Ik kan me deels vinden in het betoog van Colijn dat digitale veiligheid als publiek goed gezien zou moeten worden. Onze maatschappij is inmiddels volledig gestoeld op digitale infrastructuur en zelfs met de beste wil is het vrijwel onmogelijk je hier aan te onttrekken. Uitval van ICT, al dan niet moedwillig, heeft ongekende keteneffecten die menigeen duperen. Echter, iets als publiek goed benoemen maakt niet automatisch dat de reflexen uit onze fysieke wereld van toepassing zijn.
De NAVO heeft kort geleden het cyberdomein formeel vastgesteld als vijfde domein van oorlogsvoering (naast land, zee, lucht en de ruimte). Met deze vaststelling heeft de NAVO een rol voor zichzelf in cyberspace voorzien. Ook binnen de Nederlandse overheid zien we dat de verschillende ministeries, maar ook gemeenten en zelfstandig bestuursorganen, ‘iets’ willen doen in het beveiligen van cyberspace.
Maar wat die rol nou precies is en wie je kunt inschakelen op het moment dat je in digitale nood zit is nog altijd niet duidelijk. Ja, je krijgt vanuit de overheid het advies om je systemen te updaten, en ja er wordt een folder gedrukt met tips and tricks en informatiebijeenkomsten gehouden,… maar hiermee ben je er niet.
De echte cyber ghostbuster (who are you gonna call?) is er ondanks alle horrorscenario’s als digitale Pearl Harbours en WWWW1 (World Wide Web War 1) in de media en ondanks alle miljoenen die aan cyber security worden uitgegeven nog altijd niet gerealiseerd.
Gekunstelde exercitie
De grote vraag is dan ook waarom, ondanks alle aandacht en geld, we geen grip op cyber security lijken te krijgen? Een belangrijk antwoord op deze vraag is dat de regels van de fysieke wereld niet één op één door te vertalen zijn op cyberspace. De ophanging van cyberspace als vijfde domein is een gekunstelde exercitie. In tegenstelling tot de andere domeinen is cyberspace geen natuurverschijnsel, maar man-made.
Cyberspace is daarnaast ook niet statisch, maar continu in ontwikkeling. Verder is cyberspace in principe eindig, er is niets wat ons er van weerhoudt om een opvolger van het domein te organiseren als het domein niet meer voldoet. En tenslotte is cyberspace, anders dan de andere domeinen, niet in handen van de overheid, maar voor het overgrote gedeelte in privaat bezit.
Grenzen, afstanden, verantwoordelijkheden, daderschap en slachtofferschap worden in cyberspace geherdefinieerd. Hier wringt het voor een overheid die een vuist wil maken en de digitale wereld als publiek domein wil beschermen.
Overheid moet fouten maken
Grote aanvallen uit het verleden hebben ons laten zien dat de overheid in de praktijk vaak met de handen gebonden is. Je kunt als overheid niet zomaar ergens ‘achter de knoppen gaan zitten’ om burgers, bedrijven etc. te beschermen. Dit vereist samenwerking met non-statelijke actoren als gezichtsloze hackers en multinationale bedrijven, maar ook internationale samenwerking op ongekend intensief niveau.
Dit betekent dat je als overheid moet pionieren en ook onvermijdelijk fouten zult maken. De inherente eigenschappen van het cyberdomein maken dat een cybersoldaat niet vanzelfsprekend een Nederlandse militair is in overheidsdienst met extra IT-bagage, een cyberdiplomaat niet vanzelfsprekend een werknemen van Buitenlandse Zaken met een interesse in het internet en een cyberagent niet vanzelfsprekend blauw. Cyber security vraagt om nieuwe hybride rollen en verantwoordelijkheden.
Het uitkristalliseren hiervan kost tijd. Saskia Stuiveling vergeleek het digitale domein eens met de revolutie die de uitvinding van de boekdrukkunst teweegbracht. 'Het duurde 200 jaar voordat de gevolgen dáárvan waren neergedaald', zei Stuiveling, 'dus met de digitale revolutie zitten we pas aan het begin.'