Wat betekent decentrale weerbaarheid voor Nederland?
Voormalig minister van Economische zaken, Henk G.J. Kamp stelde het al in 2017; digitalisering is een motor voor economische groei1,3, welke gepaard gaat met kansen en risico’s. Door de toenemende digitalisering van Nederland is er een significante toename in digitale dreigingen. Deze digitale dreigingen zijn een van de grootste risico’s voor de nationale veiligheid in zowel impact als waarschijnlijkheid1,2. Digitale dreigingen, die zowel economische, fysieke en sociaal maatschappelijke gevolgen kunnen hebben, leiden tot maatschappelijke ontwrichting 2,3. Het volledig benutten van de kansen van digitalisering kan alleen als de digitale weerbaarheid op orde is.
Weerbaarheid tegen digitale dreigingen, zogenoemde digitale weerbaarheid, is een randvoorwaarde en blijft een prioriteit. Zonder digitale weerbaarheid zijn de risico’s van digitalisering simpelweg te groot. Hierin speelt decentrale weerbaarheid een belangrijk rol.
Digitale weerbaarheid en decentralisatie vereist burgerpaticipatie en ondersteuning.
Er zijn veel innovaties die gebruikt kunnen worden in het belang van digitale weerbaarheid, maar we moeten niet vergeten waarvoor deze veiligheid dient.
De Digiwacht zijn vrijwilligers die de lokale digitale weerbaarheid waarborgen.
Een gemeentelijke cybersheriff, door de burgers verkozen om hun digitale weerbaarheid te garanderen.
Landelijke kunstmatige intelligentie om digitaal Nederland te beschermen, getraind door heel Nederland.
Wat is decentrale weerbaarheid?
Wat met decentrale weerbaarheid bedoeld wordt is niet dat elke gemeente, veiligheidsregio, provincie en private organisatie zijn eigen silo gaat vormen. Waar ik voor pleit is de decentralisatie van de autoriteit om invulling te geven aan digitale weerbaarheid. Wanneer de zwakste schakel de keten kan breken, is het dan niet logisch dat elke schakel zichzelf moet versterken?
Dit moet verder gaan dan de gemeente die bijvoorbeeld enkel een nieuwe informatie beveiligingsfunctionaris aanneemt of de veiligheidsregio’s die plannen maken voor cybercrises. De autoriteit moet bij de burger komen. Dezelfde burgers die volop van de kansen genieten, maar ook de risico’s lopen en de rekening betalen als het fout gaat.
Welke uitdagingen hebben we vandaag?
De Nederlandse digitale weerbaarheid is, in vergelijking met andere landen, al behoorlijk goed op orde. Zo heeft de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) afgelopen jaar een cyberaanval van de Russische geheime dienst op de Organisatie voor het Verbod op Chemische Wapens (OPCW) in Den Haag verijdeld4. En zien wij binnen Capgemini onze klanten een steeds hogere prioriteit geven aan digitale weerbaarheid, zowel met als zonder onze hulp.
Helaas zagen we afgelopen jaar ook voorbeelden waar we kwetsbaar zijn als Nederland en waar de digitale weerbaarheid voor verbetering vatbaar is. Zo zagen we het fout gaan met de 112-storing, waardoor het noodnummer tijdelijk onbereikbaar was en er drie terugvalsystemen het lieten afweten5. We zagen de universiteit van Maastricht getroffen worden door ransomware waar zelfs na het betalen van bijna € 200.000, – losgeld de systemen niet volledig hersteld waren6. Om nog maar te zwijgen over onderzoeksgegevens die voor onbevoegden mogelijk toegankelijk waren of verloren zijn gegaan.
Daar bovenop is het aantal bedrijven dat melding heeft gemaakt van cyberincidenten gestegen van 45 naar 61 procent ten opzichte van 20187. Dit heeft flinke economische schade veroorzaakt. Deze stijging zou veroorzaakt worden door cybercriminelen die gebruikmaken van steeds geavanceerdere technieken8. Met deze geavanceerde technieken lijken criminele en statelijke actoren steeds meer succes te hebben. Dus waar moeten we beginnen? De digitale weerbaarheid binnen Nederland kan centraal door de overheid geregeld worden, of decentraal met meer nadruk op de lokale belangen.
Decentralisatie van de digitale weerbaarheid als oplossing
Er zijn veel manieren om de digitale weerbaarheid te verbeteren, maar ik denk dat decentralisatie voor Nederland de volgende stap moet zijn. Gelukkig staat dit al hoog op de Nederlandse cybersecurity agenda9.
De reden dat decentralisatie zo van belangrijk is heeft te maken met de eerdergenoemde geavanceerdere technieken. Veel van deze technieken werken omdat ze zich niet op computers of applicaties richten maar op gebruikers, gebruikers die niet gecentraliseerd in Nederland wonen. Gebruikers met diverse normen en waarden. Zo vinden sommige mensen dat informatie voor iedereen toegankelijk moet zijn terwijl andere vinden dan informatie gereguleerd moet worden.
Het is de diversiteit in normen en waarden die misbruikt wordt bij deze geavanceerde aanvallen. Dit soort aanvallen hebben al plaatsgevonden in Amerika in de vorm van desinformatiecampagnes. Deze desinformatiecampagnes speelden in op specifieke doelgroepen die geïdentificeerd konden worden door middel van social mediagedrag. Hiermee hebben Russische hackersgroepen invloed uitgeoefend op de Amerikaanse verkiezingen in 2016 door de bevolking te misleiden10. Ik ben ervan overtuigd dat de oplossing voor dit soort problemen het makkelijkst te vinden zijn door gebruikers zelf. En dat is de essentie van mijn visie op decentrale weerbaarheid.
“Om te voorkomen dat Nederland achterblijft op de groeiende digitale dreiging is het cruciaal dat overheden en private organisaties op decentraal niveau beseffen dat we moeten investeren in cyberveiligheid en zélf de verantwoordelijkheid pakken bij het adequaat beschermen van onze belangen.”
Luuk Stadhouders
wnd. CISO Gemeente Rotterdam
Hoe werkt dat, decentrale weerbaarheid?
Om effectieve decentrale weerbaarheid te ontwikkelen hebben we twee dingen nodig; decentralisatie en participatie, dan volgt verbetering van de digitale weerbaarheid vanzelf.
Als ik naar een klant ga, vraag ik ook aan hen welke digitale systemen of informatie van belang zijn. Dit is namelijk niet iets dat een ander voor je kan bepalen, natuurlijk kan ik hierbij helpen maar het blijven jouw normen en waarden die ondersteund worden met digitale middelen.
Dit werkt ook de andere kant op. Als je jouw normen en waarden niet met mij wil delen, kan ik je niet adequaat helpen. Dit brengt ons bij het belang van burgerparticipatie. Als we van de burger niet weten wat beschermd moet worden, maakt het ook niet uit of de autoriteit gedecentraliseerd is.
Concrete toepassingen van decentrale weerbaarheid
Decentralisatie van autoriteit in combinatie met burgerparticipatie is geen nieuw idee binnen het veiligheidsdomein. Zo bestaan er historische en futuristische voorbeelden die de meeste mensen wel zullen kennen.
1. Historisch kunnen we terugdenken aan onze 16e-eeuwse burgerwachten (waar onder ‘de Nachtwacht’), die als samengestelde groep gewone burgers de openbare orde en veiligheid handhaafde.
2. Iets recenter in de vroege 19e eeuw zagen we in Amerika hoe burgers een lokale sheriff verkozen om hen te beschermen.
3. Wie graag science fictions films kijkt, is natuurlijk bekend met de concepten van kunstmatige intelligente computers die van de mensen moeten leren wat goed en slecht is.
Met deze voorbeelden in gedachten heb ik een drietal voorstellen hoe we in Nederland onze decentrale weerbaarheid kunnen inrichten.
Oplossing 1: de Digiwacht
Een oplossing geïnspireerd op de Nederlandse geschiedenis, de Digiwacht. Net als met de
16e -eeuwse burgerwachten leggen wij de digitale weerbaarheid van Nederland bij vrijwilligers. Deze vrijwilligers zullen de digitale weerbaarheid van hun stad waarborgen. Naar eigen inzicht, met participatie van hun medeburgers, beveiligen zij het digitale landschap van hun stad.
Deze beveiliging kan de vorm hebben van firewalls, DNS-monitoring, aansluiting op een DDOS-wasstraat of andere oplossingen die de Digiwacht noodzakelijk acht. Zo zou elke Digiwacht zijn eigen Security Operations Center (SOC) bemannen. Dit SOC kan de stad weerbaar maken door in te grijpen op zowel grote- als kleine cyberincidenten.
Wel moet overwogen worden hoe de rest van de stad hier inspraak over krijgt. Niet iedereen zal de vaardigheden of tijd hebben om vrijwilliger te worden bij de Digiwacht. Deze mensen mogen niet de dupe worden van een kleine groep technische elite.
Waar te beginnen?
Verdere digitalisering laat niet op zich wachten: 5G, zelfrijdende auto’s en persoonlijke robots zijn er al. Deze innovaties maken ons leven aangenamer, maar we kunnen de gevaren van misbruik door kwaadwillenden niet negeren.
De voorgestelde toepassingen zijn niet makkelijk te verwezenlijken, en bevatten zowel voor- als nadelen. Zo kunnen sommige maatregelingen niet uitsluitend op regionaal niveau genomen worden. Verder is het onvoldoende om alleen de regionale weerbaarheid te versterken, net als dat het voor een organisatie onvoldoende is alleen hun eigen infrastructuur te beschermen. Er zal een manier nodig zijn om incidenten met landelijke impact gezamenlijk af te handelen. Dit wordt bemoeilijkt als elke gemeente, provincie of private organisatie zijn eigen unieke infrastructuur en methodologieën heeft.
Deze uitdagingen maakt het niet minder belangrijk dat we over de voordelen van decentrale weerbaarheid nadenken. Ik ben ervan overtuigd dat decentrale weerbaarheid, in welke vorm dan ook, zal leiden tot een betere digitale weerbaarheid van heel Nederland. We hoeven niet nu te beslissen dat we het morgen allemaal anders doen. Onze veiligheid is al erg sterk en we hebben ruimte om na te denken. Maar als de digitale weerbaarheid niet meegaat met de digitalisering worden we ingehaald door toenemende dreigingen.
Daarom het volgende voorstel: kijk naar je persoonlijke digitale middelen, je smartphone, je applicaties, je laptop en in sommige gevallen zelfs je wasmachine, en sta eens stil bij de vraag of jouw belangen wel beschermd zijn. Wanneer iedereen, persoon en organisaties, deze vraag met “ja” kan beantwoorden, kunnen we volop gebruik maken van de voordelen die de digitalisering met zich mee brengt.
