Op 20 februari jl. kwamen experts bij elkaar om te praten over cyberdiplomatie en hoe wij de balans tussen vrijheid en veiligheid kunnen behouden. De bijeenkomst werd georganiseerd door het Nederlandse Internet Governance Forum (NL IGF), een platform waarin zonder beslissingen informatie en kennis wordt uitgewisseld over beleidsproblemen die verband houden met cruciale delen van het internetbeleid. Meer dan 100 NL IGF-stakeholders hebben deelgenomen aan de bijeenkomst.
Dennis Broeders (Universiteit Leiden) trapte de dag af met een college over het nut van cybernormen. Hij legde uit dat cybernormen vastgelegde afspraken/normen tussen landen zijn, die niet bindend zijn aan statelijke actoren op het internet. Deze normen vallen onder het internationale recht, maar zitten een niveau lager dan de afspraken in internationale wetgeving. Internationale wetgeving gaat volgens Broeders dan ook een stap te ver. Het toepassen van internationaal recht op het internet blijkt in de praktijk tevens moeilijk toepasbaar te zijn. Daarnaast zijn landen het vaak niet met elkaar eens. Nu is er vaak sprake van “wij”, de westerse like minded-landen, en “zij”, de andere landen. Aangezien het om een zeer complex governance ecosysteem gaat is de introductie van (politieke) cybernormen dan ook een goede methode om op een andere manier stappen te zetten naar enigszins sturing. Hij voegt hieraan toe dat er al heel wat geregeld is, maar in de afgelopen jaren de cyberintensiteit toe neemt.
Geen oorlog, maar ook geen vrede
Veel mensen praten over een cyberoorlog, maar volgens hem is dat onjuist. “Er is geen oorlog, maar ook geen vrede”, aldus Broeders. “Wij weten niet wat wij ervan moeten maken. Steeds meer verplaatst zich naar de online omgeving en het is in ieder geval schadelijk, maar de impact is niet groot genoeg om het oorlog te noemen”. De definitie uit het oorlogsverdrag komt dan ook niet overeen met de schade die er nu te zien is. Daarnaast is er de vraag wanneer het legitiem is om militair te reageren op het internet. “Mensen zitten niet te wachten op staten die een stap verder zetten, wij beschouwen dit als een aanval op onze soevereiniteit,” aldus Broeders. In totaal bestaan er nu 11 cybernormen, die soms gekoppeld zijn aan internationale wetgeving.
Ironisch genoeg is het proces rondom het maken van afspraken begonnen met een door Rusland gesteunde resolutie die in 1998 door de VN werd aangenomen. Hieruit is de UN GGE (Group of Governmental Experts) opgestart, die tot doel heeft om de veiligheid of globale ICT-systemen te sterken. Met het indienen van de resolutie wilde Rusland grip hebben op hun informatiesystemen. Rusland is het meest bang voor dat waar zij het beste in zijn. In de tussentijd is er ook een resolutie aangenomen afkomstig van de VS, waardoor er nu min of meer twee dezelfde processen aan het lopen zijn. In tegenstelling tot de GGE is de resolutie van de VS een Open Ended Working Group (OEWG). De vraag is dan ook hoe de twee processen zich tot elkaar verhouden? Het UN GGE proces is in elk geval breder dan de OWEG.
Broeders concludeerde dat uiteindelijk de belangrijkste bron van normen het statelijke gedrag zelf is. Staten bepalen hoe het zich verder ontwikkelt. Grote landen hebben meer voordelen als het gedrag op het internet niet volledig dicht geregeld wordt. En kleinere landen hebben meer behoefte aan regulering. Nederland zit precies midden in, in een grijs gebied.
Belang van cyberdiplomatie
Timo Koster (ambassadeur voor Veiligheidsbeleid & Cyber) ging in zijn speech in op de kansen en bedreigingen en waarom cyberdiplomatie voor Nederland zo belangrijk is. Hij legde uit dat aan de ene kant door de opkomst van het internet landen zich sneller ontwikkelen dan vroeger, en het internet soms zelf een katalysator is van democratie zoals bijvoorbeeld bij de zogenaamde Arabische lente. Aan de andere kant zijn er echter ook bedreigingen. Het internet wordt door regimes gebruikt om af te sluiten, het verkeerde nieuws te brengen, om elkaar te hacken, te bestelen of voor andere soorten criminaliteit en terrorisme. De vier grote bad guys zijn volgens Koster Rusland (wil invloedsfeer consolideren), China (wil voordelen voor eigen industrie), Iran (belangrijke verstorende en vernielende functie) en Noord-Korea (banken beroven en geld verdienen). Voor Nederland is het om een aantal redenen van belang om zich in te zetten omtrent cybernorms:
- We hebben een open economie en maken gebruik van internet.
- We zitten qua infrastructuur op een knooppunt van de wereld, dus goede structuur van belang, aantrekkelijke plek om illegale activiteiten te ondernemen door onze goede infrastructuur.
- We zijn toevallig 1 van de eerste landen die een grote internetaanval voor onze kiezen hebben gekregen, denk aan DigiNota.
Volgens Koster kunnen wij de pakkans vergroten door beter vast te stellen waar een aanval vandaan komt en wie de actor is. Vervolgens heb je een aantal opties: het sanctieregime van de Europese Unie of naming and shaming. Koster berichtte tijdens de bijeenkomst over een aanval van Rusland op Georgië, waarbij net voor de bijeenkomst een aantal landen gezamenlijk erover hebben gecommuniceerd dat Rusland de aanval heeft uitgevoerd. Meer informatie hierover vindt u hier.
Een andere optie is om de landen te versterken zodat zij zich beter kunnen verdedigen. Het Gobal Forum on Cyber Expertise is hiervan een goed voorbeeld. Dit is een verzameling van 100 bedrijven uit verschillende landen die samen zwakkere landen helpen met hun cybersecurity. Koster benadrukte dat de capaciteitsopbouw ongelofelijk belangrijk is, aangezien landen het op het juridische gedeelte nog duidelijk oneens zijn. “Dat maakt het soms lastig, het internet is per definitie een multistakeholder. Het is niet van de overheid, alles moet samen,” aldus Koster.
Intensievere samenwerking
Aan het einde van de bijeenkomst vond een debat plaats waarbij ook Kees Verhoeven (Tweede Kamerlid D66) en Frank Groenewegen (Fox-IT) aanschoven. Tijdens de discussie werd duidelijk dat niemand het overzicht heeft, maar iedereen een stukje van het de puzzel. Koster gaf aan dat wij hierin beter moeten worden. Daaraan voegt Groenewegen toe dat digitaal vaak niet duidelijk is wie wie is en dat het daarom al moeilijk is om te beoordelen wie er in control moet zijn. Versplintering bij de overheid zorgt ervoor dat dit zo blijft. Het is dan vaak ook niet duidelijk welke informatie preventief met wie gedeeld mag worden. Intensievere samenwerking is hiervoor nodig en ook wenselijk. In Engeland is dit veel centraler en structureler geregeld, maar volgens Kees Verhoeven kan deze structuur niet in Nederland functioneren. Nederland kent gewoon een decentrale structuur en een andere veiligheidsstructuur volgens Tweede Kamerlid Kees Verhoeven.
Intensievere samenwerking, preventief meer informatie uitwisselen om voorbereid te zijn op een aanval en van elkaar te leren én duidelijke verantwoordelijkheden is dan ook de uitsmijter van de bijeenkomst.
