Patricia Zorko is sinds kort de directeur Cyber Security van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en plaatsvervangend NCTV. Security.NL interviewde haar over de digitale dreigingen waar Nederland mee te maken heeft en op welke vlakken er verbeteringen nodig zijn. Zorko was eerder politiechef van de Landelijke Eenheid en nam de functie directeur Cyber Security in november over van Wilma van Dijk.

Wat is de rol van de Nationaal Coördinator Terrorismebestrijding en Veiligheid op het gebied van cybersecurity en cyberdreigingen?

Zorko: de NCTV is verantwoordelijk voor de overheidsreactie op maatschappelijk ontwrichtende dreigingen. We zorgen ervoor dat we klaar zijn als er iets gebeurt en als er niets aan de hand is zijn we vooral bezig om iedereen weerbaar te maken en dat doen we ook op cybergebied.

Als je naar de rol van het Nationaal Cyber Security Centrum binnen de NCTV kijkt zijn we 24/7 bezig met het monitoren van kwetsbaarheden en zijn we bezig om ervoor te zorgen dat zoveel mogelijk kennis die wij en anderen hebben wordt gedeeld. Daar waar nodig helpen we met oplossen. Wat we ook nog doen is adviseren als er nieuw beleid of wetgeving moet worden gemaakt.

Wat ziet u als grootste cyberdreiging voor Nederland?

Zorko: dat is nog altijd cybercrime en cyberspionage. Als je specifiek naar cybercrime kijkt dan is vooral ransomware een opvallende trend. Bij digitale spionage lijkt het vooral gericht te zijn op het stelen van intellectuele eigendommen.

Hoe staat het met de cyberweerbaarheid van Nederland ten opzichte van andere landen?

Zorko: ik zou wel willen zeggen dat we in de voorhoede zitten. Maar we moeten opletten dat we dat ook blijven. Je ziet landen investeren en dat moet ook. Iedereen moet meer volwassen op cybergebied worden. Voorlopig vind ik dat we goed op weg zijn, ook in vergelijking met andere landen.

We hebben bijvoorbeeld het responsible disclosure-beleid dat we ook uitdragen. Op een aantal punten hebben wij ook dan een vrij unieke positie in samenwerking met hackers, maar ook publiek-private samenwerking dat je in heel veel landen door allerlei redenen niet ziet.

Is de relatie met hackers door de jaren heen verbeterd?

Zorko: zeker. We hebben daar ook hele goede beleidsafspraken over, ook vanuit het Openbaar Ministerie.

Heeft u sinds u de directeur Cyber Security bent uw eigen computer- en internetgedrag aangepast omdat u bijvoorbeeld nieuwe zaken heeft geleerd of meegekregen?

Zorko: ik patchte altijd al goed. Bij de politie werd je anders gewoon afgesloten. Privé deed ik dat ook al. En ik let wat meer op wanneer ik wifi gebruik. Dat zet ik niet zomaar aan. Je wordt er wel bewuster van wat er allemaal speelt. We zijn nu thuis met domotica bezig. Maar dan vraag ik me wel af hoe het werkt en of het veilig kan worden gebruikt.

Is het niet lastig om met een beleidsachtergrond in een technische omgeving te werken?

Zorko: dat vind ik juist leuk. In dat opzicht gaat het er juist om om dat bij elkaar te brengen. Uiteindelijk moet het in de technische community kunnen landen, maar ook bij anderen. Cybersecurity moet uiteindelijk mainstream worden. Het is één ding om kennis over een onderwerp te hebben, maar het is een tweede om het bij de juiste mensen voor het voetlicht te brengen. Ik hoorde laatst van een collega dat security awareness steeds meer tussen de oren komt, maar we zijn er nog lang niet.

Is het dan niet verrassend dat uit onderzoek van Ipsos, in opdracht van het ministerie, blijkt dat de helft van de Nederlanders zich zorgen over een cyberaanval maakt?

Zorko: dat is gigantisch. Ik vind dat bijzonder, omdat het niet helemaal overeenkomt met wat ik zie aan awareness. Het gaat mij niet om mensen bang te maken, maar het omzetten in actie.

Verschillende opsporingsdiensten zoals de FBI en Europol hebben zich over end-to-end- encryptie uitgesproken en stellen dat het de bestrijding van cybercrime bemoeilijkt. Hoe ziet u dit?

Zorko: het is natuurlijk altijd een dilemma maar al met al hebben wij gezegd dat het meer kwaad dan goed doet als je daar aan gaat rommelen. We hebben end-to-end- encryptie nodig. Het is misschien wat anders als je het over een individueel geval hebt, maar dan is het meer achteraf.

Als ik naar de San Bernardino-zaak kijk dan zou het misschien een andere vraag zijn geweest als je Apple vraagt om te helpen met een telefoon die daar is aangetroffen en waarvan de eigenaar niet meer leeft. Dat is een ander soort vraag dan 'geef mij de sleutel om alle telefoons te openen'. We zijn dan ook heel blij met het kabinetsstandpunt over encryptie.

We snappen dat het een fragiel evenwicht is. Je moet altijd rekening houden met de balans tussen vrijheid en veiligheid. Maar ook veiligheid heeft die twee kanten. Als de één erbij kan, kan mogelijk een kwaadwillende er ook bij.

Heeft u afsluitend nog een boodschap voor de lezers van Security.NL?

Zorko: dat we iedereen die al securitybewust is nodig hebben om anderen daarin scherp te krijgen. Dat moet niet alleen vanuit de overheid komen, maar ik wil ook een oproep doen aan de securitygemeenschap om daar echt aan mee te doen.