Tekst Pieter Vermaas
Foto Jeroen de Bakker

Gesprek over de rol van de Cyber Security Raad

De dreiging van cybercriminaliteit is altijd aanwezig. Wat kan Nederland, dat zo afhankelijk is van internet, daar tegen te doen? Een gesprek met een hoogleraar computerbeveiliging en een KPN-topman – beiden lid van de Cyber Security Raad – plus een hoofdofficier van justitie. “Samen kunnen we de weerbaarheid vergroten.”

Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit Nijmegen: "The bad guys have gone digital, maar de juridische wereld is heel erg bezig met traditionele onderwerpen."

“Beseft de juridische wereld wel hoe erg het is?” Bart Jacobs, hoogleraar Computerbeveiliging aan de Radboud Universiteit Nijmegen, vindt van niet. “In mijn colleges cybersecurity zeg ik steeds: ‘The bad guys have gone digital’. Maar zijn wij daar als maatschappij helemaal klaar voor? Nee! Voor een groot gedeelte handelen we reactief. Bovendien zie ik dat men in de juridische wereld heel erg bezig is met allerlei traditionele onderwerpen. Dat men niet voldoende de urgentie van cybersecurity ziet, daarover maak ik me zorgen.”

“Misschien is het wel aardig om te noemen dat OM-collegevoorzitter en lid van onze CSR Gerrit van der Burg die urgentie wél ziet. In juni 2016 voorspelde hij bij Nieuwsuur dat binnen vijf jaar de helft van alle strafzaken cybercrime-gerelateerd zullen zijn. Een screenshot van dat interview gebruik ik in mijn colleges ‘cyber security’ voor eerstejaarsstudenten. En dan vertel ik erbij dat Van der Burg daar ook heeft gezegd dat het OM er nog niet op is ingericht. Het OM kampt met een expertise- en opleidingsprobleem omdat de aansluiting tussen ICT en recht in de juridische opleidingen nog heel beperkt is. Dat is een steeds urgenter probleem. Dus áls je het al verstandig zou vinden om cybersecurity met louter juridische middelen aan te pakken, heeft het OM daar de komende jaren niet de capaciteit en de expertise voor.”

Wapenwedloop

“De dreiging op cyber is altijd aanwezig”, zegt Joost Farwerck, die namens Nederland ICT zitting heeft in de Cyber Security Raad en lid is van de Raad van Bestuur van KPN. “De digitale wereld geeft veel mogelijkheden en kansen, maar stelt ons tegelijkertijd voor een grote uitdaging: burgers en bedrijven worden blootgesteld aan verschillende cyberbedreigingen. De veiligheid daarvan zal nooit honderd procent gewaarborgd zijn. Het betekent een wereldwijde ‘wapenwedloop’ voor allerlei disciplines en vakgebieden. Nederland kan daarin wat doen, maar het is belangrijk dat ook op Europees niveau wordt geacteerd. We willen dat Nederland een veilige, open en welvarende samenleving is en blijft. Dan bieden de digitale ontwikkelingen veel economische en maatschappelijke kansen die wij als Nederland kunnen verzilveren, áls digitaal ook veilig is. Daarom moeten overheid, bedrijfsleven en wetenschap blijven investeren in cybersecurity. De succesvolle aanpak van dreigingen via de cybersecurity-levenscyclus (prevent-detect-response-monitor) vereist ook samenwerking op deze principes in de driehoek bedrijfsleven, overheid en wetenschap. Alleen dan maken we Digitaal Nederland sterker en veiliger.”

Bart Nieuwenhuizen, hoofdofficier arrondissementsparket Den Haag: “Een strafrechtelijke aanpak is niet voldoende; daarvoor is cybercrime te anoniem, te grenzeloos, te technisch en soms ook te laagdrempelig.”

Linksom of rechtsom moeten we als maatschappij cybercriminaliteit bestrijden,  zegt de Haagse hoofdofficier Bart Nieuwenhuizen. Als portefeuillehouder cybercrime vervangt hij in dit gesprek Gerrit van der Burg, het OM-lid in de CSR. “Natuurlijk heb ik allereerst mijn OM-bril op en alleen daar zie ik al hoe divers strafrechtelijke onderzoeken zijn. Een greep: Parket Rotterdam haalde honderden illegale, gemodificeerde modems uit de lucht. Amsterdam kende een phishingmail-zaak. Het Landelijk Parket achterhaalde in het Ennetcom-onderzoek 3,6 miljoen versleutelde berichten van de georganiseerde misdaad. Het LP infiltreerde het Hansa Market op het darkweb, om die daarna neer te halen. En het Functioneel Parket is deskundig op het gebied van ‘virtual currencies’. Dat is al een hele wereld, waarop we inspelen via expertiseopbouw, taakverdeling, en via een richtlijn voor strafvordering die rekening houdt met type zaak, type verdachte en de schade voor de maatschappij.

Maar ik ben het eens met Bart Jacobs en Joost Farwerck: een strafrechtelijke aanpak alléén is niet voldoende, daarvoor is cybercrime vaak te anoniem, te grenzeloos, te technisch en soms ook te laagdrempelig. Dus willen we niet alleen verdachten vervolgen. We doen mee met preventie: burgers wijzen op het gevaar van ‘ransomware’. Of we ‘verstoren’ criminelen met een integrale aanpak. Zo gaven politie en OM in operatie Hyperion op een website een overzicht van aangehouden verkopers en gebruikers van het darkweb. Dat schrok af: mensen die zich tot dan toe anoniem waanden, werden verstoord. En met allerlei bedrijven en instanties zijn politie en OM in gesprek om af te tasten of gegevens en dreigingsinformatie kunnen worden uitgewisseld, bijvoorbeeld dreiging vanwege het Internet of Things.”

Security patches

“Die kennis vanuit verschillende hoeken”, reageert ­KPN’s Joost Farwerck, “zet de CSR om in adviezen en aanbevelingen. Over Internet of Things hebben we recent de ­minister van J&V een advies gestuurd. Daarin pleiten we onder meer voor certificering, keurmerken en toegangseisen voor IoT-apparaten. Updates moeten bijvoorbeeld tijdig beschikbaar komen en apparaten moeten ook van het internet kunnen worden afgekoppeld zonder hun reguliere functionaliteit te verliezen. Ook moet de digitale veiligheid beter onder de productaansprakelijkheid kunnen vallen en moet duidelijk worden welke Nederlandse toezichthouders op grond van zorgplichten fabrikanten kunnen aanspreken op basale veiligheidsproblemen zoals het niet tijdig verstrekken van security patches.”

Joost Farwerck, bestuurslid Nederland ICT en chief operating officer bij KPN: “Cybersecurity betekent een wereldwijde wapenwedloop voor allerlei disciplines en vakgebieden.”

“De drie jaar geleden gestarte Nationale CyberSecurity Summer School is een ander initiatief. Daar kunnen studenten een week lang lezingen over Cybersecurity volgen en zo enthousiast raken voor een baan in deze sector.  Goed geschoold personeel vergroot de wendbaarheid en weerbaarheid van Nederland tegen mogelijke dreigingen.”

Robbertje discussiëren

Professor Jacobs relativeert enerzijds het belang van de CSR. “De raad is een onofficieel adviesorgaan, heeft geen juridische status en er zit ook wel eens een vergadering tussen waarbij ik na afloop denk: ben ik dáárvoor naar Den Haag gekomen? De raad is bedoeld voor een onafhankelijke frisse blik. Voor mij als wetenschapper zonder achterban is het makkelijk discussiëren, terwijl CSR-leden uit de publieke sector bij een discussie óók aan hun ministers denken, en CSR-leden uit het bedrijfsleven in een discussie over veiligere apparaten óók aan het commerciële belang.

Maar het goede is: Dat wordt gewoon benoemd en langzaamaan ontstaat meer overeenstemming. Zo zit de raad de laatste jaren nadrukkelijk op de lijn van de zorgplichten op ICT-gebied, een juridisch kader waarin iedereen zich kan vinden. En internationaal gezien is onze CSR krachtig. In Nederland kunnen overheid, wetenschap en bedrijfsleven samen aan tafel zitten, ergens een robbertje over discussiëren en op een goede manier weer naar buiten lopen. Dat is veel moeilijker denkbaar in het veel formeler bestuurde Duitsland of Frankrijk - daar zet men in hun CSR bijvoorbeeld alleen maar staatssecretarissen.”

Afvoerputje

Hoe effectief is een adviesclub als de CSR? Een rechtstreeks effect van de CSR is moeilijk te noemen, denkt Jacobs. “Maar ik ben het eens met de gedachte dat het OM niet het ‘afvoerputje’ van de maatschappij moet zijn. Dus als bijvoorbeeld op internet veel rotzooi voorbij komt, kunnen allereerst providers zelf wat doen. Ander voorbeeld: steeds meer mensen vinden het leuk om met een appje elektronisch hun voordeur te openen. Maar als dat gehackt kan worden, krijg je veel meer inbraken en zit het OM met de gebakken peren.

Maar er verbetert ook veel. Als je tien jaar geleden door een stad in Nederland liep en op je telefoon keek, zag je vrij veel open Wifi-netwerkverbindinagen. Dat is bijna allemaal verdwenen. Dat komt doordat Jantje en Pietje aan een knopje hebben gedraaid en hun wifi-verbinding dicht hebben gezet. Maar dát komt weer vooral door de gestegen awareness; steeds meer consumenten kennen de risico’s. En vanuit hun zorgplicht dwingen en ‘nudgen’ fabrikanten hun gebruikers min of meer dat dit soort systemen beter ‘dicht’ komen te staan. Dus de effecten van de CSR zou je in die sfeer moeten zoeken. Het nut van CSR-discussies is dat ze vaak over nieuwe dingen gaan. De gedachtenvorming ís dan nog gaande. Daardoor wordt het resultaat van onze discussies daadwerkelijk regelmatig meegenomen in nota’s en Kamerbrieven.”

Hoofdofficier Nieuwenhuizen: “Bij cybercrime kunnen diverse partners barrières opwerpen om criminelen te hinderen en te stoppen. Het vergt soms lef om te komen tot effectieve interventies en samenwerking tussen partijen die aanvankelijk misschien niet zo beseften hoe belangrijk daar hun bijdrage is. In die brede samenwerking speelt de CSR een belangrijke rol, die ook de bestrijding van cybercrime ten goede komt. De CSR adviseert en jaagt aan dat er meer bewustwording of zelfs regulering komt. Het advies over zorgplichten draagt bijvoorbeeld bij aan het opwerpen van barrières. Dit is voor het OM en voor de maatschappij gunstig. Als criminelen niet allemaal strafrechtelijk kunnen worden opgespoord en vervolgd, kiezen we voor de integrale aanpak. Linksom of rechtsom: samen bestrijden we cybercrime.”