Niemand is de baas op internet, maar er moeten wel regels nageleefd en individuele rechten beschermd worden. Hoe kunnen we zorgen voor een veilig internet? Op 25 mei jongstleden stonden twee modellen lijnrecht tegenover elkaar in het Publieke Debat Internet Governance: controleren of vertrouwen? in Sociëteit De Witte te Den Haag.
Het model van een Europese Cyber Security Autoriteit is gebaseerd op de gedachte dat er niet alleen een centrale digitale brandweer, maar ook digitale politiedienst moet zijn om het internet gezond te houden. Deze dienst zou bij calamiteiten en infecties individuele computers of delen van het internet kunnen afsluiten of in ‘quarantaine zetten’.
Een andere benadering is die van een ‘zelfreinigend internet’, waarbij een community van vrijwilligers dreigingen en kwetsbaarheden systematisch in kaart brengt en monitort. Doordat deelnemers aan het internet inzicht – en last – krijgen van deze kwade elementen, zullen ze ook zelf tegenmaatregelen ontwerpen en uitvoeren.
Beide modellen werden toegelicht, waarna discussie over voor- en nadelen plaatsvond. Om de meningen rond cyber security aan te scherpen stelden we de vraag: welk model prevaleert?
De Cyber Security Roadmap
Voormalig Commandant der Strijdkrachten, Dick Berlijn, schetste het veld: waar schort het internationaal gezien aan op het gebied van cyber security? Hij ging daarbij ook in op hoe dit zou moeten worden aangepakt en baseerde zich op de internationaal door Deloitte ontwikkelde Cyber Security Roadmap.
Allereerst stelde dhr. Berlijn de vraag: wat is cyber security? Volgens hem gaat het om globale netwerkdreigingen die vragen om nationale én economische security.
Volgens Berlijn is er een belangrijke rol weggelegd voor de ‘human factor’ als het gaat om cyber security. Gebrek aan digitale vaardigheden van individuele gebruikers draagt volgens Berlijn niet bij aan afname van de cybercrimedreiging. Een oplossing die technologisch van aard is heeft dan ook geen enkele zin omdat we te maken hebben met menselijk gedrag. Het gebrek aan awareness op grote schaal is dus een securityprobleem.
Als we naar een veilige digitale omgeving willen, wat is dan een veilige digitale omgeving?
Volgens Dick Berlijn zou dit een veilige, betrouwbare, flexibele, elektronisch opererende omgeving zijn waar iedereen online kan leven en werken in vertrouwen en veiligheid. Intellectueel eigendom van bedrijven, universiteiten en andere instituten worden er beschermd. Daarnaast zijn burgers zich bewust van de risico’s van het gebruik van digitale middelen en beveiligen zij hun computers en zorgen ervoor dat hun identiteiten, privacy en financiële zaken online zijn beschermd. Bedrijven gebruiken veilige ICT die de integriteit van hun eigen opereren en de identiteit en privacy van hun klanten beschermd. Ook de overheid verzekert dat hun ICT veilig is.
Volgens dhr. Berlijn vraagt het vraagstuk om internationale coördinatie, over sectoren en geografische gebieden heen. Het behoeft een wereldwijde dialoog. Een logische stap zou dan het opzetten van een mondiale cyberorganisatie zijn. De vraag is dan welk internationaal forum dit op de agenda moet zetten? Berlijn noemt daarbij partijen als de Verenigde Naties en de NAVO.
Daarnaast zouden er op internationaal niveau ook structuren moeten worden opgezet om cyber wetten af te dwingen en er zouden technische standaarden en richtlijnen voor veilige producten moeten worden ontwikkeld en vastgesteld. Op nationaal niveau betekent dit dat de marktprikkels verbeterd moeten worden voor veilige en betrouwbare hardware en software producten.
Dick Berlijn pleit verder voor meer inzicht en overzicht. Cijfers omtrent meldingen van incidenten van cybercrime ontbreken. Deze zouden helpen bij het bepalen van de aanpak.
Berlijn kan het niet vaak genoeg zeggen: er is werk aan de winkel op het gebied van awareness! Zowel op internationaal (bouwen aan commitment), nationaal (Programma voor kinderen, ouderen etc.) en organisatieniveau (werknemers opleiden).
Dick Berlijn besluit met de conclusie dat ook hij geen ‘silver bullet’ heeft om het probleem rond cyber security op te lossen, echter dit zou wel met verschillende stakeholders moeten gebeuren. Volgens hem moeten we verschillende niveaus (internationaal, nationaal, organisatie en individueel) in actie krijgen en dit dan beschouwen als een ‘zilveren schot hagel’.
De Europese Cyber Security Autoriteit
Ton van Gessel, Chief Security Advisor Microsoft, gaf zijn visie op het model van een Europese Cyber Security Autoriteit.
Volgens Van Gessel moeten we niet alleen focussen op Europa maar ook in Nederland afspraken maken. Van Gessel pleit voor regelgeving die nodig is binnen onze huidige maatschappij. “De ongekende technologische mogelijkheden, steeds grotere verruiming van de informatiemaatschappij en een aanmerkelijk grotere honger naar informatie dwingt ons tot het scheppen van kaders hoe we om dienen te gaan met bedreigingen die we niet in regelgeving kunnen vatten. We moeten eerst op nationaal niveau opereren, zoals het veiligstellen van de kritische infrastructuur”, aldus Van Gessel.
Volgens Van Gessel heeft het NCTB al het merendeel van wat een cybersecurityautoriteit moet hebben als mandaat in huis. We dienen alleen het mandaat met betrekking tot cyber security uit te breiden dan wel aan te passen.
Van Gessel doet nog wel een aantal aanbevelingen voor wat toegevoegd zou kunnen worden:
Sandboxing, preventief onderzoek verruimen, betrekken van buitengewone opsporingsambtenaren, Juridische en Bestuurlijk (beter) verankeren, Forensisch Research meenemen als bron.
Het zelfreinigend internet
Aart Jochem, GOVCERT, lichtte zijn antwoord op cyber security toe, het zelfreinigend internet.
De visie van Aart Jochem is gebaseerd op het nemen van verantwoordelijkheid. Veilig internet is immers van belang voor economie en samenleving, zowel voor Nederland als wereldwijd. Het gaat om een open en vrij internet waarbij overheid, bedrijfsleven, ISPs en consumenten een gedeelde verantwoordelijkheid hebben. Om het internet schoon te houden dienen alle gebruikers het belang ervan in te zien. Volgens Jochem wordt dat ook ingezien, ook door de ISPs. Het veilig houden van internet is niet iets dat je koopt of een keer opzet, dat is dagelijks werk van veel partijen in een min of meer geoliede machine. Nu al zijn de contouren van een zelfreinigend internet te herkennen: het automatisch detecteren van malware en aanvallen, het distribueren naar de partij die het best het probleem kan oplossen, het automatisch genereren van een oplossing. Meer coördinatie van meldingen rond incidenten als gevolg van criminaliteit mag er van Aart Jochem wel komen.
De visie achter het zelfreinigend internet is dat over 5 jaar 80% van de veiligheidsincidenten, die dan tot de achtergrondruis van internet behoren, automatisch opgelost kunnen worden. Voor de moeilijke 20% zijn knappe ‘white hats’ nodig.
Europees perspectief
But Klaasen, Ministerie van Veiligheid en Justitie, schetste kort het huidige Europese klimaat rondom de Europese Cyber Security Autoriteit. Onder andere Estland, Italië, Ierland, Oostenrijk zouden voor een dergelijke autoriteit zijn. Maar het merendeel is tegen de oprichting van een nieuw instituut met vergaande bevoegdheden.
Wel zijn alle landen het erover eens dat er IETS moet gebeuren: maar de manier waarop is punt van discussie. Een aparte autoriteit gaat voor velen te ver, men voelt meer voor aansluiting bij bestaande initiatieven.
Paneldiscussie: Een Autoriteit zonder Autoriteit
Naast de drie sprekers namen deel aan de paneldiscussie:
Coşkun Çörüz, Tweede Kamerlid CDA o.a. lid van commissie Veiligheid en Justitie
Margreth Verhulst, public & regulatory affairs XS4all
Jan-Jaap Oerlemans, promovendus bij eLaw@Leiden, Centrum voor Recht in de Informatiemaatschappij, Universiteit Leiden en juridisch adviseur Fox-IT
Volgens Margreth Verhulst is het delen van informatie rondom incidenten als gevolg criminaliteit goed. Zij voelt dan ook wat voor een overkoepelende organisatie die het overzicht bewaakt. In de huidige situatie zijn er vele verschillende (goede) initiatieven maar een coördinatie ontbreekt. Wel vraagt zij zich af hoe deze autoriteit zich verhoudt tot de op handen zijnde Nationale Cyber Security Strategie en of deze zich alleen gaat bezig houden met de technische veiligheid van internet of ook met de bestrijding van bijvoorbeeld kinderporno, piraterij, discriminatie, terrorisme, etc. Een overkoepelende autoriteit op het gebied van technische veiligheid kan wenselijk zijn en ook werkbaar, aldus Verhulst. Een autoriteit die alle problemen op internet moet gaan oplossen is dat wat haar betreft niet.
But Klaasen haakt daar opin door te vertellen dat de raad van de Nationale Cyber Security Strategie zich buigt over zowel de technische als maatschappelijke aspecten van cybercrime en deze gaat coördineren.
Volgens Coşkun Çörüz vraagt dit onderwerp om internationale dimensie, toch is hij wat huiverig voor een autoriteit. Een integrale aanpak is belangrijk, zegt hij. Çörüz pleit dan ook voor een interdepartementale aanpak. Het is niet een kwestie van alleen burgers en bedrijfsleven. Hij voelt het als zijn politieke verantwoordelijkheid om de interdepartementale samenwerking te bewerkstelligen.
Jan-Jaap Oerlemans zegt dat men goed in overweging moet nemen of het wel noodzakelijk is om een wet aan te passen of dat het ook op een andere manier kan worden opgelost. De wet loopt namelijk altijd achter en de aanpassing kost vaak veel werk en tijd. Oerlemans pleit ervoor om gebruik te maken van de riemen die we hebben, dus geen overkoepelende internationale autoriteit. Cybercrime moet nationaal worden aangepakt door KLPD en politie, vindt hij. Elk land heeft eigen straf- en regelgeving en dit is niet te harmoniseren. Een autoriteit over de (Europese) landen heen is volgens Oerlemans dus niet werkbaar. Er bestaat nu een Europees cybercrimeverdrag maar dat gaat niet ver genoeg, vindt hij, vanwege de vele concessies die gemaakt zijn bij de totstandkoming.
Ook volgens Dick Berlijn hoeft er geen absolute autoriteit te komen, “als het zichzelf laat regelen moeten we dat vooral zo laten”. Hoe kunnen we nu meters maken? Hij pleit voor het definiëren van ‘rules of the road’ op mondiaal niveau. Wie doet wat? En wat wel en wat niet? Er is behoefte aan uitgangspunten, definities en duidelijkheid anders wordt het een eindeloze discussie en ontstaat er frictie. Ook aan de awareness van de consument moet nu hard gewerkt worden, vindt Berlijn.
Daarnaast opperde Berlijn het idee om cybercommando’s op te stellen: “als we willen optreden tegen ‘bad actors’ dienen we ook prikactiviteiten op te zetten met de mogelijkheid om proactief de toegang tot internet te kunnen ontzeggen”.
Volgens Margreth Verhulst zijn er al organisaties waar incidententen gemeld en opgelost kunnen worden. Margreth ziet niets in nieuwe regels en organisaties. Die hebben we al, we moeten nu aan de slag. Volgens haar ligt de noodzaak bij het bij elkaar brengen van al die bestaande initiatieven.
But Klaasen van het Ministerie van Veiligheid en Justitie vat het samen en komt met het idee van een autoriteit die zich gedraagt als een autoriteit zonder dat deze autoriteit heeft. “Zie het als hoeder van het internet.”
Tot slot: wat heeft prioriteit?
Volgens Dick Berlijn moet het accent liggen op de awareness, “daar begint en eindigt het mee!”. Daarnaast moeten we ons richten op een gezamenlijke visie rondom de Europese autoriteit: wat is het en hoe willen we het? Wat reguleert zichzelf en wat niet (en moeten we dus helpen)? Het boeken van operationele kortetermijnsuccessen zijn daarbij van cruciaal belang voor het vertrouwen in de ‘autoriteit’, en dus het voortbestaan ervan.
Jan-Jaap Oerlemans pleit er in zijn slotwoord voor om nationaal te investeren in het vrijstellen van de infrastructuur in Nederland, het inzetten van diplomatie om staten onder druk te zetten om afspraken te maken en de tot dusver vrijwillige Notice & TakeDown procedure voor ISPs verplicht te stellen.
Publiekprivate samenwerking is voor Margreth Verhulst een focuspunt. De verantwoordelijkheid ligt bij de gebruiker, overheid, bedrijfsleven en ISPs, zo benadrukt zij.
Tot slot beklemtoonde Tweede Kamerlid Coşkun Çörüz de urgentie van het onderwerp. Daarbij vindt hij awareness een belangrijk punt van aandacht, “je moet jong beginnen”. Ook bedrijven moeten hun verantwoordelijkheid nemen aangaande cyber security, we dienen hen te laten inzien dat beveiliging kansen biedt voor bijvoorbeeld innovatie, aldus Çörüz. “Overheid en industrie moeten dit zelf oplossen en ik ben dan ook voor zelfregulering, maar ik ben hier realistisch in. Uiteindelijk is de overheid verantwoordelijk voor een schone en veilige snelweg. Als er wetgeving gemaakt moet worden, moet de overheid haar taak doen.”
De presentaties van Dick Berlijn en Ton van Gessel kunt u hier nalezen.
Dit publieke debat vond plaats in het kader van het NL IGF
Van 27-30 september 2011 vindt het jaarlijkse Internet Governance Forum (IGF) plaats in Nairobi, Kenia. Dit is de plek bij uitstek waar beleidsmakers, bedrijfsleven, wetenschap, belangenorganisaties en politici vanuit de hele wereld elkaar ontmoeten en input wordt gegeven voor toekomstig beleid op het gebied van internet. Binnen NL IGF werken het ministerie van Economische Zaken, Landbouw en Innovatie, SIDN en ECP-EPN samen om het belang van het Internet Governance Forum in Nederland breed te adresseren. NL IGF roept iedereen op hun visies op de vraagstukken met elkaar uit te wisselen. Meer informatie over het NL IGF en haar activiteiten is te vinden op www.nligf.nl