Gisteren (28-10-2013) publiceerde de Nationale Coördinator Terrorismebestrijding en Veiligheid de Nationale Cybersecurity Strategie 2. Hieronder mijn visie op deze belangrijke nota.

In de strategie vallen de volgende zaken, in positieve zin, op.

  • Cybersecurity moet nadrukkelijk bezien worden in samenhang met mensenrechten, internetvrijheid, privacy, maatschappelijke groei en innovatie.
  • Onderkent wordt dat grote internationale bedrijven (denk Google, Facebook) een belangrijke factor geworden zijn (zowel op het gebied van cybersecurity als van de bescherming van persoonsgegevens) bij het bepalen van de spelregels.
  • De visie stelt expliciet de bescherming van fundamentele rechten en waarden als doel.
  • De visie legt de nadruk op een risico-gebaseerde aanpak.
  • In de uitvoering leunt de strategie met nadruk (naast zelfregulering, waar ik minder een fan van ben) op transparantie en kennisontwikkeling.
  • De ambitie is dat het Nederlandse bedrijfsleven en de wetenschap voorop lopen op het gebied van security- en privacy-by-design.

Dat is een duidelijke vooruitgang. De nadruk die ook op het belang van fundamentele rechten en waarden als vrijheid en privacy wordt gelegd is een verandering van beleid. Een risico-gebaseerde aanpak betekent, in mijn beleving, dat (veiligheids)maatregelen gebaseerd worden op een transparante (door derden te controleren) inschatting van de risico’s, en op een onderbouwde inschatting van het effect van de maatregel. Volgens het risico-gebaseerde paradigma zou cameratoezicht nu dus niet meer zomaar ingevoerd worden 😉 Dat is winst.

Echter, of deze mooie woorden ook echt in daden worden omgezet is nog wel een beetje de vraag. Want de strategie bevat wel degelijk ook belangrijke schaduwzijden.

Ten eerste valt mij op dat de strategie een opvallend ‘militair’ karakter heeft. Dat begint al bij het feit dat gesproken wordt over cybersecurity in plaats van IT of ICT security. Voor militairen is cyber de ‘vijfde dimensie’ (naast land, zee, lucht en ruimte). Daarnaast wordt gesproken over versterking van de civiel-militaire samenwerking, omdat er een toegenomen verwevenheid wordt geconstateerd van civiele en militaire domeinen. Die verwevenheid komt wat mij betreft uit de lucht vallen en wordt verder nergens overtuigend onderbouwd (de voorbeelden op pagina 15 bestaan volgens mij 1-op-1 ook in de fysieke wereld). Ook wordt gepleit om te onderzoeken of een gescheiden Internet voor vitale processen haalbaar is (zeg maar een ‘privilegenet’ naast een ‘paupernet’). Als laatste valt op dat gepleit wordt voor ‘het bevorderen van vreedzaam gebruik van het cyberdomein’. Met dit soort speerpunten lijkt de nieuwe cybersecurity strategie in te zetten op een ‘militarisering’ van het Internet.

Voor het beschermen van fundamentele rechten als vrijheid zijn geeft de strategie weinig concrete handvaten. Ingezet wordt op het ontwikkelen van internationale normen en standaarden, via cyberspace conferenties en het Internet Governance Forum. Hier zou meer de nadruk op de implementatie van (al bestaande) normen en standaarden passen, en het handhaven daarvan door toezichthouders.

Tenslotte gaat de strategie voorbij aan meer fundamentele problemen. De burger kan alleen een eigen verantwoordelijkheid krijgen als hij ook in staat is om die verantwoordelijkheid in te vullen. Dat wil zeggen dat hij de beschikking heeft over ‘tools’ om zichzelf te beschermen. Helaas is in de ICT markt veiligheid, betrouwbaarheid en privacybescherming ondergeschikt aan functionaliteit. Bovendien zijn het eigenschappen die voor een leek niet te beoordelen zijn. M.a.w.: de ICT markt is een Market for Lemons.

Uiteindelijk ontstaan de problemen waar we ons nu in bevinden uit een mismatch tussen het doel waar we computers en netwerken nu voor gebruiken, en waar ze oorspronkelijk ooit voor zijn ontworpen. De systemen die wij nu gebruiken zijn nog steeds gebaseerd op concepten uit de jaren zestig en zeventig. Uit een tijd dus waarin computers door professionals beheerde mainframes waren, en netwerken systemen met elkaar verbonden die elkaar eigenlijk volledig vertrouwden. Om een echt veilig ‘cyberdomein’ (om die terminologie dan toch even te gebruiken) te creëren hebben we fundamenteel nieuwe concepten nodig. Daar gaat de nationale cybersecurity strategie aan voorbij.

Ik wil toch graag constructief afsluiten. Daarvoor ligt het onderwerp mij gewoon te na voor aan het hart, en zie ik bovendien gewoon ook aanknopingspunten in de strategie om stappen in de goede richting te zetten.

Wat betreft het nadenken over cybersecurity onderwijs, stel ik graag onze jarenlange ervaring op dit gebied middels onze master opleiding Computer Security van het Kerckhoffs Instituut ter beschikking. De kleurstelling van het rapport waarin de strategie is beschreven komt overigens opvallend overeen met de kleuren die wij gebruiken in het logo daarvan 😉

Daarnaast hebben de Nederlandse universiteiten al in 2001 SAFE-NL opgericht, wat met recht met de terminologie van vandaag een cybersecurityplatform mag heten. Het is de laatste jaren een beetje doodgebloed, maar wij blazen dat met liefde weer nieuw leven in.