Spionage. Het klinkt als iets uit Hollywood films met lange jassen, gecodeerde berichten en spannende gadgets. Nee, dit is geen realistische weergave van spionage. Het onderwerp komt alleen wel steeds vaker langs in het nieuws naar aanleiding van alle politieke ontwikkelingen in de wereld. Vorige week alleen al werd er een ballon door de Verenigde Staten uit de lucht gehaald, werden er Russische diplomaten uit ons land gezet en maakte de Europese Commissie een verbod op TikTok voor medewerkers bekend. Allemaal uit angst voor spionage door de Russische en Chinese overheid. In deze blog gaan we daarom verder kijken naar spionage in onze wereld.
Er is alleen geen eenduidige definitie van spionage. De AIVD geeft aan dat spionage betekent dat landen op een heimelijke manier informatie proberen te verzamelen die geheim of vertrouwelijk is. Het doel is vaak om de economie, krijgsmacht en diplomatie van het eigen land te versterken. Onder klassieke spionage wordt vaak het delen van staatsgeheimen met buitenlandse overheden verstaan. Echter zijn er veel ontwikkelingen in de maatschappij, waardoor de vormen en inzet van spionage ook veranderen. Volgens MI5, de security service in het Verenigde Koninkrijk, was spionage eerst vooral gericht op politieke en militaire informatie maar nu ook steeds meer op bijvoorbeeld IT, wetenschappelijke onderzoeken en luchtvaart.
Valt dan elk contact met buitenlandse overheden onder spionage? Nee, Nederland wil natuurlijk wel een open samenleving blijven. Veel contact, samenwerken en het uitwisselen van informatie met buitenlandse overheden is daarom niet strafbaar. Er wordt pas van spionage gesproken wanneer het delen van informatie met deze buitenlandse overheden zwaarwegende Nederlandse belangen schaadt, zoals de nationale veiligheid en de veiligheid van personen.
Volgens de AIVD hebben diverse landen in de afgelopen jaren geprobeerd om technische en wetenschappelijk kennis te vergaren in Nederland door middel van spionage. Buitenlandse overheden gebruiken Nederland ook als springplank voor spionage binnen de EU en de NAVO. Landen die zich volgens de AIVD bezighouden met spionage in Nederland zijn China, Rusland, Iran en Turkije. De doelen zijn uiteenlopend. Zo is China bijvoorbeeld vooral gericht op technologische en wetenschappelijke kennis, terwijl Rusland vooral geïnteresseerd is in politieke informatie.
Spionage kan tevens de eerste stap zijn richting sabotage. Het ene land verzameld informatie over vitale processen en infrastructuur van het andere land, waardoor dit vervolgens gesaboteerd kan worden. Denk aan de explosies bij de Nord Stream eind 2022. De gaspijpleidingen die van Rusland naar Duitsland lopen, raakten hiermee zwaar beschadigd. Er wordt nu onderzocht of Rusland achter deze sabotage zit.
Spionage kan zowel fysiek als digitaal voorkomen. Onder fysieke spionage valt spionage via menselijke bronnen. Denk hierbij aan de Russische diplomaten die uit ons land zijn gezet. Maar ook China die via studenten en wetenschappers wetensschappelijke kennis in Nederland proberen te vergaren. Dit heet diasporaspionage.
Digitale spionage valt onder cyberdreigingen. Er wordt dan met digitale middelen gevoelige of vertrouwelijke informatie van een ander land verzameld. In december 2022 heeft de minister van Justitie en Veiligheid een wetsvoorstel neergelegd waarmee digitale spionage beter bestreden kan worden. Digitale spionage is namelijk één van de nieuwe vormen van spionage door de digitale ontwikkelingen.
De Russische diplomaten zijn in dit geval een goed voorbeeld van insider threats. Dit betekent dat er bedreigingen van binnenuit zijn. Insiders kunnen veel schade aanrichten, omdat ze beschikken over interne en gevoelige bedrijfsgegevens en procesinformatie. Er is echter wel een verschil tussen onbewuste en bewuste insider threats. Wanneer iemand onzorgvuldig omgaat met de bedrijfsinformatie of beveiligingsprocedures, kan er onbewust een bedreiging ontstaan. Hieronder bespreken we een voorbeeld van de onbewuste insider threat.
Een voorbeeld van digitale spionage is de spionage via sociale media. Begin deze week hebben wij een nieuwsupdate geplaatst waarin beschreven werd dat de medewerkers van de Europese Commissie geen gebruik mogen maken van TikTok op apparaten waar werk gerelateerde informatie op staat. Er is namelijk de vrees dat het moederbedrijf van TikTok informatie van gebruikers doorspeelt naar de Chinese overheid. De medewerkers vormen onbewust een insider threat, omdat ze niet op de hoogte zijn van de risico’s van het gebruik van TikTok op hun werktelefoon.
Echter kan spionage op sociale media ook via andere manieren plaatsvinden. De AIVD heeft uitgelegd hoe dit in zijn werk gaat. Ten eerste komt er een uitnodiging voor een connectie van een onbekend persoon. De persoon doet zich vaak voor als een consultant of recruiter van een bedrijf of overheidsinstantie. In veel gevallen betreft het een nepprofiel. In de uitnodiging wordt het werkveld of de ervaring van een persoon geprijsd, en dit wordt expliciet als reden gegeven om contact te leggen.
Vervolgens wordt er een vertrouwensband opgebouwd door uitnodigingen om verder te communiceren via bijvoorbeeld e-mail, Whatsapp, Telegram of Skype en uiteindelijk ook een fysiek gesprek. Tijdens dit contact verzoeken deze personen steeds vaker op subtiele wijze om om gevoelige of geheime informatie te delen. Dit kan zijn in ruil voor geld, een lucratieve zakelijke deal of een goede baan in het land.
Vergis je niet. Spionage klinkt inderdaad als een ver-van-mijn-bed-show. Wij zien dan ook nog veel naïviteit bij organisaties. Doordat Nederland een hoogontwikkelde en innovatieve economie heeft, zijn onze bedrijven wel degelijk aantrekkelijk voor andere landen. Tevens is het aantrekkelijk om te richten op bedrijven, en medewerkers van de bedrijven, die hier niet alert op zijn. Het is daarom belangrijk dat ondernemingen dit onderwerp meenemen in hun risicobeleid. Alert zijn op welke mensen je binnenhaalt, mitigeert al veel risico’s. Dit geldt zowel voor medewerkers als voor zakenpartners die ook toegang hebben tot vertrouwelijke informatie, welke belangrijk kan zijn voor vitale processen in Nederland. Een screening is daarom een belangrijk middel om in te zetten bij de personeelsselectie!
Maar, als persoon is het dus ook belangrijk om zelf waakzaam te zijn. Zorg dat je bewust omgaat met vertrouwelijke informatie, weest bewust van welke apps je gebruikt op je werktelefoon en wees alert bij het leggen van online contacten. Of, zoals de AIVD het verwoord, “check voor je connect”.
Een verkenning in pentesten: Het beveiligen van systemen met ethical hacking In een tijdperk waarin…
BKR-registratie biedt inzicht in iemands financiële situatie, zowel positieve als negatieve aspecten. Dit helpt werkgevers…
Verhoog uw security awareness en voorkom nalatigheid bij cybersecurity. Leer de risico's en uw rol…
Het belang van effectieve gesprekstechnieken voor waarheidsvinding in een screening- of rechercheonderzoek en nuttige tips.
Hoe ga je als werkgever om met een sollicitant met een veroordeling? Hoe maak je…