Joint Sigint Cyber Unit (JSCU)

De Joint Sigint Cyber Unit (JSCU) is een gezamenlijke eenheid van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD). De JSCU is in 2014 operationeel geworden en combineert de signals intelligence (sigint) en cybercapaciteiten van beide diensten in een geintegreerde organisatie. Met ongeveer 350 medewerkers vormt de JSCU het technische hart van de Nederlandse inlichtingengemeenschap op het gebied van cyber en sigint. Het hoofdkwartier bevindt zich in het AIVD-gebouw in Zoetermeer, met aanvullende divisies bij de MIVD in Den Haag.

Wat doet de JSCU?

De JSCU heeft twee hoofdtaken. De eerste is signals intelligence: het onderscheppen en verwerken van inlichtingen uit telecommunicatie. De tweede is cyber intelligence: het vergaren van inlichtingen en het waarborgen van veiligheid met betrekking tot computernetwerken. In de praktijk betekent dit dat de JSCU verantwoordelijk is voor het onderscheppen van satellietverkeer, het analyseren van radiocommunicatie en het uitvoeren van cyberoperaties ten behoeve van de nationale veiligheid.

De eenheid beheert twee interceptiestations die eerder onder de Nationale Sigint Organisatie (NSO) vielen. Het station in Burum onderschept satellietverkeer, terwijl het station in Eibergen zich richt op hoogfrequent radioverkeer. Daarnaast voert de JSCU offensieve en defensieve cyberoperaties uit. Bij offensieve operaties gaat het om het binnendringen van netwerken van buitenlandse dreigingsactoren om inlichtingen te vergaren. Bij defensieve operaties draagt de JSCU bij aan de bescherming van Nederlandse overheidsnetwerken en vitale infrastructuur.

De JSCU speelt ook een rol in het delen van dreigingsinformatie met het NCSC en andere partners. Wanneer de JSCU dreigingen detecteert die gericht zijn op Nederlandse organisaties, worden deze via geeigende kanalen gedeeld zodat betrokken partijen maatregelen kunnen nemen. Dit maakt de JSCU een cruciale schakel in het Nederlandse cybersecurity-ecosysteem.

Wanneer heb je met de JSCU te maken?

De meeste organisaties hebben geen directe interactie met de JSCU. De eenheid opereert op het niveau van nationale veiligheid en richt zich op statelijke dreigingen, terrorisme en spionage. Je komt indirect met de JSCU in aanraking wanneer dreigingsinformatie die door de JSCU is verzameld via het NCSC of sectorale informatieknooppunten bij jouw organisatie terechtkomt.

Organisaties die deel uitmaken van de vitale infrastructuur, zoals energiebedrijven, telecombedrijven en financiele instellingen, hebben een grotere kans om te profiteren van JSCU-inlichtingen. De JSCU identificeert gerichte aanvallen van buitenlandse actoren op Nederlandse vitale infrastructuur en waarschuwt betrokken organisaties via het NCSC. In het kader van NIS2 wordt deze informatie-uitwisseling verder geformaliseerd.

De JSCU is ook actief op het gebied van attributie: het toeschrijven van cyberaanvallen aan specifieke statelijke actoren. Nederland heeft meerdere keren publiekelijk attributies uitgesproken, waarbij de JSCU een centrale rol speelde in het technische onderzoek. Deze attributies dragen bij aan de internationale normsetting in cyberspace en versterken de afschrikkingswerking richting kwaadwillende staten.

Wat kost de JSCU?

De JSCU wordt gefinancierd uit de begrotingen van de AIVD en MIVD. Exacte budgetcijfers voor de JSCU als aparte eenheid worden niet gepubliceerd vanwege de geheime aard van de werkzaamheden. Het totale budget van de AIVD en MIVD samen bedraagt jaarlijks enkele honderden miljoenen euro's, waarvan een substantieel deel naar de technische capaciteiten van de JSCU gaat.

Voor de Nederlandse samenleving levert de JSCU waarde door vroegtijdige detectie van cyberdreigingen, bescherming van staatsgeheimen en bijdragen aan internationale cyberveiligheid. De investering in sigint- en cybercapaciteiten is de afgelopen jaren significant toegenomen, mede door het groeiende dreigingslandschap van statelijke actoren als Rusland en China. De JSCU heeft zich internationaal geprofileerd door onder andere de publicatie van malware-indicatoren en detectieregels op GitHub, waarmee de bredere cybersecurity-gemeenschap wordt geholpen om dreigingen sneller te identificeren.

De oprichting van de JSCU in 2014 was het resultaat van Project Symbolon, een reorganisatie die de versnipperde sigint- en cybercapaciteiten van de AIVD en MIVD samenbracht. Voorheen werkten beide diensten los van elkaar aan vergelijkbare taken, wat leidde tot duplicatie en inefficientie. Door de krachten te bundelen in de JSCU is een slagvaardiger en effectievere organisatie ontstaan die beter kan inspelen op het snel veranderende digitale dreigingslandschap. De JSCU werkt nauw samen met buitenlandse partnerdiensten, waaronder de NSA (Verenigde Staten), GCHQ (Verenigd Koninkrijk) en de BND (Duitsland), in het kader van inlichtingenallianties en gezamenlijke cyber threat intelligence-operaties.

De relatie tussen de JSCU en de private sector verdient aandacht. Hoewel de JSCU primair een inlichtingeneenheid is, komen de resultaten van het werk indirect ten goede aan het bedrijfsleven. Dreigingsinformatie over statelijke cyberaanvallen wordt via het NCSC gedeeld met vitale aanbieders en via het Digital Trust Center (DTC) met het bredere bedrijfsleven. Dit informatiemodel zorgt ervoor dat geheime bronnen worden beschermd terwijl bruikbare dreigingsindicatoren toch beschikbaar komen voor organisaties die zich moeten verdedigen.

De JSCU opereert binnen een strikt juridisch kader. De Wet op de inlichtingen- en veiligheidsdiensten (Wiv 2017), ook wel de "sleepwet" genoemd, regelt de bevoegdheden van de AIVD en MIVD en daarmee ook die van de JSCU. De wet bepaalt onder welke voorwaarden communicatie mag worden onderschept, systemen mogen worden gehackt en andere bijzondere bevoegdheden mogen worden ingezet. De Toetsingscommissie Inzet Bevoegdheden (TIB) toetst vooraf of de voorgenomen inzet van bevoegdheden rechtmatig, proportioneel en subsidiair is. De Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) houdt achteraf toezicht op de werkzaamheden.

In de afgelopen jaren heeft de JSCU zich internationaal onderscheiden door actieve bijdragen aan het publieke cybersecurity-domein. Naast de publicaties op GitHub heeft de eenheid bijgedragen aan de attributie van cyberaanvallen door statelijke actoren, waaronder de GRU-operatie tegen de OPCW in Den Haag in 2018. Deze publieke attributies zijn onderdeel van een bredere Nederlandse strategie om normen in cyberspace te bevorderen en kwaadwillende actoren af te schrikken.

De JSCU werft actief technisch talent en biedt carrieremogelijkheden voor cybersecurity-specialisten die willen bijdragen aan de nationale veiligheid in een uitdagende en dynamische werkomgeving.

Veelgestelde vragen over de JSCU

Wat is het verschil tussen de JSCU en het NCSC?

De JSCU is een inlichtingeneenheid die offensief en defensief opereert in cyberspace. Het NCSC is het nationale cybersecurity-centrum dat organisaties informeert en adviseert over dreigingen. De JSCU levert inlichtingen, het NCSC vertaalt deze naar bruikbare adviezen voor organisaties.

Kan ik als bedrijf contact opnemen met de JSCU?

De JSCU is geen publiekelijk benaderbare organisatie. Voor cybersecurity-advies en dreigingsinformatie neem je contact op met het NCSC of je sectorale CERT. De JSCU deelt dreigingsinformatie via deze kanalen met relevante organisaties.

Welke bevoegdheden heeft de JSCU?

De JSCU opereert onder de Wet op de inlichtingen- en veiligheidsdiensten (Wiv 2017). Deze wet regelt de bevoegdheden voor het onderscheppen van communicatie, hacken en het inzetten van agenten. De Toetsingscommissie Inzet Bevoegdheden (TIB) toetst vooraf of de inzet rechtmatig is.

Wat publiceert de JSCU op GitHub?

De JSCU publiceert malware-indicatoren, YARA-detectieregels en technische analyses van cyberdreigingen op GitHub. Deze publicaties helpen security teams wereldwijd om dreigingen sneller te detecteren en zijn vrij beschikbaar voor gebruik.

Wil je je cyberweerbaarheid versterken? Vergelijk Security Monitoring oplossingen op IBgidsNL.