Europa moet in de benen om zich beter te wapenen tegen het groeiend aantal cyberaanvallen op overheden, instellingen en bedrijven. Neelie Kroes, commissaris Digitale Agenda van de Europese Commissie, vreest anders dat de kans op een digitaal 9/11 toeneemt. Zij werkt dit jaar aan de afronding van wetgeving voor 'netwerk en informatiebeveiliging'. Ook is in het kader van Horizon 2020, de subsidieregeling voor onderzoek en ontwikkeling van de Europese Unie, dit jaar een miljard euro beschikbaar voor investeringen in ict. Dat meldde Kroes tijdens een toespraak op ict-vakbeurs CeBIT.
Eurocommissaris Kroes constateert dat de relatie tussen technologie en democratie de afgelopen tijd is beschadigd door de diverse afluisterschandalen. Ook het toenemend aantal cyberaanvallen baart haar zorgen. Als voorbeeld wijst ze op Deutsche Telekom; het telecom- en ict-concern registreert elke dag zo’n 800.000 aanvallen op zijn netwerken, dat zijn er bijna tien per seconde, dag in dag uit.
Volgens Kroes hebben 93 procent van de grote bedrijven inmiddels minimaal een keer last gehad van een cyberaanval; bij kleine bedrijven is dat driekwart. ‘Hier moet een einde aan komen. Die schandalen en aanvallen hebben een negatieve invloed op de samenleving en de economie. ‘Het schaadt het vertrouwen en reputaties. Daarnaast kost het oplossen van incidenten handenvol geld, zeker als het bedrijfskritische ict-infrastructuren betreft. In welke sector een bedrijf of instelling ook opereert, online beveiliging moet onderdeel zijn van het business model. Het moet net zo gewoon worden als het op slot doen van de voordeur als je weggaat.’
Zwakste schakel
Europa moet in Kroes’ ogen uit haar comfortzone komen, waarbij landen behoren te zorgen voor een beter beveiligde ict-infrastructuur en betere beveiligingsdiensten. ‘Zeker nu het in de volgende fase van internet om data en verbindingen draait: cloud computing, big data en het internet of things. Betrouwbaarheid en vertrouwen zijn voorwaarde voor het succes van de nieuwe digitale wereld.’
Kroes kondigt aan dat er vanuit haar portefeuille Digitale agenda in samenspraak met juristen uit de EU-lidstaten wordt gewerkt aan wetgeving die ‘bescherming biedt maar niet mag leiden tot protectionisme. Het internet heeft juist succes omdat het grenzeloos is.’ Deze richtlijn wordt naar verwachting dit jaar van kracht en vereist dat bedrijven en overheden zelf verantwoordelijkheid nemen voor het beschermen van gegevens waarmee ze werken. ‘Een vrijwillige aanpak is niet meer voldoende. Zwakke wetgeving op dit vlak is een gevaar voor de economie.’.
Betrouwbaar
Daarnaast roept zij overheden, bedrijven en hogere onderwijsinstelling op om nauwer met elkaar te gaan samenwerken op het gebied van digitale beveiliging. In het kader van het r&d-programma Horizon 2020 is er elk jaar een forse pot geld beschikbaar met subsidiegelden voor investeringen in infrastructuur, diensten en onderwijs.
In 2013 werd in het kader van de Europese strategie voor cyberbeveiliging al het publiek-private platform NIS (Network and Information Security) opgericht. NIS adviseert de Europese commissie over welke maatregelen nodig zijn en welke technologie beschikbaar is op het vlak van risk management en het delen van informatie om tot een betere online beveiliging te komen.
‘Investeren in ict-beveiliging is meer dan alleen over het voorkomen van schade. Het kan de Europese ict-industrie ook een concurrerend voordeel geven, in een wereld die behoefte heeft aan goede beveiliging’, aldus Kroes. Zij vindt dat Europa op het gebied van ict-beveiliging naar eigen soevereiniteit moet streven, met als ambitie het meest veilige open internet te kunnen garanderen voor haar burgers en bedrijven. ‘Kritische ict-infrastructuren, zowel publiek als privaat, dienen net zo betrouwbaar zijn als traditionele infrastructuren als energie en transport. Snowden gaf Europa een wake-up call. We mogen niet meer in de sluimerstand terugvallen.’
De landelijk beveiligde ict-infrastructuur is niet alleen Rijksoverheid, maar vooral de organisaties met een vitale functie in de samenleving. De “zwakke schakel” zijn dus juist de organisaties die niet voldoen aan de eisen voor informatiebeveiliging en met deze wetgeving moeten worden gewezen op hun maatschappelijke verantwoordelijkheid.