Regelmatig berichten de media over het oppakken van hackers op verdenking van cybercrime. De vraag is of de overheid nog actiever zou moeten optreden tegen cybercrime. Zou het niet meer een proactief security-beleid moeten voeren in plaats van achteraf actie te ondernemen? Moet de lokale overheid actie ondernemen om de internetveiligheid te waarborgen en handhaven of is het beter om dit in internationaal verband te doen?
Jort Kollerie is sinds 2000 werkzaam bij Dell en heeft diverse sales-functies gehad binnen het segment van local & central government. In 2009 heeft hij zich gespecialiseerd binnen het Public Security & Defence team op onder andere Digital Forensics en biometric/rugged solutions. Vanaf 2012 is Jort als Enterprise Security Specialist verantwoordelijk voor het security portfolio binnen Dell Benelux. Met als uitgangspunt het optimaliseren, vereenvoudigen en verhogen van security, adviseert hij relaties op het gebied van Network Security, Identity & Access Management en Data Protection & Encryption.
Om de overheid daarin te adviseren is onlangs een rapport uitgebracht door de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) over ‘de publieke kern van het internet’. Onder de ‘publieke kern’ verstaat men de verzameling internetprotocollen, waaronder de TCP/IP, DNS en routing. In dit rapport komt men tot de conclusie dat ‘overheden uiterst terughoudend moeten zijn met beleid, wetgeving en operationele activiteiten die ingrijpen in de kernprotocollen van het internet’. Het rapport stelt dat het beheer van deze publieke kern van het internet in handen is van een aantal organisaties, de ‘technische gemeenschap’ genaamd. Het rapport vermeldt dat het beheer in principe in goede handen is, maar dat er vanuit verschillende kanten druk wordt opgebouwd om daar verandering in aan te brengen. Waar die precies vandaan komt, wordt niet vermeld.
Neutrale zone
Een van de aanbevelingen is om een internationale norm op te stellen, waarin de centrale protocollen van het internet aangemerkt worden als een neutrale zone, en overheidsbemoeienis omwille van nationale belangen niet geoorloofd is. De gedachten gaan uit om bijvoorbeeld via de EU, OESO, VN en Raad van Europa in handelsverdragen een clausule op te nemen. Echter over het handhaven en controleren van de naleving van een dergelijke internationale norm, wordt met geen woord gerept. De vraag is of de naleving daarvan ooit gaat lukken. Nu al is het, ondanks alle technische middelen die ons ter beschikking staan, vaak lastig om te achterhalen wie er achter een cyber-aanval zit. De vraag is daarom of de aanvaller (lees: een overheid) voor een internationaal gerechtshof kan worden gesleept.
Haalbaar
Het rapport komt met veel aanbevelingen in de vorm van normen, waarbij de vraag is of deze realistisch dan wel haalbaar zijn. Het stellen van normen biedt absoluut geen garantie dat landen zich gaan houden aan deze afspraken. Neem als voorbeeld het verdrag tegen de verspreiding en verdere ontwikkeling en productie van kernwapens. Dat verdrag is door de meeste landen ondertekend, maar in het geheim gaan sommige landen gewoon door met de ontwikkeling van kernwapens, puur voor de ‘veiligheid’.
Begin bij de jeugd
Kunnen we dan helemaal niets doen om ons tegen het gebruik van het onveilige internet te beschermen? Jazeker, de oplossing ligt voor een groot deel aan de gebruikerskant. Zij moeten op de gevaren worden gewezen en op de mogelijkheden om hun veiligheid te vergroten. Dat kan al bij de jeugd beginnen door, net zoals verkeerslessen, lessen over internetveiligheid op te nemen in het onderwijs. Verder zou men kunnen denken een ‘rijvaardigheidsbewijs’ voor het gebruik van het internet. Wil men een (digitale) dienst afnemen bij de overheid of bank, dan moet men eerst een cursus volgen voor een veilig gebruik en het nemen van voorzorgsmaatregelen zoals firewalls en virusscanners. Dit is een veel effectievere aanpak dan het door de overheid laten uitvaardigen van normen in ‘de publieke kern van het internet’, die in de praktijk waarschijnlijk niet kunnen worden gehandhaafd.
