Je zegt toch ook niet tegen burgers dat ze een raketschild in de tuin moeten zetten

Laat cyberveiligheid niet aan de burger over

Stel dat er een groot aantal Russische of Noord-Koreaanse raketten op Nederland staat gericht en Den Haag een dreigbrief krijgt dat deze binnen drie dagen zullen worden afgevuurd, tenzij we ons direct overgeven en 100 miljard euro op de bankrekeningen van Poetin en Kim Jong-Un overmaken.

 En stel dat de regering-Rutte vervolgens tegen alle Nederlandse burgers, ziekenhuizen, bedrijven en scholen zou zeggen: zoekt u het vooral zelf maar uit, zet allemaal zelf een raketschild in uw voortuin en maak geen cent over.

Geen zinnig mens kan zich zo’n scenario voorstellen zonder direct tegen te werpen dat het hier om een kwestie van nationale veiligheid gaat en een kerntaak van de overheid betreft die centraal moet worden uitgevoerd. Als het land massaal door schurken, hetzij om politieke of louter criminele motieven, dreigt te worden ontwricht is er weinig reden om het probleem op haar burgers en instellingen zelf af te wentelen: veiligheid is een publiek goed.

Toch is de analogie niet zo absurd. Sinds vrijdag zijn er via de operatie WannaCry in meer dan 150 landen al ruim 200.000 kwaadaardige software-aanvallen gepleegd, waardoor essentiële instellingen (bijvoorbeeld de National Health Service in Groot-Brittannië) en misschien minder essentiële diensten (geldautomaten, parkeergarages) plat lagen. Dader onbekend, next attack waiting to happen.

Een van de adviezen van onze overheid is: installeer nog snel je laatste Windows-update, bel je beveiligingsbedrijf, maak nog gauw een back up van je bestanden. Natuurlijk is dat raadzaam, al kun je er zeker van zijn dat 20 miljoen computersystemen in Nederland dat niet allemaal doen. Maar zo’n kerntaak van de overheid vraagt om meer dan 20 miljoen zelf te onderhouden raketschildjes.

Nederland doet ook meer, al is het nog de vraag of het niet te veel bij woorden, papier en diplomatie blijft. In het vorige week verschenen WRR-rapport Veiligheid in een wereld van verbindingenwordt een lans gebroken voor het garanderen van flow security, een veilige toevoer van grondstoffen, arbeid, kennis en kapitaal naar onze open economie.

‘Nieuwe soorten bedreigingen van de cyberveiligheid en infrastructuur kunnen niet op ad hoc basis worden aangepakt’, waarschuwt het rapport. Nogal geruststellend komt de verzekering over dat ‘Nederland al wel beschikt over een volwaardige strategie voor cyberveiligheid’ en dat we die aantreffen in de tweede Nationale Cyber Security Strategie (NCSS2) uit 2013.

De werkelijkheid is anders, we zijn overvallen door WannaCry, halen opgelucht adem dat we in de eerste golf redelijk gespaard zijn gebleven (maar weten eigenlijk niet waarom), en wachten lijdzaam op de volgende losgeld-aanval (of erger: een vernietigingsoffensief met politieke doeleinden), want onze bezorgdheid is wel degelijk reactief, correctief en ad hoc.

Na de haven van Rotterdam en Schiphol kun je de Amsterdam Exchange (Ams-Ix) gerust de derde mainport van ons land noemen. Zij is een van de belangrijkste, zo niet het grootste, internetknooppunt ter wereld. Alle netwerkproviders zijn op de Ams-Ix aangesloten. Alle bits en bytes die onze computers bereiken, lopen hierlangs.

Het is de logische locatie om een super-wasstraat in te richten om cyberaanvallen af te vangen, maar we doen dat niet. Op de knooppunten van de Ams-Ix en van de providers daaronder (met naar schatting 20.000 computers) zou door een onbarmhartige digitale douane het overgrote deel van de cyberrisico’s (experts uit de providerwereld zeggen 98 procent) preventief kunnen worden gevist uit de miljoenen virussen, phishing-mails en malware die met kwade bedoelingen over onze digitale infrastructuur uitwaaieren.

Die digitale ellende is algoritmisch herkenbaar en filterbaar, onder toezicht van de overheid. Dat vereist weliswaar een enorme rekencapaciteit, maar ook een denkomslag: het gaat om landsverdediging, om een digitaal verlengstuk van het defensiemonopolie van de overheid.

Ook het onderhoud van de internetsystemen is kwetsbaar. Wij hebben een open internetsysteem, wij laten toe dat bedrijven en instellingen, ook providers, zelf bepalen hoe zij zich beveiligen.

Vanuit een nationaal veiligheidsparadigma is volledige privatisering van het onderhoud naïef. Concurrentie- en kostenoverwegingen maken dat dit sensitieve werk niet zelden aan onduidelijke, soms ook nieuwsgierige buitenlandse, beveiligingsbedrijven wordt uitbesteed. Het zicht op de totale uitbestedingsstructuur is, vriendelijk gezegd, vaag.

Het is te hopen dat de verzamelde kennis over de zwakke plekken van ons digitale domein te versnipperd is, de stukjes liggen ook in China en andere lagelonenlanden, om tegen ons gebruikt te worden.

Dat we een deel van de nationale veiligheid zorgeloos overlaten aan een anything from anywhere at any time-systeem, het internet dus, maakt ons weerloos.

*) Ko Colijn is verbonden aan instituut Clingendael en publiceert over internationale veiligheid. Dit artikel verscheen eerder in NRC.

 

Laat cyberveiligheid niet aan de burger over

Gepubliceerd

26 mei 2017

Wat vinden de experts?

Job Witteman
27 mei 2017
Job Witteman
Verkeerde vergelijking en conclusie

Wat een onzin van Ko Colijn om te beweren dat AMS-IX de aangewezen plek zou zijn om verkeer ‘schoon te wassen’, alleen omdat er veel verkeer over onze exchange loopt.

Eindgebruikers hebben een contract met hun providers en die nemen veelal de filtertaak reeds op zich teneinde hen te vrijwaren van malicieus verkeer dat hun computer kan beschadigen. De providers zijn bij ons aangesloten en wisselen er verkeer uit dat ze zo veel mogelijk ‘schonen’. En waarin ze nauw samenwerken.

Bovenal vind ik de vergelijking van Colijn potsierlijk en volkomen onjuist om aanvallen zoals met WannaCry met een atoomdreiging te vergelijken. De burger hoeft zich inderdaad niet tegen een raket te beschermen, maar wel tegen allerhande andere, kleinere risico's die zijn bezittingen betreffen, zoals tegen inbraak in zijn woning.

Er ligt wel een beschermende taak van de overheid en die neemt de overheid ook op zich met cybersecurity. Die wordt nu uitgebreid en er wordt meer geld voor gevraagd.

 

Anouk Vos
31 mei 2017
Reflexen fysieke wereld niet toepasbaar in digitale domein

Ko Colijn vindt dat de overheid ons digitale bescherming moet bieden, net als tegen atoomdreiging. Maar je kunt reflexen uit de fysieke wereld niet even op het digitale domein toepassen. Het heeft een totaal nieuwe dynamiek en vereisten.

Lees verder in de column Waarom we alsmaar geen grip krijgen op cyber security

Netkwesties
Netkwesties is een webuitgave over internet, ict, media en samenleving met achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen.
Colofon Nieuwsbrief RSS Feed Twitter

Nieuwsbrief ontvangen?

De Netkwesties nieuwsbrief bevat boeiende achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen o.g.v. internet, ict, media en samenleving.

De nieuwsbrief is gratis. We gaan zorgvuldig met je gegevens om, we sturen nooit spam.

Abonneren Preview bekijken?

Netkwesties © 1999/2024. Alle rechten voorbehouden. Privacyverklaring

1
0