Cybersecurity en de burger

Essay

Dat cybersecurity van levensbelang is, lijkt af en toe zo waar te zijn dat het een beetje banaal wordt. Dagelijks worden we overspoeld met berichten over datalekken, gijzelsoftware en elektriciteitscentrales die schijnbaar met het grootste gemak aan en uitgezet kunnen door kwaadwillenden. Iedereen die zijn gegevens is verloren door onvoorzichtigheid of opzet zal herkennen dat het verlies van je foto’s of toegang tot je bankgegevens een grote impact op je leven kan hebben. Ook de discussies (gevoed door vermoedelijke Russische hacks) rondom de veiligheid en integriteit van het kiesstelsel geven aan dat er voor iedereen een direct belang ligt bij digitale veiligheid.

Toch lijkt er al langere tijd een gebrek aan ontwikkeling van beleid op het gebied van cybersecurity te zijn. Iedereen die professioneel bezig is met het onderwerp onderkent het belang van cybersecurity, maar ook lijkt iedereen dezelfde punten te herhalen.

Bij gebrek aan actuele inzichten publiceert de Nederlandse overheid eens in de vijf jaar een Cybersecurity Agenda – het woord strategie, dat in 2011 werd gebruikt, is enige tijd geleden aan de wilgen gehangen; er worden nu vooral grote actielijsten opgesomd. In de Agenda worden ambities opgenomen, die optisch gezien veel weg hebben van ambities die in eerdere documenten werden geformuleerd.

Er lijkt hiermee binnen Nederland een langzame cirkelbeweging van beleid rondom cybersecurity te zijn ontstaan. Dezelfde personen en partijen draaien om elkaar heen en bespreken dezelfde zaken. Een voorbeeld: in de Nederlandse Cybersecurity Agenda van afgelopen jaar (2018) wordt ingezet op zaken als: Nederland heeft zijn digitale slagkracht op orde, Nederland draagt bij aan internationale vrede enveiligheid in het digitale domein, Nederland loopt voorop in het bevorderen van digitaal veilige hard- en software. Nederland beschikt over weerbare digitale processen en een robuuste infrastructuur, Nederland werpt door middel van cybersecurity succesvol barrières op tegen cybercrime, Nederland is toonaangevend op het gebied van cybersecurity kennis ontwikkeling, en Nederland beschikt over een integrale, publiek-private aanpak van cybersecurity.

Laten we wel wezen: er is natuurlijk niemand die ervoor pleit dat we met lede ogen moeten toezien hoe onze Russische en Chinese vrienden via de digitale achterdeurtjes weet krijgen van staatsgeheimen. We moeten investeren in onze digitale strijdkrachten om buitenlandse mogendheden van repliek te dienen. En ook al hangt de veiligheid van gegevens bij veel zorginstanties, gemeenten en zelfs banken nog erg als een houtje-touwtje van verschillende systemen aan elkaar, het betekent niet dat onze digitale infrastructuur een open invitatie moet zijn voor kwaadwilligen om hun slag te slaan. We moeten investeren in een robuuste infrastructuur en het continue kat-en-muisspel aangaan met degenen die maar wat graag de cyberonveiligheid willen vergroten.

Sommige zaken gaan de goede kant op, zo stelde Open State Foundation onlangs dat er meer overheidswebsites zijn met een beveiligde verbinding. Maar simpelweg het jaarlijks herhalen van die beleidsfrasen in roterende beleidsdocumenten leidt er niet automatisch toe dat er ook wat gebeurt. En belangrijker nog: dat het op de goede manier gebeurt, en dat wij als burger er bij betrokken zijn.

Profiteren
We constateren dat de Nederlandse overheid en het bedrijfsleven de afgelopen jaren in principe een goede aanzet hebben gegeven om cybersecurity op de kaart te zetten, maar dat de discussie aan kracht verliest omdat zij inhoudelijk te weinig van nieuwe impulsen wordt voorzien. Dat heeft ons inziens te maken met het laatste punt uit de Cybersecurity Agenda: in zijn aanpak van cybersecurity richt Nederland zich er bijna exclusief op om overheid en bedrijfsleven samen te brengen.

Alle initiatieven om Nederland digitaal te laten innoveren en veiliger te maken richten zich primair op deze twee partijen. De burger, die hiermee aan de slag moet en er uiteindelijk van zou moeten profiteren, wordt er niet of nauwelijks bij betrokken. Het geeft het gevoel dat je misschien nog wel herkent: je bent 16 jaar en je mag en moet van alles. Je bent al onafhankelijk, hebt je eigen verantwoordelijkheid en regelt je eigen leven. Maar als er besluiten moeten worden genomen die ertoe doen, besluiten je ouders zonder jou te raadplegen. In jouw belang.

Van je schijnbare onafhankelijkheid blijkt weinig over. Zo is het ook bij cybersecurity: overheid en bedrijfsleven besluiten samen als twee zorgzame ouders wat goed is voor de burger, zonder de burger te vragen wat die eigenlijk wil. Het is niet zo verwonderlijk dat de burger niets is gevraagd. Voor veel mensen is cybersecurity nog een ver-van-hun-bed-show. Laat staan dat ze zich interesseren in het beleid. De kans dat mensen hun recht op cybersecurity gaan bevechten op het Malieveld is klein.

Lek als een mandje
Nederland kent geen organisatie die specifiek voor de belangen van burgers op het gebied van cybersecurity opkomt. Dit in tegenstelling tot privacy, waar Bits of Freedom helder en bij voortduring het belang van de burger verdedigt en het onderwerp agendeert. Natuurlijk, er zijn organisaties, zoals bijvoorbeeld de Consumentenbond en ouderenorganisaties, die zich bezighouden met de digitale veiligheid van consumentenproducten. Zij testen of die producten niet zo lek als een mandje zijn. Dat is uiteraard noodzakelijk en belangrijk werk. Het belang dat wij als burgers bij cybersecurity hebben is, echter groter, en breder.

Het gaat om de risico’s die wij als burger lopen en welke risico’s we al dan niet acceptabel vinden. Een belangenorganisatie op het gebied van cyberveiligheid is hard nodig. Al is het alleen maar omdat hierdoor het maatschappelijke debat gevoerd wordt en er aandacht voor komt. Dan weten burgers ook beter wat zij online wel of niet moeten doen.

Net als bij de beveiliging van je huis kun je niet alle cyberrisico’s voorkomen: je zet sloten op de deuren, maar je tuin blijft altijd toegankelijk. We vinden het niet leuk, maar we accepteren het als mensen uit onze tuin bloemen of een hark meenemen. Alles voorkomen of verzekeren is niet mogelijk. Als wij de beleidsdocumenten lezen, dan vragen wij ons af wat de gedegen analyse is die onder het eindeloos formuleren van strategieën en agenda’s ligt.

Topje van de ijsberg
Als wij ons even inbeelden dat we aan tafel zitten met overheid en bedrijfsleven en mee zouden kunnen praten over de besteding van de miljoenen die nu naar cybersecurity gaan, dan zouden we onder andere op de volgende drie vragen komen.

(1)Voor welke cyberrisico’s moeten we nou echt bang voor zijn, en voor welke niet? Uit onderzoek blijkt dat het bedrijfsleven (bijvoorbeeld de antivirus-industrie) sommige cyberrisico’s vanuit commerciële overwegingen schromelijk overdrijft. Het tegengaan van deze desinformatie is nog geen prioriteit van de Nederlandse publiek-private aanpak, wellicht omdat het bedrijfsleven daar te weinig belang bij heeft.

(2) Hoeveel belastinggeld wordt er precies besteed aan cybersecurity en is dat in verhouding met de risico’s die we lopen? Elk jaar wordt er meer geld aan besteed. De extra gelden – dit jaar zo’n 30 miljoen extra bovenop de 95 miljoen euro in het regeerakkoord – zijn hier nog maar het topje van de ijsberg, omdat veel wordt besteed vanuit de lopende budgetten. Als burger zouden wij willen weten hoeveel er aan cybersecurity besteed wordt, simpelweg omdat het ons belastinggeld is.

En (3) vervolgens zouden wij nog liever willen weten: wat leveren investeringen in cybersecurity nou precies op? Op dit moment is het nog totaal onduidelijk welke investeringen in cybersecurity renderen en welke niet. Moeten we bijvoorbeeld alle hacks wel echt voorkomen tegen elke prijs? Zijn er slimmere manieren om met cyberrisico om te gaan anders dan de producten die markt van cybersecuritybeveiligers aanbiedt? En wat kan en moet de burger zelf doen om bij te dragen aan een veiliger digitaal Nederland en op welke manier kunnen we er voor zorgen dat dat dan ook daadwerkelijk gebeurt?

Waarom worden deze vragen, waar het ons inziens echt om gaat, niet of te weinig gesteld? Het antwoord is simpel: overheid en bedrijfsleven hebben er geen belang bij om buiten de bestaande kaders te denken. Als we de cynische bril opzetten, dan komt de innige publiek-private samenwerking beide partijen erg goed uit. De overheid heeft er belang bij om cybersecurity zo groot mogelijk te maken omdat dan de departementen, die ermee zijn belast, hun beleid kunnen continueren. Het bedrijfsleven heeft er belang bij om cybersecurity zo belangrijk mogelijk te maken, opdat hun diensten kunnen worden verkocht.

Als we de minder cynische bril opzetten, dan constateren we dat de Nederlandse publiek-private aanpak simpelweg een polderiaanse continuering is van de favoriete wijze waarop het Nederlandse bestuur taaie maatschappelijke problemen placht op te lossen, maar dan op het nieuwe thema cybersecurity.

Buitenland
Wat de achtergrond ook is van de Nederlandse publiek-private aanpak, het wordt tijd dat Nederlanders hun burgerschap in relatie tot overheid en bedrijfsleven gaan behartigen om overheid en bedrijfsleven meer te uit te dagen. Het Rathenau Instituut omschreef dit fenomeen mooi als ‘technologisch burgerschap’. Het initiatief ‘Nederland Digitaal’ biedt hiervoor een mooie aanleiding. Nederland Digitaal is de digitaliseringstrategie van het Nederlandse kabinet.

Met deze strategie wil het kabinet de positie van Nederland als digitale koploper van Europa behouden. Van maandag 18 tot en met donderdag 21 maart 2019 vond de eerste Conferentie Nederland Digitaal plaats in Hilversum. Volgens de uitnodiging wisselen ‘wetenschap, bedrijfsleven, maatschappelijke organisaties en overheid [..] kennis uit en slaan de handen ineen om richting te geven aan technologische ontwikkelingen die onze maatschappij en de economie in snel tempo veranderen.’ Laten we hopen dat de opstellers bij de uitvoering van de plannen op het gebied van cybersecurity wel een plaats aan tafel inruimen voor burgers.

In het buitenland is dit al het geval. Mooie voorbeelden zijn organisaties als de Duitse koepelorganisatie voor consumenten, die Facebook succesvol voor de rechter daagde, en de BEUC, een Europese organisatie die meedenkt over de implicaties van kunstmatige intelligentie. Op het gebied van digitale ontwikkeling wil Nederland voorop lopen, zoals de ministers in hun strategie ook aangeven. Laten we hopen dat ze bij het betrekken van burgers niet achterblijft.

Bernold Nieuwesteeg, directeur van het Centre for the law and economics of cyber security aan de Erasmus Universiteit Rotterdam
Melle van den Berg, consultant op het gebied van privacy en cybersecurity