De glazen toegangsdeur wil niet open. „Ik probeer het nog een keer, misschien de volgende keer iets stiller staan?” klinkt de stem van de beveiliger door de intercom. Bij de tweede poging glijdt de deur wel opzij. „Ja, hier kom je niet zomaar binnen”, grapt Martijn Jonk, teamleider bestuurlijke ondersteuning bij het Nationaal Cyber Security Centrum (NCSC), die aan de andere kant van de deur staat te wachten.

Lees ook

Oorzaak computerstoring was fout in softwarecode

Het snelgroeiende NCSC huist ergens in het enorme gebouw van het ministerie van Justitie en Veiligheid in Den Haag. Daar zijn de ruim 300 medewerkers dagelijks bezig om te zorgen voor een veilig digitaal Nederland. Zijn er hackers die kwaad in de zin hebben? Ontstaan er grote storingen door foute software-updates? Bij de organisatie komen al deze meldingen binnen en gaat er een crisisteam aan de slag om de situatie zo snel mogelijk onder controle te krijgen.

Op deze vrijdagmiddag is het relatief rustig op de kantoorvloer. In de grote gemeenschappelijke ruimte zijn lang niet alle bureaus bezet.  „Dat was een paar weken geleden wel anders”, zegt Noortje Henrichs, teamleider van het team dat verantwoordelijk is voor cyber threat intelligence en dreigingsanalyse. Ze doelt op de beruchte Crowdstrike-computerstoring in juli, die wereldwijd voor heel wat problemen zorgde. In Nederland kon op Schiphol geen vliegtuig meer vertrekken of landen en verschillende ziekenhuizen moesten al hun operaties schrappen. Als de eerste meldingen van zo’n storing binnenkomen bij het NCSC, staan de medewerkers meteen op scherp. „We proberen vooral een beeld te krijgen van de situatie. Welke slachtoffers zijn er? Kunnen we de mogelijke oorzaak bevestigen? Gaat het om een menselijke fout of zit er opzet achter?” legt Martijn Jonk uit.

Lees ook

Nederland en zijn verdedigingswerken: van kasteelgracht tot cybersecurity

In het geval van de Crowdstrike-storing blijkt het te gaan om een fout in een software-update. Er is een manier om dit probleem te omzeilen, maar die moet wel handmatig en laptop voor laptop geïnstalleerd worden. „Dan kijken we of daar bij organisaties voldoende mankracht voor is. Intussen wordt de minister voortdurend op de hoogte gehouden en wisselen we ook tips en ervaringen uit met andere internationale organisaties die met het probleem bezig zijn.”

Stukje code

Het incident laat volgens Henrichs zien dat cybersecurity steeds belangrijker wordt omdat veel systemen in Nederland met elkaar zijn verweven. Een internetstoring of een digitale aanval kan grote gevolgen hebben voor het elektriciteitsnetwerk, het transportsysteem en de watervoorziening. Haar team, gespecialiseerd in digitale aanvallen die voor Nederland een bedreiging vormen, is daarom ook veel bezig met preventief werk. Ze doen onderzoek naar de technieken en methodes die digitale aanvallers gebruiken. „Soms is aan een specifiek stukje code te zien welke partij er achter een aanval zit. Die informatie is belangrijk om de situatie onder controle te krijgen.”

Om haar werk uit te leggen, gebruikt de teamleider regelmatig het voorbeeld van inbraken in huizen. „Digitale kwetsbaarheid kun je vergelijken met een voordeur die openstaat, een deurtje in je systeem waar hackers makkelijk door naar binnen kunnen. Wij geven advies aan organisaties over hoe je die voordeur weer dicht kunt doen. En we doen onderzoek naar hoe de inbreker te werk gaat; of hij bijvoorbeeld liever via de deur of via het raam inbreekt.”

„Soms is aan een specifiek stukje code te zien welke bende er achter een hackaanval zit” - Noortje Henrichs, teamleider dreigingsanalyse bij het NCSC

En nee, dat doen ze bij het NCSC niet alleen met hackers. Er werken computerwetenschappers, maar ook antropologen, communicatie-experts, criminologen en mensen die zijn gespecialiseerd in geopolitieke verhoudingen. Op de werkvloer is een speciaal team dat dagelijks alle nieuwsberichten, internationale kanalen en chats op het gebied van cybersecurity in de gaten houdt. Een antropoloog ziet daarbij weer andere waarschuwingssignalen dan een computerwetenschapper. „Wat ons bindt, is een probleemoplossend vermogen. Dat gaat samen met een soort creativiteit waar ik me thuis bij voel”, zegt Noortje Henrichs.

Russische inval

Die creativiteit is zichtbaar op de werkvloer. Op de ramen en bij de bureaus hangen overal posters en A4’tjes met cartoons, grappige plaatjes en foto’s. Tegen de muur staat een rij kluizen die bijna stuk voor stuk zijn beplakt met stickers. Elke medewerker heeft een eigen kluis, want vertrouwelijke papieren of een gevoelig rapport moeten meteen achter slot en grendel. Veiligheid staat hier sowieso voorop, want het is ook niet de bedoeling dat er foto’s worden gemaakt. Achter in het kantoor bevindt zich een witte deur met een beveiligingssysteem ernaast. „Daar heb je weer extra pasjes voor nodig”, zegt Martijn Jonk. Achter de deur zit de Cyber Intel/Info Cel, waar mensen van het openbaar ministerie, AIVD, MIVD, politie en het NCSC samenwerken om informatie over dreigingen op internet snel en veilig met elkaar te kunnen delen.

De laatste jaren vinden er steeds vaker ransomwareaanvallen plaats. Bij zo’n aanval gebruiken criminelen schadelijke software (malware) die ze in systemen plaatsen om gebruikers of bedrijven te chanteren. Deze malware kan het systeem versleutelen om vervolgens losgeld te vragen voor de ontgrendeling. Zo’n aanval kan gigantische gevolgen hebben voor organisaties. De NCSC’ers noemen logistiekbedrijf Maersk als voorbeeld. Het bedrijf werd in 2017 getroffen door zogeheten NotPetya-malware. Vanwege de aanval waren de containerterminals van dochterbedrijf APM dagenlang buiten werking, waaronder die in de haven van Rotterdam.

Later bleek uit onderzoek van de Britse NCSC dat het Russische leger achter de uitgebreide aanval met de malware zat. De aanval was vooral gericht op Oekraïne, maar kwam via lokale netwerken op meerdere plekken in de wereld terecht. Volgens Martijn Jonk is dat iets wat je steeds vaker ziet. „Geopolitieke gebeurtenissen kunnen een trigger zijn voor dit soort aanvallen. Toen de Russische inval in Oekraïne op het punt van beginnen stond, hebben we hier allerlei scenario’s gemaakt om voorbereid te zijn op mogelijke aanvallen.”

Bedrijfsleven

Als er een crisis is, werkt het NCSC non-stop door en wisselen de teams elkaar af. De werkdagen zijn dan lang. Jonk: „Je komt ’s ochtends voor achten het kantoor binnen en loopt ’s avonds na tien uur weer naar buiten.” Hij vertelt over een andere noodsituatie, waarbij hij en Henrichs afwisselend voorzitter van het crisisteam waren. „Er zat een ontwikkelfout in een stukje software, waardoor er een deur werd opengezet voor criminelen. Maar allerlei organisaties hadden die software weer als bouwsteen gebruikt voor hun eigen systemen, dus het was een flinke logistieke operatie om te ontdekken wie er allemaal gebruik van had gemaakt.”

„Per jaar zorgen hackaanvallen en softwareproblemen voor miljarden euro’s aan schade” - Martijn Jonk, teamleider bestuurlijke ondersteuning bij het NCSC

Per jaar zorgen hackaanvallen en softwareproblemen wereldwijd voor vele miljarden euro’s aan schade, aldus Jonk. Tegelijk wil hij organisaties niet onnodig bang maken, al benadrukt hij ook dat niet iedereen even goed voorbereid is op mogelijke aanvallen. „Al zie je de laatste jaren wel dat bedrijven digitale veiligheid steeds serieuzer oppakken. Naarmate er meer van dit soort aanvallen in het nieuws komen, neemt het bewustzijn op dit gebied ook toe.”

Het Nationaal Cyber Security Centrum werkt nu nog met name voor vitale infrastructuur en de rijksoverheid. Maar in de nieuwe cybersecuritystrategie van het kabinet zetten ze zich vanaf 2026 in voor het hele Nederlandse bedrijfsleven. Een paar onderdelen van het ministerie van Economische Zaken gaan dan ook naar Justitie. Jonk en Henrichs, grappend: „Langzaam nemen we een steeds groter deel van de verdieping in.”