de digitale aanvalsmiddelen gecombineerd worden met mensen die binnen een organisatie een cruciale positie hebben.

Staten onderzoeken met socialmediamining en social engineering waar een zwakke schakel zit.

Wie is een potentiële ingang?

Bent u daar ook alert op?

Ik moest daar ook weer aan denken toen ik dit weekend in het Belgische Het Nieuwsblad een verhaal las over de grootse Belgische handelsmissie ooit.

In het kielzog van prinses Astrid zijn 600 Belgen naar China getrokken om zaken te doen.

Mijn collega’s van de Belgische veiligheidsdienst De Staatsveiligheid hebben al deze mensen een uitgebreide briefing gegeven voordat zij naar China vertrokken.

Zij warden erop gewezen alert te zijn op hun apparatuur en hun persoonsgegevens te beschermen.

Ik eindig niet met een bewustzijnsbriefing, maar denkt u er zelf eens over na.

Wat zijn de kroonjuwelen van uw organisatie?

Wat mag nooit in andermans handen terechtkomen?

En hoe zorgt u ervoor dat dat ook niet gebeurt?

Bespreek dat met uw eigen experts, waarbij wij, maar zeker ook het Nationaal Cyber Security Centrum u kunnen helpen om deze te beschermen.

Onderweg naar het derde decennium van de 21e eeuw staan we aan de vooravond van een technologische toekomst, in een complexe of zoals u wilt onzekere geoplotieke en economische context.

Maar een toekomst met veel voordelen.

Maar die voordelen zijn er ook voor onze tegenstanders.

En daarom is het belangrijk om waakzaam te blijven.

Dank u wel.