We zullen vaker te maken krijgen DDoS-aanvallen die bedoeld zijn om te ontregelen en daar soms in slagen. Toch is er geen reden tot ongerustheid, maar dan moeten we wel meer inzetten op een collectieve aanpak.
DDoS-aanvallen vormen een steeds grotere dreiging. Alleen al in 2025 hebben we aanvallen gezien die het hoger onderwijs en andere digitale infrastructuur troffen, websites van provincies en gemeenten platlegden en DigID ontregelden. Om weerbaar te blijven, moeten we dit probleem anders gaan benaderen.
Wapenwedloop in een hybride strijd
DDoS-aanvallen zijn onderdeel van een nieuw normaal dat gekenmerkt wordt door een hybride strijd tussen verschillende geopolitieke machtsblokken. Zij worden nu strategisch ingezet om vrije, democratische samenlevingen in Europa te ontregelen. Niet voor niets trok de MIVD hierover recent aan de bel in hun publieke jaarverslag.
Daarmee is overigens niet gezegd dat recente aanvallen ook allemaal die intentie hadden. Van sommige aanvallen is dit bekend, van andere niet. Maar we weten wel dat de motieven van aanvallers vaak gelegen zijn in vergelding en de disruptieve werking van aanvallen en dat zij die motieven zelf vaak verbinden aan ontwikkelingen op het geopolitieke toneel. Daarmee zijn DDoS-aanvallen al lang geen ‘kattenkwaad’ of ‘digitaal vandalisme’ meer, maar onderdeel van een bredere, mondiale strijd.
DDoS en de beschermingsmaatregelen die worden genomen, hebben daarnaast de dynamiek van een klassieke wapenwedloop. Verdediging die vandaag afdoende is, kan morgen worden doorbroken. Door deze dynamiek is het nagenoeg onmogelijk om 100% bescherming te realiseren. En is het een grote opgave om bij te blijven qua kennis en techniek om dit soort aanvallen af te kunnen slaan.
Afhankelijkheid
Het steekt daarbij dat we ons in Europa voor een belangrijk deel afhankelijk hebben gemaakt van DDoS-bescherming van niet-Europese makelij. Want ook op dit gebied is het, net zoals voor veel andere online diensten, slechts een handvol voornamelijk Amerikaanse bedrijven die vrijwel de gehele markt in handen hebben. Als we vinden dat de overheid zich kwetsbaar heeft gemaakt door gevoelige data bij Amerikaanse cloudaanbieders onder te brengen, dan moeten we ook ons afvragen of we onze weerbaarheid tegen cyberaanvallen zoals DDoS niet anders moeten organiseren.
Europese landen hebben er immers alle belang bij om zelf hun digitale weerbaarheid te regelen. Met eigen kennis, technologie en op eigen bodem. Dit is van groot belang voor de digitale soevereiniteit en strategische autonomie van Europa en dus ook Nederland.
Het ligt daarom voor de hand om veel meer de samenwerking op te zoeken, binnen Nederland, én binnen Europa. Dat gebeurt in Nederland al in de anti-DDoS-coalitie, waarin overheid en kritieke sectoren samenwerken aan hun weerbaarheid tegen DDoS-aanvallen. Daar is bijvoorbeeld een methodiek ontwikkeld om kenmerken van aanvallen uit te wisselen via een zogenaamd Clearing House, waardoor aanvallen beter herkend en afgeslagen kunnen worden door organisaties die toegang hebben tot dit Clearing House.
In Europa wordt daarnaast in het kader van het miljardenprogramma Important Projects of Common European Interest – Cloud Infrastructure and Services (IPCEI-CIS), gewerkt aan digitale weerbaarheid (security by design) op die plekken waar het er het meest toe doet, namelijk in de digitale infrastructuur van morgen aan de geografische grenzen van Europa.
Maar hoewel nuttig en belangrijk, zij beide voorbeelden geen oplossing voor de uitdagingen waar we nu voor staan. Daarvoor is eerst iets anders nodig.
Omslag in denken
We moeten realistisch zijn: zolang veel organisaties hun weerbaarheid tegen DDoS-aanvallen individueel (moeten) organiseren, blijven we als samenleving kwetsbaar. Hier is dan ook een omslag in denken noodzakelijk. We zijn te lang blijven steken in een paradigma waarin individuele verantwoordelijkheid voor digitale weerbaarheid van organisaties de boventoon voert. De nieuwe Cyberbeveiligingswet sorteert voor op een andere manier van denken, maar alleen voor een beperkte groep organisaties. We zullen deze problematiek daarom moeten benaderen vanuit een collectieve verantwoordelijkheid. Commerciële belangen zijn daarbij ondergeschikt aan het bredere, maatschappelijke belang: stabiliteit door de beschikbaarheid van (kritieke) online diensten. En, niet onbelangrijk, het maken van een vuist tegen diegenen die onze samenlevingen en manier van leven proberen te ontregelen. Daar moeten we niet naïef over zijn.
Door krachten te bundelen in initiatieven die onze collectieve weerbaarheid te vergroten, zorgen we dat individuele organisaties overeind blijven. We moeten in Nederlands en Europees verband zelf kennis ontwikkelen, uitwisselen en zelf onze weerbaarheid organiseren, zonder afhankelijkheden buiten onze eigen, Europese sfeer. Dat kan alleen als we anders over DDoS gaan denken en ons verder gezamenlijk organiseren. Het nieuwe normaal hoeft zo geen bedreiging te zijn, maar een belangrijke stap naar een digitaal soeverein en -weerbaar Nederland en Europa.
Octavia de Weerdt is directeur van stichting NBIP en voorzitter van de nationale anti-DDoS-coalitie. Dit artikel verscheen op 3 mei 2025 in ingekorte vorm bij NRC.
