Gegeven de mogelijk impact van de ontwikkeling van de cybersecurity strategie, nemen we hier graag de analyse van Bits of Freedom over.
Voor het eerst heeft de Nederlandse overheid een strategie ontwikkeld op het complexe onderwerp ict-beveiliging. De Nederlandse Cyber Security Strategie (NCSS) bevat een aantal goede uitgangspunten, maar is vooral te weinig precies. Bits of Freedom somt vier ‘duivels in de details’ voor je op.
Steeds meer mensen hebben het over ‘cybersecurity’, nog steeds weet niemand wat het probleem is. Natuurlijk willen allemaal dat onze communicatienetwerken stabiel zijn en dat ons elektronisch patiëntendossier niet op straat komt te liggen. Maar waar gaat cybersecurity precies over? Beperkt het zich tot het beveiligen van onze ict-infrastructuur of gaat cybersecurity ook over opsporing van strafbare feiten op internet? En hoe kwetsbaar zijn we, hoe vaak worden onze gegevens gestolen of voeren landen een cyber-war met elkaar? Ongenuanceerde en apocalyptische scenario’s lijken hoogtij te voeren, in ieder geval in het maatschappelijke debat. Security expert Bruce Schneier spreekt van een ‘hype‘.
Tegen deze ingewikkelde achtergrond heeft de overheid haar Nederlandse Cyber Security Strategie ontwikkeld. Na eerste lezing stellen we vast dat er een algemene en te weinig concrete strategie is geformuleerd. Want zoals dezelfde Bruce Schneier steevast benadrukt: ‘much depends on the details’. Weliswaar bevat de strategie een aantal goede hoofdlijnen, maar haar gebrek aan detail biedt openingen voor te verregaande controle van het internet.
Na analyse van de strategie, vallen in ieder geval deze vier ‘duivels in de details’ op:
1. Visie op privacy (nog?) geen integraal onderdeel van strategie. De strategie komt niet verder dan dat digitale grondrechten ‘overeind dienen te blijven’ (p.4). Maar welke gevolgen verbindt het kabinet aan deze claim? De visie van het kabinet op privacybescherming wordt vooruitgeschoven tot ergens in 2011 (p.7) en het is onduidelijk of haar visie vervolgens onderdeel zal uitmaken van de strategie.
Een gemiste kans. De overheid had al een hoop kunnen doen, bijvoorbeeld verplichte privacy impact assessments aankondigen. Zulke rapporten verplichten het beschrijven van de privacygevolgen van nieuwe maatregelen vóór hun goedkeuring. Dit komt de kwaliteit van besluitvorming ten goede – met een gedegen privacy impact assessment waren het elektronisch patiëntendossier en de ov-chipkaart bijvoorbeeld nooit in huidige vorm geïntroduceerd. Zulke assessments zijn dus hard nodig, ook in de toekomst: momenteel lijkt het ministerie van veiligheid en justitie gecharmeerd van het idee iedere internetgebruiker permanent af te luisteren. Daarmee behoort privacy direct tot de verleden tijd. En wat te denken van het platleggen van het Nederlandse internetverkeer, wat recent in Egypte en Libië gebeurde? Zo een uit-knop voor het internet is in ieder opzicht een gevaarlijk plan en leidt tot gigantische economische en maatschappelijke schade. En zet een nogal botte bijl aan onze communicatievrijheid.
2. Roep om meer wet- en regelgeving voor cybercrime (p.8) – zonder verdere uitleg. De strategie beschrijft niet welke wetten en verdragen moeten worden aangepast om de internationale samenwerking bij de aanpak van cybercrime te verbeteren. Doelt deze zin daarop of kan deze vage formulering als trojaans paard gelden voor het scheppen van nieuwe bevoegdheden? Behalve structureel afluisteren en de uit-knop, voert het Openbaar Ministerie bijvoorbeeld een lobby voor een nieuwe bevoegdheid om computers van eindgebruikers te hacken. Zo kunnen opsporingsdiensten in je computer kijken, er onzichtbare software op plaatsen of zelfs je webcam ‘overnemen’. Omdat de strategie niet precies is, sluit ze deze verregaande maatregelen niet uit. Toen in Duitsland dezelfde bevoegdheid werd geïntroduceerd, reageerde de Duitse rechter met het inroepen van een nieuw grondrecht op ‘de vertrouwelijkheid en integriteit van it-systemen’ (PDF).
3. ‘Te nemen maatregelen zijn proportioneel’ (p.4). Positief, zou je denken. Maar uit artikel 8 van het Europese mensenrechtenverdrag (PDF) en zijn vaste jurisprudentie volgt het criterium ‘noodzakelijk in een democratische samenleving’ – proportionaliteit is daar slechts een onderdeel van. Deze constatering is belangrijk, omdat ‘noodzaak’ de overheid ook verplicht om te bewijzen of er een ‘pressing social need’ is (dringende maatschappelijke behoefte om de maatregel te treffen), of er minder schadelijke alternatieven zijn (subsidiariteit) en om maatregelen vast te leggen in wet- en regelgeving (legitimiteitsbeginsel). Dit uitgangspunt van de strategie levert dus, ondanks goede bedoelingen, al strijd op met onze digitale grondrechten. Bits of Freedom heeft recent (PDF) nog de Europese Commissie op de vingers getikt, omdat ze bij de evaluatie van de bewaarplicht telecomgegevens uit leek te gaan van proportionaliteit – en niet van ‘noodzaak’. Inmiddels heeft de Europese Commissie zichzelf moeten corrigeren.
4. Democratische controle onder druk door nadruk op ‘zelfregulering’ en samenwerking overheid-bedrijfsleven. Publiek-private samenwerking kan effectief zijn, maar mag het publieke deel van die samenwerking niet ontslaan van haar publieke taak. Deals tussen overheid en bedrijfsleven ontgaan namelijk vaak de democratische controle door ons parlement, omdat overheden bevoegdheden aan bedrijven overhevelen aangezien het bedrijfsleven in mindere mate gebonden is door rechtstatelijke beginselen (transparantie, zorgvuldigheidsbeginsel, legitimiteitsbeginsel, etc.). Aan dit onderwerp, dat we de ‘privatisering van controle’ noemen, zullen we in de toekomst vaker aandacht besteden. Meer informatie vind je in een studie van onze koepelorganisatie EDRi over schadelijke Europese zelfreguleringsinitiatieven.
De strategie kiest voor een aantal realistische uitgangspunten, die tegenwicht kunnen bieden tegen het gebrek aan detail. Zoals eerder door Bits of Freedom bepleit, lijkt het opsporingsbeleid voor cybercrime zich niet op nieuwe bevoegdheden, maar vooral op het uitbreiden van expertise en capaciteit te richten: meer professionals, meer netwerkvorming, meer kennis (p.8-9). Onderwijs en onderzoek zal actief gestimuleerd worden (p.9), waardoor het daadwerkelijke probleem eindelijk – onafhankelijk – in kaart gebracht kan worden. Er is sprake van een besef dat grondrechten in gevaar kunnen raken en overeind dienen te blijven. Sterke toezichtsmechanismes spelen daarin inderdaad een belangrijke rol (p.4), al worden de mogelijke toezichtsvormen niet verder uitgewerkt. En de realistische zin ‘honderd procent veiligheid bestaat niet’ (p.4) is een verademing ten opzichte van eerder veiligheidsbeleid. Het is onmogelijk en schadelijk iedere cyber-aanval proberen te voorkomen. Focus je dus op weerbaarheid, vergroot je incasseringsvermogen en weet hoe je binnen seconden of uren van cyber-aanvallen kunt herstellen.
Maar het ontbreken van de details in de NCSS verdient onze blijvende aandacht. Of de strategie daadwerkelijk bijdraagt aan een daadkrachtige aanpak van cybersecurity, waarbij digitale grondrechten inderdaad overeind blijven, moet bij de verdere uitwerking van de strategie blijken. Een eindoordeel kunnen we dus niet geven, we zullen de ontwikkelingen scherp in de gaten blijven houden.
Als jij nog duivels in de details ontdekt – we hebben ons tot vier beperkt, er zijn nog zat kanttekeningen te maken – of kritiek hebt op onze analyse, aarzel niet om in de comments te reageren. Nu kan je nog impact hebben op deze cruciale ontwikkeling voor internetbeveiliging én internetvrijheid.
Wil je na het lezen van dit bericht werken aan je eigen cybersecurity? Ga dan aan de slag met Webwijs, onze zelfverdedigingsgids voor internetgebruikers.
Reacties (2)
Waarom is BoF eigenlijk niet geconsulteerd door NCSS? Of is dit de consultatieronde?
Tav 2: meer bevoegdheden is niet principieel slecht, zolang een en ander maar gecontroleerd wordt ingezet. Dat betekent dat (tav 3) de te nemen maatregelen wel in detail moeten worden uitgewerkt. (Overigens ben ik van mening dat de intentie van de betreffende alinea niet verkeerd is, de termen privacy en bestaande toezichtfuncties e.d. komen iig voor, zij het dus niet uitgwerkt.)
Tav 4: zelfregulering heeft nog nooit gewerkt (imho). Bedrijven zien security (van gegevens) meestal als een kostenpost, vrijwel nooit als een unique selling proposition.
Ook PPS lijkt mij derhalve niet nuttig. Er is dan altijd een partij die ergens winst op wil maken ipv op schreden terugkeren als het misloopt (zie OV-chipkaart).