Tussen periodes van lockdown door toog Nathalie Jaarsma december vorig jaar naar New York. Als lid van een nieuwe werkgroep van de Verenigde Naties sprak zij met collegae van over de hele wereld over normen en regels in cyberspace. Die zijn nodig, want wat mag je van elkaar verwachten en hoe spreek je elkaar aan als staten in geval van dreiging? ‘Dan is de vraag: welke regels gelden eigenlijk?’
(Noot vooraf: het interview met Nathalie Jaarsma vond plaats voorafgaand aan de Russische invasie in Oekraïne.)
Internationaal cyberbeleid staat al langer op de agenda van BZ. Het is medevormgegeven door bijvoorbeeld een affaire als die van DigiNotar (het bedrijf dat zorgde voor de beveiliging van overheidswebsites en vervolgens gehackt werd) in 2011 en het WRR-rapport 94 ‘De publieke kern van het internet; naar een buitenlands internetbeleid’ van 2015. Jaarsma: ‘Ik leidde in die periode het team veiligheid- en defensiebeleid binnen de Directie Veiligheidsbeleid en dat was ook de tijd dat ‘cyber’ als thema begon te spelen binnen de Verenigde Naties (VN), de Navo en de Organisatie voor Veiligheid en Samenwerking in Europa (OVSE). De conclusie van het WRR-rapport was dat als de backbone van het internet in Nederland geraakt zou worden, dat dan de rapen gaar zouden zijn. De vraag die zich aandiende: moeten we ons daar niet beter op gaan equiperen, niet alleen iets doen aan onze eigen verdediging, maar ook een meer actieve rol nemen in het internationale domein?’
BZ zette daartoe een cybertaskforce op die het initiatief nam voor een internationale conferentie, de Global Conference on Cyberspace (GCCS). De toenmalige minister Uri Rosenthal was daar namens ons land als ‘special envoy cyber’ bij betrokken. Die conferentie resulteerde in een tweetal nieuwe initiatieven: het Global Forum on Cyber Expertise (GFCE) en de Global Commission on the Stability of Cyberspace (GCSC).
Focus van het GFCE ligt bij capaciteitsopbouw. ‘Want Nederland en andere gedigitaliseerde landen kunnen hun zaken wel op orde hebben, maar hoe gaat het in andere landen qua weerbaarheid en qua rechtsgang? De wereld draait door en ook die andere landen moeten mee in de vaart der volkeren van cybersecurity. Het GFCE is een soort marktplaats waar vraag en aanbod voor cyberassistentie bij elkaar komt. Dat kan zijn, traditioneel, tussen ontwikkelingslanden en Westerse landen, maar het kan ook zijn kennis uitwisselen op basis van een gelijkwaardig niveau van digitalisering.’
De GCSC is in het leven geroepen, legt Jaarsma uit, ‘rond de vraag welke normen we met elkaar moeten afspreken in cyberspace. Daarover was al een discussie gaande binnen de VN, maar die had nog meer diepgang nodig. Wij wilden ons daar ook beter op positioneren en zagen het belang van een groep multi stakeholder actoren – het internet is uiteindelijk niet iets van overheden – die hierover zouden gaan nadenken.’
Internationaal recht
Dat normatieve kader behoort, evenals de capaciteitsopbouw en de diplomatieke respons, tot het primaire aandachtsveld van Jaarsma. Over het normatieve kader: ‘Wij zien dat er staten zijn die offensieve cybercapaciteit hebben opgebouwd en die inzetten op een manier die bedreigend is voor internationale vrede en veiligheid. Dan is de vraag: welke regels gelden eigenlijk? Binnen de VN is een aantal trajecten gestart die inmiddels ook hebben geleid tot consensusafpraken over verantwoord statelijk gedrag in het digitale domein. Kort gezegd komt het erop neer dat bestaand internationaal recht in z’n geheel toepasbaar is in cyberspace. Daarnaast gelden er op dit moment elf gedragsnormen, weliswaar niet juridisch bindend, maar het betekent wel dat het normen zijn. Sommigen noemen dat vrijwillige normen en ja: zo kun je ze noemen, maar ze zijn niet vrijblijvend.’
De inspanningen van de VN zijn erop gericht om ‘verkeersregels in cyber’ op te stellen voor overheden, aldus Jaarsma. Dat was belegd bij een tweetal werkgroepen: de Group of Governmental Experts (GGE) en de Open Ended Working Group (OEWG). Vervolgens heeft de Algemene Vergadering van de Verenigde Naties Staten bij consensus opgeroepen om zich te houden aan de consensusrapporten van deze werkgroepen. Recent is een nieuwe OEWG gestart waar Jaarsma zelf deel van is. ‘Afgelopen december was ik in New York voor de eerste sessie van die werkgroep die voor vijf jaar is geïnstalleerd. Wat ons betreft moet het nu veel meer gaan over implementatie en ook: hoe spreek je elkaar aan als staten? Daarnaast is de uitdaging hoe we ervoor zorgen dat mensenrechten goed zijn geborgd. Want als gaat over internationaal recht in de breedte, dan staan mensenrechten erg onder druk. Hoe krijgen we dat beter verankerd? De implementatie van afspraken houdt natuurlijk verband met de diplomatieke respons, want op het moment dat je ziet dat staten zich niet houden aan de regels die je hebt afgesproken, dan moet je ze gaan aanspreken.’
Daarin is ook een grote rol voor Jaarsma weggelegd, ‘om dat soort dialogen aan te gaan’, zoals ze het zelf formuleert. Je bent diplomaat of niet natuurlijk. Die gesprekken, licht ze toe, verlopen binnen de context van de afspraken over ‘verantwoord statelijk gedrag’ en de signalering van gedrag dat niet als zodanig wordt beschouwd, resulterend in de vraag of daarop door het betreffende land actie kan worden genomen. Jaarsma geeft een voorbeeld: ‘Er is gewoon een verplichting in internationaal recht, het due diligence principe, en die is ook vastgelegd in een niet-bindende norm. Die verplichting zegt dat op het moment dat een aanval vanuit een land effect heeft op een ander land, dan moet het land waar die aanval vandaan komt – en die overheid weet ervan – binnen de kaders van zijn nationale wetgeving al het mogelijke doen om die aanval te stoppen. Dat geldt ook voor Nederland. Dus de internationale afspraken over verantwoord statelijk gedrag is het kader van de diplomatieke respons en daarover hebben we ook in de EU afspraken gemaakt. Bijvoorbeeld over wat voor soort tools we kunnen inzetten als landen die afspraken schenden, met sancties als ultimo.’
Diplomatieke responsgroep
Jaarsma spreekt in dit verband van een samenspel met de inlichtingen- en veiligheidsdiensten. ‘Voor de analyse – wat is er nu precies gebeurd en wie zit erachter, en waarom? – daarvoor heb je die diensten nodig. Je hebt je informatie uit het Intel-domein maar ook uit forensisch onderzoek, dat komt uit verschillende bronnen en dat moet ergens worden samengebracht. We hebben een diplomatieke responsgroep opgezet. Dat is een interdepartementale groep bestaande uit de verschillende spelers, dus zowel de diensten als de NCTV, Nationale Politie, Defensie en Algemene Zaken. Alle relevante spelers zitten daar om tafel om in eerste instantie de vraag te beantwoorden: wat is hier nu precies aan de hand? En vervolgens de vraag te beantwoorden: moeten wij hier diplomatieke actie op ondernemen en zo ja: hoe dan? Want je wilt effectief zijn, uiteindelijk is het doel om die foute gedragingen van staten te keren. Dan heb je dus ook te maken met verschillende soorten staten die gevoelig zijn voor verschillende soorten interventies.’
Dan refereert u aan de ‘usual suspects’ te weten Rusland, China, Noord-Korea en Iran?
‘Ik kan hier natuurlijk geen inlichtingen zitten delen, maar wat er in de jaarverslagen van de diensten staat, neem ik ook gewoon als uitgangspunt.’
Hoe verloopt ‘grosso modo’ die dialoog?
‘Dat is een goede. Dan bedoel je waarschijnlijk met dit soort staten, niet met Duitsland?’
Inderdaad. Neem het oprollen van een Russisch spionagenetwerk door de AIVD waarbij twee inlichtingenofficieren ons land werden uitgezet.
‘Ik was daar niet bij betrokken, ik was nog niet in functie toen. Wat er sowieso gebeurt op het moment dat je acties overweegt richting een ander land, of het nu gaat om een goed gesprek, het uitzetten van diplomaten of het opleggen van sancties, je gaat als overheid altijd te rade bij je experts die gaan over het betreffende land. Dus in het voorbeeld van Rusland: dan hebben we contact met onze landendeskundigen en met de post in Moskou en kijken we naar wat de bredere dossiers zijn die spelen. Er zijn hier mensen de hele dag bezig met Rusland, die hebben al die dossiers op hun vizier. Voor diplomatieke respons in reactie op onverantwoord statelijk gedrag in cyber nemen we het normatief kader als uitgangspunt; we bezien de impact op Nederland of op bondgenoten, hoe zeker we zijn over de schuldvraag en wat de beste manier is om een specifiek land aan te spreken cq hun gedrag te beïnvloeden. Die afwegingen worden heel zorgvuldig en in samenhang gemaakt.’
‘Om op de eerste vraag terug te komen: hoe dat soort cyberdialogen gaan, dat is wisselend. Een dialoog heeft vaak een heleboel verschillende onderwerpen in zich. We hebben recent een interdepartementale dialoog gehad met Rusland, waarbij verschillende delen van de Rijksoverheid aan tafel zaten en ook van de Russische overheid. Dan gaat het over een breed pallet aan onderwerpen, waaraan je ook recht wilt doen. Dat kan gaan over een bepaalde samenwerking die er is tot worstelingen met hoe je moet omgaan met kunstmatige intelligentie en hoe men daarover denkt. Met wat voor wetgeving zijn wij bezig, en met wat voor wetgeving zijn zij bezig? Daar speelt ook een beetje subtiele beïnvloeding bij, want je bent je eigen overwegingen aan het ventileren waarvan zij ook kunnen denken: daar kunnen we wellicht iets mee. Net zoals ze zouden kunnen denken dat ze ons ergens een hak mee kunnen zetten.’
Dit soort dialogen is vaak ook het platform om cyberdreigingen te bespreken, zegt Jaarsma. ‘Je praat over wat je ziet gebeuren en kunt dat dan ook adresseren. ‘We zien dat dit of dat bij u vandaan komt, daarover maken wij ons zorgen, wat gaat u eraan doen?’ Dat kan dan gaan over wat wij zelf waarnemen, maar het kan ook gaan over wat Europa vindt. China bijvoorbeeld daar zitten we als EU op één lijn met betrekking tot onze zorgen over het stelen van intellectueel eigendom langs cyberweg. Dan ben ik de eerste die zich daarover uitspreekt en dat doen mijn Franse collega, mijn Duitse collega, mijn Zweedse collega bijvoorbeeld ook in de dialogen die zij hebben. Waarbij je ook probeert om A) te achterhalen wat de motieven zijn en B) te kijken naar mogelijkheden om dit soort landen beter in dat normatieve kader te krijgen.’
Nieuw initiatief
In de Boedapest-conventie van november 2001 zijn maatregelen vastgelegd voor het bestrijden van strafbare feiten via elektronische netwerken. Het verdrag is toen niet door alle landen ondertekend en hoewel een aantal landen dat later alsnog heeft gedaan, stelt Jaarsma nuchter vast: ‘Het is een illusie om te verwachten dat de hele wereld op een gegeven moment Boedapest gaat tekenen.’
Om die reden heeft de VN een nieuw initiatief gelanceerd en dat is de ‘Ad Hoc Committee to Elaborate a Comprehensive International Convention on Countering the Use of Information and Communications Technologies for Criminal Purposes’. Die commissie is belast met een onderhandelingstraject dat moet resulteren in een nieuw internationaal verdrag ter bestrijding van cybercriminaliteit. ‘Dat moet een verdrag worden waarachter de hele VN zich gaat scharen. Dat zal waarschijnlijk een mindere standaard zijn dan de Boedapest conventie, maar dan heb je in ieder geval ook met andere landen een basis waarmee die uitwisseling soepeler kan gaan lopen.’
Jaarsma refereert nog even aan een uitspraak van voormalig minister Stef Blok over de rol van Nederland in het cyberdomein: ‘We zijn het aan onze stand verplicht’. ‘Uiteindelijk zitten wij hier in Nederland op een enorm internetknooppunt. Wij zijn vergaand gedigitaliseerd en wij plukken economisch de vruchten van het internet. Dus wij hebben daarmee ook een verantwoordelijkheid om het domein veilig te houden. Ik merk zoals onlangs in New York, waar we dan als Nederland met drie mensen zitten plus nog iemand van de permanente vertegenwoordiging, dat we invloed hebben. In onze grondwet staat expliciet vermeld – en daar zijn we voor zover ik weet uniek in – dat wij de internationale rechtsorde willen versterken en bevorderen. Het ontwikkelen van een normatief kader en spelregels voor verantwoord statelijk gedrag in cyber sluit daar naadloos op aan. Net als het aanspreken van landen die zich niet verantwoordelijk gedragen. Het is gewoon een opdracht aan onszelf.’
(Dit artikel verscheen eerder in GOV-magazine nummer 19 van Atos.)
