De overheid worstelt met haar rol ten aanzien van het handhaven van digitale veiligheid en trekt nauwelijks parallellen met het fysieke domein.
Hoe moet de overheid haar rol invullen om onze digitale veiligheid te waarborgen?
Uitdagingen van digitale transformatie Onze maatschappij blijft zich in rap tempo transformeren. Het ontstaan van wereldwijde digitale netwerken, bijvoorbeeld met behulp van torrents en sociale media, hebben individuen, organisaties en instellingen nieuwe mogelijkheden gegeven om continu
met elkaar in verbinding te staan. Er is onbeperkt toegang tot digitale informatie en communicatiemogelijkheden. De beschikbaarheid van kennis is daarbij haast eindeloos.
Deze ontwikkelingen hebben een grote impact op ons dagelijks leven. Socioloog Manuel Castells1 benoemde enkele jaren geleden zijn zorg over onze huidige ‘digitale’ samenleving, vrij vertaald: “Op technologisch gebied zijn we ver ontwikkeld, maar we zijn onderontwikkeld als we kijken naar de aansluiting op organisatorisch en sociaal gebied.” In hoeverre zijn onze overheidsinstanties en hun bestuurders thuis in het ‘wilde westen’ van de ‘digitale wereld’? Welke uitdagingen zijn er voor onze veiligheidsbestuurders? En welke rol en verantwoordelijkheid
pakt de overheid als het gaat om onze digitale veiligheid?
De overheid vervult van oudsher een ordenende, sturende en arbitrerende rol ten aanzien van veiligheid. Maar hoe bevordert of ontmoedigt de overheid bepaalde vormen van gedrag ten aanzien van de digitale veiligheid, nu de samenleving zich niet alleen in het fysieke maar ook in het digitale domein manifesteert?
In het rapport iOverheid (2011)2 van de Wetenschappelijke Raad voor Regeringsbeleid (WRR) doet de raad beleidsaanbevelingen met betrekking tot de rol en verantwoordelijkheid van de overheid op ICT-gebied. Volgens de WRR denken zowel politiek als bestuur teveel in “termen van techniek en niet in termen van de informatiestromen die door het verknopen van netwerken en ontelbare ICT-initiatieven, van cruciaal belang zijn geworden. Men redeneert nog vanuit de gedachte van de eOverheid, met een sterke nadruk op techniek en dienstverlening. Maar in de dagelijkse praktijk van beleid en uitvoering is een informatie-Overheid (iOverheid) ontstaan.” De WRR vindt het cruciaal dat de overheid beseft dat ze een ‘iOverheid’ is geworden. Ze stelt dat deze iOverheid in ieder geval systeemverantwoordelijk is voor de ‘iSamenleving’, dat impliceert dat zij ook veiligheid in al haar verschijningsvormen moet garanderen: een rolopvatting die overeenkomt met haar rol in de fysieke wereld.
Op technologisch gebied zijn we ver ontwikkeld, maar we zijn onderontwikkeld als we kijken naar de aansluiting op organisatorisch en sociaal gebied.”
Dit vraagt om aandacht, omdat het garanderen van veiligheid in onze gedigitaliseerde samenleving betekent: omgaan met haar specifieke eigenschappen. Bij digitale criminaliteit is het veelal onduidelijk wie de dader is en wat de intenties zijn. Een individu kan grote schade aanbrengen en een incident beperkt zich niet tot Nederlands grondgebied. De overheid is daarbij afhankelijk van private infrastructuur voor opsporing en ontbeert dikwijls de juiste instrumenten om in te grijpen. De omvang en aard van een cyberincident is daarom al snel groter dan de Nederlandse overheid alleen aankan.
Hoewel veel operationele en tactische initiatieven genomen worden door de overheid om zowel cybersecurity te realiseren als cybercrime te bestrijden, ontbreekt het aan een algeheel begrip dat zowel cybersecurity, cybercrime als (internet)vrijheid en privacy in onze samenleving géén nieuwe fenomenen zijn. Weliswaar is de manifestatie van deze fenomenen veranderd als gevolg van digitale ontwikkelingen in onze samenleving, in essentie blijven het verschijnselen waarvan in het algemeen aanvaard is dat de overheid er een bepalende rol in heeft.
Het gaat veeleer om het streven naar een zichtbare en effectieve transformatie binnen de bestaande instituties en om het besef een iOverheid te zijn, dan om instituties die dat van buitenaf zouden moeten bewerkstelligen.”
Een bepalende rol in de aanpak van cybercriminaliteit Problematisch is dat de politie nog beperkt of nauwelijks zichtbaar is in het digitale domein. Uit onderzoek blijkt dat aangiftes van kleine digitale criminaliteit niet tot nauwelijks worden gedaan door burgers en door politie en justitie zelden worden opgepakt3. Rechtszaken en vervolging bestaan er daarom mondjesmaat. Het is de uitdaging voor de politie om ook zichtbaar te zijn op fora, chatboxes en de verdere digitale snelweg. Hoewel er onder het ‘intensiverings Programma Aanpak Cybercrime (PAC)’ veelbelovende initiatieven worden ontwikkeld en er steeds meer opleidingen tot digitaal rechercheur zijn, blijft de aanpak van cybercrime vooral binnen het dagelijks politiewerk nog marginaal. In een aantal spraakmakende zaken zijn successen geboekt, maar het ontbreekt de digitale rechercheurs aan specifieke wetgeving om echt effectief te zijn. Toch is met behulp van bestaande instrumenten (zoals de huidige wet computer criminaliteit) veel mogelijk, waarbij pragmatisme en een sterk rechtvaardigheidsgevoel een goede basis vormen om in proefprocessen uit te testen hoe ver men kan gaan. Immers, regelgeving loopt per definitie achter op de werkelijkheid.
Iedereen is zelf verantwoordelijk voor zijn digitale ‘slot op de deur’. De overheid promoot cybersecurity, geeft voorlichting en helpt bij incidenten, maar heeft ook in het beschermen van haar eigen infrastructuur een belangrijke rol. Het rapport van de Onderzoeksraad naar het ‘Diginotar incident’4 stelt dat veel overheidsorganisaties digitale veiligheid overlaten aan enkele technische experts. Maar het succesvol borgen van digitale veiligheid reikt veel verder dan de ICT-afdeling. De betrokkenheid van bestuurders en managers met digitale veiligheidsincidenten bleek volgens de Onderzoeksraad ver te zoeken. Onvoldoende kennis van bestaande dreigingen, veiligheidsrisico’s of bewustzijn over de gevolgen op hun digitale veiligheid bleken hiervan de oorzaak. Incidenten als Diginotar vormen weliswaar een goede wake-upcall, maar bieden nog onvoldoende handelingsperspectief om betere digitale veiligheid te helpen garanderen.
Een belangrijke bijkomstigheid is dat de overheid nog in grote mate afhankelijk is van het bedrijfsleven en particuliere gebruikers om een veilig cyberspace5 te kunnen garanderen. Zolang zij niet zelfstandig de fundamenten van een veilige samenleving kan invullen zullen private partijen daarom nauw betrokken moeten zijn bij het realiseren van een veilige samenleving.
De overheid heeft de neiging zich teveel te richten op het opzetten van nieuwe instituties, zoals de Nationale Cyber Security Strategie (NCSS), de Cyber Taskforce bij Defensie, de Cyber Security Raad (CSR) en het National Cyber Security Centrum (NSCS). Meer effect op de samenleving kan worden geboekt wanneer de overheid streeft naar transformatie van bestaande structuren en instituties. Het inrichten van nieuwe instituties en invoeren van nieuwe maatregelen wekt ten onrechte de verwachting dat afdoende regie is gevoerd om onze digitale veiligheid zeker te stellen. En dat terwijl de aanpak van digitale veiligheid veelal een organisatorisch probleem is bij bestaande instituties. De WRR stelt daarover: “Het gaat veeleer om het streven naar een zichtbare en effectieve transformatie binnen de bestaande instituties en om het besef een iOverheid te zijn, dan om instituties die dat van buitenaf zouden moeten bewerkstelligen.” De samenleving doorgaat een digitale transformatie6 en deze kan alleen maar succesvol verlopen als digitale veiligheid daar gelijk mee op gaat.
Mits voldaan aan de juiste randvoorwaarden (vertrouwen!) is een goede aanpak de uitbreiding van meldplicht voor digitale veiligheidsincidenten, die tot voor kort alleen betrekking had op datalekken binnen internet- en telecomproviders. De uitbreiding van de meldplicht naar ‘6 vitale sectoren’ betreft nu alle incidenten die de continuïteit van eigen of andermans dienstverlening sterk kunnen verstoren en die kunnen leiden tot maatschappelijke ontwrichting. Een ander instrument, dat voor zowel veel voor- als tegenstanders zorgde in de publieke discussie, is een uitbreiding van de bevoegdheid van de politie om bij ernstige cybermisdrijven computers te kunnen hacken, ook al staan de betreffende systemen in het buitenland. Dit betekent bijvoorbeeld het op afstand binnendringen vancomputers en het plaatsen van software, het doorzoeken van gegevens of het onklaar maken van computers ten behoeve van de opsporing van ernstige vormen van cybercrime.
Ook in het nieuwe regeerakkoord wordt wederom cybersecurity benoemd: “Er is sprake van toenemende bedreigingen en kwetsbaarheden op het terrein van cybersecurity. Die willen we het hoofd bieden door krachten te bundelen met alle belanghebbenden, de opsporingscapaciteit te versterken en het juridisch instrumentarium aan te passen aan de gewijzigde omstandigheden.” Positief is de uitbreiding van capaciteiten en bundelen van bestaande krachten. Helaas wordt cybersecurity wederom benoemd als een fenomeen waarvoor het instrumentarium moet worden aangepast, in plaats van de organisatie binnen bestaande instituties. Dit is een misvatting.
Beleidsmakers zoeken naar een adequate wijze om digitale veiligheid te realiseren. Dit wordt belemmerd doordat men nog onvoldoende bewust is van het gegeven dat er geen scheiding meer bestaat tussen onze digitale en fysieke wereld. Door de digitale transformatie zijn digitale hulpmiddelen een integraal onderdeel geworden van onze samenleving. De veiligheid van die samenleving is dus in gelijke mate afhankelijk van de veiligheid in het digitale als wel in het fysieke domein.
De overheid is verantwoordelijk voor het functioneren van de iSamenleving. Veiligheid in alle domeinen, fysiek en digitaal, is een integrale uitdaging voor beleidsmakers. Daarom moet de digitale component van veiligheid onderdeel worden gemaakt van alle bestuurlijke afwegingen. Ook bestuurders moeten er rekening mee houden dat veiligheid in onze moderne samenleving alleen nog te realiseren is als de digitale component wordt geïntegreerd in aanpak en overwegingen. Dit betekent binnen organisaties dat daarbij een manier moet worden gevonden om iedereen digitaal veiligheidsbewust te maken.
De overheid moet haar rol, die haar voor fysieke veiligheid al van oudsher was toevertrouwd, ook integraal gaan vervullen binnen de digitale veiligheid. Dit moet zij niet doen door het creëren van uitzonderlijk en ad-hocinstrumentarium, maar door het integreren van digitale overwegingen in bestaande wetgeving, lessons learned en structuurvisies. Wachten op specifiek ontwikkeld beleid, specifieke kaders of digitale regelgeving maakt noch het digitale noch het fysieke domein veiliger. Goed begrip over hoe de fysieke samenleving is gedigitaliseerd moet leiden tot een integrale wetgeving en aanpak van veiligheidskwesties. Digitale veiligheid is een integraal onderdeel van de beleidsvorming en mag daarbij geen uitzonderingspositie meer hebben.