Raymond Bierens onderzoekt aan de TU Delft besluitvorming rond cyberstrategie in de publieke en private sector. Daarnaast begeleidt hij managementteams van beide sectoren bij het nemen van besluiten op het gebied van cybersecurity en doceerde hij aan de Cybersecurity Academy en de Haagse Hogeschool.
De digitale wereld met haar toenemende connectiviteit biedt kansen voor vergrote productiviteit en verbeterde dienstverlening door zowel overheid als bedrijfsleven. Tegelijkertijd is de wereld door deze connectiviteit nauwer met elkaar verbonden dan ooit. Dit leidt niet alleen tot kansen, maar ook tot digitale risico’s. Zo wordt het steeds eenvoudiger om vanuit de hele wereld via de digitale snelweg bij u thuis of op het werk binnen te dringen. En als burger of bedrijf heeft u nooit zo weinig inzicht of controle gehad over uw data. In tegenstelling tot de wereld om ons heen, voelt de cyberwereld niet tastbaar. Uw kostbaarste gegevens worden niet weggehaald maar gekopieerd en over landsgrenzen opgeslagen zonder dat u zich dat soms bewust bent.
Gegevens gaan mee ‘op reis’
Maar is deze cybersecurity-wereld werkelijk niet tastbaar? Het internet is niet anders dan een verzameling kabels die door land en zee diverse knooppunten en telecomaanbieders met elkaar verbinden. En ook al gaat het miljoenen keren sneller, ze zijn net zo tastbaar als een reis per auto of vliegtuig buiten Nederland: uw data vertrekken uit het ene land en komen aan in het andere, waarbij in beide landen deze data vallen onder de wetten van dat land. Maar er is geen douane die onderzoek verricht voordat u een land in- of uitgaat, en ook is er geen beschermd gebied omdat het internet bestaat uit kabels in handen van private bedrijven. De hoge snelheid waarmee dit gaat, de afwezigheid van een douane en de onduidelijkheid wie er nu eigenaar is van welke data afhankelijk waar die zijn opgeslagen of doorheen reizen, leveren complexe problemen op voor zowel burgers, bedrijfsleven als overheid. Zo beschermt de Nederlandse Grondwet de persoonlijke levenssfeer en correspondentie van haar burgers, maar beschermt bijvoorbeeld de Amerikaanse Grondwet haar burgers alleen tegen ‘onredelijke zoekopdrachten van de staat’. Wat betekent dit voor de digitale reis van uw data vanuit Nederland naar Amerika? Big Data zijn allang niet meer alleen uw mailtje, maar ook alle context zoals uw locaties, netwerken, wachtwoorden, merk, contacten, betalingen en geïnstalleerde apps. Zo gaan deze gegevens allemaal mee ‘op reis’ toen u ‘ja’ klikte op de algemene voorwaarden van Facebook en worden zij opgeslagen (en verkocht) door Facebook.
Met privégegevens betaald
Het is te eenvoudig om de taak voor digitale bescherming bij één partij te beleggen. In Nederland worden burgers en bedrijven beschermd door de Grondwet die door de Nederlandse overheid wordt uitgevoerd. De Grondwet wordt ook wel een sociaal contract genoemd waar burgers, bedrijfsleven en overheid zich naar elkaar verplichten tot het uitvoeren van de afgesproken taken binnen de geldende wetten en regels. Het is dus een Nederlands probleem waarvoor we binnen Nederland een oplossing moeten vinden.
Allereerst ligt een deel van de oplossing bij de burgers zelf. Gebruikers dienen zich bewust te worden waar ze ‘ja’ op klikken als de app gratis is, maar er feitelijk met de eigen privégegevens wordt betaald. Het gaat hier niet om wéér een mediacampagne, het gaat hier om continue bewustwording vanaf het eerste contact met de digitale snelweg. Dit begint zodra uw kind uw telefoon in handen krijgt als (in sommige gevallen) 3-jarige. Wie weet komt er ooit zelfs wel een rijbewijs voor de digitale snelweg. Maar om dat te kunnen moeten ouders het zelf ook wel eerst begrijpen, en dus is educatie op school, thuis en op het werk door overheid en werkgevers een belangrijk deel van de oplossing.
De overheid speelt haar belangrijkste rol in de uitvoering van haar deel van het sociaal contract: het beschermen van Nederlands grondgebied en haar burgers (en haar data). De digitale snelweg is net zo nauw verbonden aan vitale infrastructuur en overheidssystemen, als uw pc aan Facebook. Het Nationaal Cyber Security Centrum (NCSC) heeft dan ook een belangrijke taak bij de bescherming van deze vitale infrastructuur en die systemen van de overheid waarin uw privégegevens zijn opgeslagen. De opkomst van het internet of things brengt een groeiend aantal risico’s met zich mee en zal de overheid, onder aanvoering van het NCSC, continue moeten dwingen zichzelf en haar vitale industrie weerbaar te maken tegen de nieuwste technologische kwetsbaarheden.
Nederlands Digital Trust Center
Maar wie beschermt bedrijven tegen deze nieuwe technologische kwetsbaarheden? Deze zijn vaak geen vitale sector en daarmee geen hoofddoelgroep van het NCSC. Toch zien zij grote risico’s voor hun intellectueel eigendom, de privacy van hun klanten en worden hun computers meer en meer door cybercriminelen ‘gegijzeld’. Zowel de Cyber Security Raad als het Rathenau Instituut pleiten daarom voor een onafhankelijk Nederlands Digital Trust Center, onder gezamenlijke verantwoordelijkheid van de overheid en dit deel van de private sector, dat met raad en daad terzijde kan staan ten tijde van een digitale crisis.
De taken en verantwoordelijkheden voor cybersecurity liggen bij ons allemaal, de oplossingen soms dichter bij huis dan mensen denken. Het is aan burgers, bedrijfsleven, universiteiten en overheid tezamen om deze bij elkaar te brengen en zo de (digitale) beloftes uit de Grondwet na te komen en Nederland digitaal een stuk veiliger te maken.
Dit artikel is ook te lezen in GOV magazine nummer 12 van Atos.
Hulde. Een zeer goede presentatie van de huidige situatie.
Ik heb nog niet één keer, wie dan ook van de overheid, helder horen zeggen,’Beste Burger, ook u draagt een deel van de verantwoordelijkheid….’
Het is nu eenmaal een feit dat wanneer je gebruik maakt van IT, wat het dan ook is, je deel uit gaat maken van de doelgroep waar de cyber crimineel naar op jacht is. Datzelfde geld natuurlijk voor skimmen en diefstal van uw telefoon of pinpas.
Want als u denkt dat u veilig bent, uiteindelijk is de praktijk dat u dat gewoon niet bent. Het is reeel dit gewoon zo te stellen. Het is dan ook aan de IT professional dit ook gewoon mede uit te dragen.