Cyberspace is uitgegroeid tot een geopolitiek strijdtoneel waar staten hun belangen najagen zonder dat er een militair schot hoeft te worden gelost. Nederlandse ministeries, uitvoeringsorganisaties, diplomatieke posten en vitale aanbieders merken dat dagelijks doordat dezelfde infrastructuur die e-mail en beleidsdossiers ondersteunt, eveneens het doelwit vormt van digitale operaties uit Moskou, Beijing, Teheran en Pyongyang. Het AIVD-jaarverslag 2023 beschrijft hoe Nederland gelijktijdig wordt benaderd door meerdere statelijke actoren: Russische diensten volgen onze diplomatieke koers ten aanzien van Oekraïne en NAVO, Chinese inlichtingseenheden proberen hoogwaardige technologieën te bemachtigen, terwijl Iraanse en Noord-Koreaanse groepen oefenen met sabotage en financieel gemotiveerde operaties. Deze actoren beschikken over budgetten die in de honderden miljoenen lopen, werken met gespecialiseerde ontwikkelteams die eigen malwarefamilies bouwen en accepteren doorlooptijden van jaren zolang het operationele doel maar wordt bereikt. Hun doelwitten worden zorgvuldig geselecteerd op basis van concrete inlichtingenbehoeften en sluiten nauw aan op nationale strategieën. Voor de Nederlandse overheid betekent dit dat digitale beveiliging niet langer een IT-inspanning aan de zijlijn is, maar een wezenlijk onderdeel van het nationale veiligheidsbeleid. Alleen door geopolitieke ontwikkelingen te volgen, intelligence te benutten en investeringen te richten op de meest waarschijnlijke bedreigingen kan de overheid weerstand bieden aan tegenstanders die vrijwel onbeperkte middelen combineren met strategische geduldigheid.
Deze whitepaper biedt een coherente analyse van de belangrijkste statelijke cyberdreigingen voor Nederland. We beschrijven welke actoren achter de aanvallen schuilgaan, welke geopolitieke doelen zij nastreven, hoe hun tactieken zich ontwikkelen, en welke defensieve maatregelen op rijksniveau het meeste effect sorteren. Daarmee ondersteunt de analyse zowel CISO’s als strategische beleidsmakers bij het vertalen van inlichtingen naar concrete besluitvorming.
Neem consequent deel aan de besloten dreigingsbriefings van NCSC, AIVD en MIVD en koppel de ontvangen indicatoren direct aan detectieregels en responsprocedures. Een ministerie dat kwartaalbriefings volgt, ontving vroegtijdig waarschuwingen over een APT-campagne die PowerShell-stagers en ongebruikelijke OAuth-app-registraties combineerde. Door binnen 48 uur aangepaste rules in Microsoft Sentinel en Defender toe te passen, werden de eerste aanvalspogingen geblokkeerd terwijl gelijksoortige organisaties zonder deze informatie wel compromitteringen meldden. Intelligence is pas waardevol als het onmiddellijk leidt tot aangepaste monitoring, getrainde analisten en voorbereid bestuur.
Nation-State Threat Actor Landscape: Motivaties en Capabilities
Russische inlichtingendiensten: SVR, GRU en FSB
Het Russische cyberapparaat is verdeeld over meerdere diensten die elkaar versterken en zich ieder richten op specifieke doelstellingen. De SVR richt zich op langdurige inlichtingenoperaties die de buitenlandse politiek van het Kremlin ondersteunen. Groepen als APT29 bouwen onopvallende toegangspunten in diplomatieke netwerken, verzamelen conceptnota’s over NAVO-besluitvorming en volgen hoe Nederlandse ministeries posities innemen ten aanzien van sanctiepakketten. Kenmerkend zijn multi-jaar campagnes waarin dezelfde implant stil en gecontroleerd blijft draaien totdat de inlichtingenbehoefte verandert. De GRU hanteert een agressievere aanpak en combineert spionage met beïnvloedings- en verstoringsoperaties. Zij richten zich op krijgsmacht en defensie-industrie, bemachtigen operationele plannen en zetten waar nodig destructieve malware in, zoals eerder gebeurde met NotPetya. De FSB opereert veelal binnen Rusland maar legt vanuit Nederland verbindingen naar dissidente gemeenschappen en Russische onderdanen die door de federale overheid worden gevolgd. Wanneer Nederlandse instellingen onderzoek doen naar oligarchische netwerken, kan de FSB juist hen tot doelwit maken om informatie te stelen of bronnen te identificeren.
Chinese MSS en PLA: economische en diplomatieke prioriteiten
China beschikt over een brede constellatie van cyberunits die onder het Ministerie van Staatsveiligheid en het Volksbevrijdingsleger vallen. Zij combineren de schaal van een enorme technische arbeidsmarkt met een geduldige, methodische aanpak. Nederlandse organisaties merken dat zodra een sector strategisch is voor Chinese groeiplannen, de digitale druk toeneemt. De halfgeleiderketen, maritieme innovatie, duurzame landbouw en luchtvaarttechnologie zijn voorbeelden van domeinen waar Chinese operators systematisch researchdata, productiestappen en supply-chaininformatie verzamelen. Universiteiten en publiek-private onderzoeksprogramma’s vormen daardoor kritieke toegangspunten. Daarnaast monitoren Chinese diensten Nederlandse standpunten over Taiwan, mensenrechten en exportcontroles. Soms verlaten ze na een snelle exfiltratie het netwerk, maar bij zeer waardevolle doelwitten houden ze jarenlang verborgen aanwezigheid aan waarbij legitieme accounts en cloudresources worden misbruikt om onder de radar te blijven.
Iran, Noord-Korea en opkomende statelijke spelers
Iraanse cyberoperaties, voornamelijk aangestuurd door de Islamic Revolutionary Guard Corps, combineren spionage met voorbereidingen op sabotage. In de Europese context is men vooral geïnteresseerd in diplomatieke posities tijdens nucleaire onderhandelingen, logistieke bewegingen van defensiepartners en kritieke infrastructuurconfiguraties. Het doel is het opbouwen van drempelcapaciteit: zelfs als sabotage nooit wordt uitgevoerd, fungeert de aanwezigheid als drukmiddel tijdens geopolitieke crises. Noord-Korea kent een afwijkende motivatie en gebruikt offensieve cybercapaciteit om het regime financieel in leven te houden. De Lazarus-groep richt zich op banken, cryptocurrency-uitwisselingen en betalingsverkeer. Nederlandse financiële instellingen en fintechs worden daardoor niet alleen op het gebied van fraude maar ook in het kader van sanctiehandhaving geraakt. Wanneer dergelijke actoren grip krijgen op overdrachtssystemen kunnen zij miljoenen wegsiphonen die uiteindelijk het regime financieren.
Naast deze bekende spelers verschijnen regelmatig nieuwe actoren die zich technologisch snel ontwikkelen. Staten zonder groot eigen cyberleger kopen commerciële spyware, huren private contractors in of wisselen tools uit binnen bondgenootschappen. Voor Nederland betekent dit dat de dreiging niet beperkt blijft tot een paar vaste tegenstanders. Politieke verschuivingen kunnen ertoe leiden dat een land dat tot voor kort partner was, plots gevoelige informatie wil bemachtigen over Europese besluitvorming, energiecontracten of defensiesamenwerking. De Nederlandse overheid heeft daarom een continu bijgewerkte dreigingsbeeldanalyse nodig waarin geopolitieke ontwikkelingen, economische signalen en technologische trends samenkomen. Alleen dan kan worden bepaald waar verhoogde monitoring noodzakelijk is, welke toegangsrechten opnieuw moeten worden beoordeeld en hoe incidentresponsplannen moeten aansluiten op nationale crisisteams. Deze combinatie van intelligence, diplomatieke context en operationele veiligheidsmaatregelen vormt de basis van een proportionele verdediging tegen statelijke tegenstanders en houdt de digitale weerbaarheid in balans met de beleidsvrijheid van de overheid.
Geopolitieke cyberdreigingen verdwijnen niet wanneer een incident is opgelost; ze verschuiven eenvoudigweg naar een ander doelwit of kiezen een subtielere aanvalsvector. Daarom moeten Nederlandse overheidsinstellingen hun weerbaarheid voortdurend afstemmen op actuele geopolitieke spanningen, economische agenda’s en bondgenootschappelijke verantwoordelijkheden. Wie begrijpt waarom een actor juist nu interesse toont in beleidsstukken of logistieke planningen, kan patroonherkenning toepassen op logbestanden, afwijkingen sneller duiden en bestuurders tijdig informeren over mogelijke impact op diplomatieke trajecten. Dat vraagt om structurele samenwerking tussen CISO’s, beleidsteams, inlichtingendiensten en operationele securitycentra.
Verstandige investeringskeuzes zijn gebaseerd op differentiatie: de zwaarte van beveiligingsmaatregelen volgt uit de aantrekkelijkheid van het doelwit voor specifieke statelijke actoren. Ministeries met internationale portefeuilles of ketens van defensieopdrachten vereisen aanvullende isolatie van administratieve omgevingen, gecontroleerde beheerderswerkplekken en doorlopende validatie van identiteiten. Lokale overheden of uitvoeringsorganisaties hoeven die zware maatregelen mogelijk niet overal te implementeren, maar doen er wel goed aan om monitoring en logging te centraliseren zodat snel kan worden opgeschaald wanneer dreigingsniveaus stijgen. In alle gevallen geldt dat toegang tot AIVD-, MIVD- en NCSC-rapportages de enige manier is om eerder kennis te nemen van nieuwe tactieken dan de aanvaller ze toepast.
Na elk geopolitiek incident volgt een golf van digitale probes. Organisaties die vooraf incidentresponsplannen hebben afgestemd met nationale autoriteiten, weten wie er gecontacteerd wordt, welke informatie gedeeld mag worden en hoe beslissingen over openbaarmaking verlopen. Voeg daar aan toe dat bestuurders trainingen volgen in het interpreteren van geopolitieke cyberinformatie en je krijgt een bestuurslaag die sneller besluitvaardig optreedt. Zo wordt cybersecurity onderdeel van de diplomatieke en bestuurlijke gereedschapskist. Uiteindelijk draait het om het creëren van een adaptieve verdediging: realistische dreigingsinschatting, prioritering van kroonjuwelen, nauwe samenwerking met inlichtingendiensten en een SOC dat klaar is om signalen uit de geopolitieke context direct om te zetten in detectie- en responsacties.