Naast alle ‘normale’ problemen die er al zijn, is nu ook cybercrime als uitdaging op het Nederlandse bordje verschenen. Cybercrime als onderwerp wordt niet genoemd in de miljoenennota 2012 maar het onderwerp komt door het Diginotar debacle van september 2011 zeker terug op de agenda.
‘Cybercrime' komt zo snel op dat de oplossing er nog niet is. Het bestuurlijk en wettelijke, institutionele kader maar ook het besef van de omvang van het probleem past zich onvoldoende snel aan aan de nieuwe situatie. Dan krijg je dus de incident gedreven probleemoplossing die je nu bijvoorbeeld bij de overheid waarneemt.
Ik heb over dit onderwerp eerder gesproken in een reactie op de miljoenennota en op een bijeenkomst van Fox-IT. Nu is het tijd om de kern van mijn gedachtegang in een artikel ‘in de wereld' te zetten.
Onvoldoende besef
Het is net als bij de komst van de auto of het vliegtuig. Toen heeft het ook meer dan dertig jaar geduurd voordat we werkelijk de nieuwe situatie begrepen en ons aanpasten op de nieuwe technologische situatie. Wennen aan cybercrime kost tijd.
Inderdaad, we beseffen onvoldoende wat cybercrime kan aanrichten en hoe afhankelijk we nu al van internet zijn. Totdat je een keer slachtoffer wordt van identiteitsfraude en dan weet je het wel. Of totdat je Blackberry het even niet doet. Bij Amber alert hebben we wel een concrete voorstelling; kindje weg, dat snappen we en daar reageren we dus op. Cybercrime is veel vager, totdat het je overkomt. Hebt u wel eens met een slachtoffer van identiteitsfraude gepraat? Het ruïneert je leven. Ik denk sowieso dat we het overzicht over privacy schendende maatregelen en de lange lijst van databases waar persoonlijke informatie over ons in staat kwijt zijn.
Cybercrime lijkt wel niet als probleem gezien te worden. Want we lossen het niet op. Je moet eerst een situatie erkennen en 'beleven', dat wil zeggen emotioneel contact mee maken, voordat je hem kan oplossen. Dat is een keuze. Zoals zo vaak voelt niemand zich verantwoordelijk voor het probleem. Dat je een brief gewoon in een envelop stopt lijken velen van ons even vergeten.Waarom regelen we wel defensie van fysieke veiligheid en niet van digitale?
De vorige uitvinding die zo massaal is uitgerold als internet is de pil, begin jaren 60. En eigenlijk zijn we daar ook nog niet over uitgepraat. Ook Cybercrime heeft zijn tijd nodig om een ‘mentale categorie' te worden. Dus dat het nu een probleem is, is niet erg en je niet aan te rekenen. Maar dat de situatie zo zou blijven is denk ik niet oké.
Geen belangrijk probleem
Eigenlijk wordt cybercrime tot nu toe niet gezien als belangrijk probleem. Want problemen los je op. Hoe ziet het beleid er op dit punt uit in Nederland? Hebben we wel een beleid? Zijn we wel echt bezig hier iets aan te doen. We zien ook in de organisatie van cybersecurity het probleem niet. Pas als het te laat is. We vertrouwen op een systeem wat geheime elementen bevat. Dat is onbeheersbaar.
De getallen nu? Cybercrime schade in Nederland nu is pakweg een kwart miljard euro per jaar. En dat was voor de situatie rond Diginotar en dit bedrag groeit overigens nog steeds exponentieel.
Een van de redenen van het gebrek aan cybersecurity is onvoldoende begrip van waarde van informatie. Wij denken vaak dat onze informatiesplinter er niet toe doet. Maar ook jouw en mijn kleine splintertje draagt bij aan het plaatje, zeker als al die kleine stuikjes in krachtige wiskundige algoritmes kunnen worden ingevoerd die dan opeens wel inzicht opleveren. Een voorbeeld: denk eens terug aan de ‘pizza index': de aflevering van driehonderd pizza's bij het Pentagon was genoeg om te zien dat er iets stond te gebeuren; in dit geval de eerste invasie van Irak. Een praktisch voorbeeld van begrip van waarde: hoeveel mensen maakt u mee die een scherm voor hun laptop scherm plaatsen, in het vliegtuig bijvoorbeeld, zodat u niet mee kunt lezen?
Nog wat voorbeelden van onwennigheid met het onderwerp. Ethisch hacken. Wat vindt u daarvan? Hoe vindt u het als iemand bij u inbreekt en zich daarna heilig verklaart? Toch lijken heel veel mensen daarvoor te zijn.‘Mystery hacking' lijkt me prima. Maar (onafgesproken) ethisch hacken lijkt me meer ‘cracken' en niet de weg die we op moeten. Ontbreken van wettelijke aansprakelijkheid is sowieso een punt van verschil tussen digitale sector vergeleken met de fysieke. Makers van software lopen geen enkel risico met betrekking tot product aansprakelijkheid naar de klant toe. Anders dan met auto's die teruggeroepen worden bij gebleken defect kan het ict-bedrijf volstaan met een patch achteraf.
Een ander aspect van Cybercrime. Moet je je voorstellen wat er gaat gebeuren als het internet fysieke dingen gaat besturen. De voedselketen bijvoorbeeld. Of auto's met een ip-adres. Dan kan de hacker letterlijk het verkeer stilzetten. Gaat gebeuren. En sneller dan wij nu denken. De eerste atoomcentrales zijn gehackt. We weten het. Wat gaan we met die informatie doen?
Beveiliging inrichten
De vraag is of er wel adequate beveiligingssoftware bestaat. In ieder geval is het zo dat je voor cybersecurity op vitale plekken continue (24×7) moet meekijken. Twee keer per jaar een papieren controle op digi-veiligheid heeft geen zin. Een goed voorbeeld hoe het wel moet is de luchtvaart. Als de ‘FAA'-controleur komt, gaat echt wel dat vliegtuig open. Bovendien snapt die man waar het over gaat. En als de situatie niet klopt blijft de hele vloot aan de grond. Dat is dus een duidelijke economische prikkel voor de luchtvaart om hun zaken op orde te hebben. En dat helpt. Er vallen niet meer zomaar vliegtuigen uit de lucht.
Je moet eigenlijk ook beveiligingen inrichten in overeenstemming met het belang van desbetreffende instantie en de potentiele schade. Diginotar was een klein bedrijf met een kleine omzet. Maar door hun falen is er wel voor honderden miljoenen schade veroorzaakt. Dit nog afgezien van het geschokte vertrouwen in de digi-overheid. En eigenlijk komt het bedrijf er mee weg…
Bedrijven en ook de overheid zijn trouwens niet goed in het inkopen van digi-veiligheid. Door de manier waarop nu wordt aanbesteed moet alles zo goedkoop mogelijk en valt internet veiligheid als onderwerp van tafel. Je zou eens kunnen nadenken of dit beter en handiger kan.
Oplossingsrichtingen
In de eerste plaats moeten we snappen dat cybersecurity belangrijk is en dat cybercrime bestreden dient te worden. Het moet een emotioneel referentiepunt worden. Net als de Amber alert. Het maken va bijvoorbeeld tv-programma's waarin dit probleem geagendeerd wordt, lijkt mij een goede zaak.
Ik denk dat internetten een vak op de basisschool moet zijn en dat de overheid een campagne zoals ‘veilig vrijen' zou moeten overwegen om ons bewust te maken van cybercrime en wat je als burger kunt doen om het te vermijden. En inderdaad, dit soort bewustwordingscampagnes kost tijd.
Je moet in dit onderwerp in ieder geval ict-specialisten samenbrengen met antropologen en bijvoorbeeld mensen als Paul Schnabel (SCP) die begrijpen hoe een samenleving nieuwe praktische wijsheid en nieuwe technische concepten adopteert.
Ict-infrastructuur moet je denk ik net zo zien als het wegennet, water, luchtruim, als een maatschappelijke basisinfrastructuur… Misschien hoort die digitale infrastructuur wel thuis bij het Ministerie van Infrastructuur en Milieu in combinatie met het Ministerie van Veiligheid en justitie, net zoals met wegen, dijken en water. Ik moet er toch als burger vanuit kunnen gaan dat ik veilig over die brug kan rijden. Dat geldt dus ook voor veilig internet. Ik moet er vanuit kunnen gaan dat sommige dingen goed geregeld zijn. Dat is toch echt een publieke taak.
Maak daarmee alle cybercenters deel van de maatschappelijk vitale infrastructuur met het bijbehorende toezicht. Zet scanners bij de provider in plaats van bij ons thuis. Maak het individu eigenaar van de over hem opgeslagen gegevens. Nu is dat niet zo en zijn bedrijven eigenaar van die persoonlijke gegevens van u en mij. Leg dus meer verantwoordelijkheid bij individu op dit punt en organiseer dat via een 'identity provider' en claims based identity management. Die ‘identity provider' is hard nodig denk ik.
Onbeheersbaar
We zien het probleem niet. Pas als het te laat is. We vertrouwen op een systeem wat geheime elementen bevat. Dat is onbeheersbaar. Van Diepen en Lagendijk pleiten in de NRC van 8 oktober 2011 daarom geen security through obscurity te regelen maar security through openness. Niet de methode maar de sleutel geheim houden. Immers dan komt de zwakheid pas naar buiten als het leed al geschied is. Wat zou je verder nu kunnen doen?
Je zou een FAA 'luchtvaart-achtig' toezicht kunnen organiseren waar dit nodig is met economische prikkels voor de leveranciers van digi-veiligheid om dit goed te doen. Hoe toezicht in de luchtvaart is georganiseerd zou model kunnen staan voor de eerste stappen in cybersecurity.
In de Wet op de Jaarrekening staat dat de accountant ook de betrouwbaarheid van de informatievoorziening moet controleren. Dat lijkt me een prima kapstok om de security van de digitale omgeving mee te nemen in de accountantscontrole. Accountants moeten daar goed op voorbereid zijn. Op die manier creëer je een direct belang bij bedrijven om cybersecurity serieus te nemen.
En je zou cybersecurity op Europees niveau moeten agenderen denk ik. Misschien dat op dat niveau nog enige invloed op de Googles en Microsofts van deze wereld kan worden georganiseerd.
Tot slot
90 procent van de geldstromen rond spam gaan naar drie plaatsen in de wereld. Toch doen we er weinig aan. Om zeventig dollar te verdienen aan spam moet je 12,5 miljoen spam-mailtjes sturen. En dat gebeurt. En dat is dus kennelijk rendabel. Er is dus nog een lange weg te gaan met betrekking tot cybersecurity. In die context kun je de vraag stellen of het wijs is, dit wetend, om nog meer grote bestanden te willen aanleggen met persoonlijke informatie van en over burgers zoals de Nederlandse overheid doet.
Elektronisch belastingdossier, elektronisch persoonsdossier, kinderdossiers. Bedenk dat in een wereld waar alles digitaliseerbaar en alles afluisterbaar is, alles ook oneindig vermenigvuldigbaar is, al die niet met ‘neue Kombinationen' via knappe dingen als Semantics analytics, mining en behavioural targeting. Je kunt aan de hand van beschikbare informatie en goede wiskundige algoritmes heel veel achterhale,n laat staan als daar nog de gerichte vangst vanuit hacking bijkomt.
Wie wil glimmen moet poetsen. Ik wens ons en Europa veel succes met deze uitdagingen!
Frans van der Reep, lector digitalworld bij hogeschool Inholland
Wie is de Frans van der Reep?
Frans van der Reep schrijft deze bijdrage als lector digitalworld bij hogeschool Inholland. Daarnaast is hij senior strategist bij KPN en toezichthouder bij een aantal ondernemingen en instellingen.
Helemaal mee eens. Er is veel te weinig besef. Ik heb bijvoorbeeld meegemaakt dat ik opeens ongevraagde sms-en kreeg die ik moest betalen. Ik kon geen aangifte doen, de politie begreep niet eens dat het niet anders is dan fysiek zakkenrollen. Ander voorbeeld: ongewenst volgen is verboden, staat in het wetboek van strafrecht. Adverteerders op internet doen dat wel. Het is hetzelfde als over straat achter je aanlopen en in de volgende winkel hun boodschap voor je neus houden. Het besef bij de politici is zo gering, dat ze niet eens zien dat dit al verboden is. Nog erger, ze regelen dat het op internet wel mag. Kortom, helemaal mee eens, bij gebruik van de digitale infrastructuur moeten we beschermd worden door de overheid. Die heeft een taak, de infrastructuur open en veilig maken en houden.
Ik deel bovenstaande mening dat er geen besef is. Op gebied qua voorlichting ligt er nog een schone taak voor iedereen en met name de overheid en financieele instellingen.
We lopen nu een beetje achter de feiten aan en de wetgeving is nog te summier en onduidelijk op dit gebied.
Hopelijk komt hier snel verandering in.
Behoorlijk verbazend dat cybercrime geen issue is in het nieuwe kabinet. Ik ben het zeer eens met de stelling dat de overheid ook de veiligheid van de digitale infrastructuur moet garanderen. En met de hulp van de KPN-achtige bedrijven moet dit goed te organiseren zijn.. Wat mij betreft niet wachten op Europa maar maatregelen nemen binnen eigen land.
Behoorlijk verbazend dat cybercrime geen issue is in het nieuwe kabinet. Ik ben het zeer eens met de stelling dat de overheid ook de veiligheid van de digitale infrastructuur moet garanderen. En met de hulp van de KPN-achtige bedrijven moet dit goed te organiseren zijn.. Wat mij betreft niet wachten op Europa maar maatregelen nemen binnen eigen land.
Behoorlijk verbazend dat cybercrime geen issue is in het nieuwe kabinet. Ik ben het zeer eens met de stelling dat de overheid ook de veiligheid van de digitale infrastructuur moet garanderen. En met de hulp van de KPN-achtige bedrijven moet dit goed te organiseren zijn.. Wat mij betreft niet wachten op Europa maar maatregelen nemen binnen eigen land.
Behoorlijk verbazend dat cybercrime geen issue is in het nieuwe kabinet. Ik ben het zeer eens met de stelling dat de overheid ook de veiligheid van de digitale infrastructuur moet garanderen. En met de hulp van de KPN-achtige bedrijven moet dit goed te organiseren zijn.. Wat mij betreft niet wachten op Europa maar maatregelen nemen binnen eigen land.
Behoorlijk verbazend dat cybercrime geen issue is in het nieuwe kabinet. Ik ben het zeer eens met de stelling dat de overheid ook de veiligheid van de digitale infrastructuur moet garanderen. En met de hulp van de KPN-achtige bedrijven moet dit goed te organiseren zijn.. Wat mij betreft niet wachten op Europa maar maatregelen nemen binnen eigen land.
Behoorlijk verbazend dat cybercrime geen issue is in het nieuwe kabinet. Ik ben het zeer eens met de stelling dat de overheid ook de veiligheid van de digitale infrastructuur moet garanderen. En met de hulp van de KPN-achtige bedrijven moet dit goed te organiseren zijn.. Wat mij betreft niet wachten op Europa maar maatregelen nemen binnen eigen land.
Behoorlijk verbazend dat cybercrime geen issue is in het nieuwe kabinet. Ik ben het zeer eens met de stelling dat de overheid ook de veiligheid van de digitale infrastructuur moet garanderen. En met de hulp van de KPN-achtige bedrijven moet dit goed te organiseren zijn.. Wat mij betreft niet wachten op Europa maar maatregelen nemen binnen eigen land.
Behoorlijk verbazend dat cybercrime geen issue is in het nieuwe kabinet. Ik ben het zeer eens met de stelling dat de overheid ook de veiligheid van de digitale infrastructuur moet garanderen. En met de hulp van de KPN-achtige bedrijven moet dit goed te organiseren zijn.. Wat mij betreft niet wachten op Europa maar maatregelen nemen binnen eigen land.