VS en EU hebben elkaar nodig voor `cyber-zekerheid'

Bedreigingen als het `I love You'-virus maken duidelijk hoe kwetsbaar het internet is. Om het wereldwijde web beter te beveiligen is mondiale samenwerking vereist. Amerika en de Europese Unie zouden daarbij het voortouw moeten nemen, vinden David Gompert en Maarten Botterman.

In de afgelopen maanden is de wereld diverse malen opgeschrikt door aanvallen op het Internet. Voorbeelden daarvan zijn de ontregeling van toegang tot bijvoorbeeld Yahoo, Ebay.com, Amazon.com en de nieuwszender CNN en de verspreiding van het `I love You'-virus. Deze aanvallen hebben ons in toenemende mate bewust gemaakt van de kwetsbaarheid van vitale informatie en de problemen die als gevolg daarvan kunnen optreden. Ofschoon we het gevaar van deze aanvallen niet moeten overdrijven (`hacking' is nu eenmaal niet direct levensbedreigend) lopen de kosten voor overheid en bedrijfsleven nu al hoog op. Bescherming van de informatie- infrastructuur is dan ook van strategisch belang en een voorwaarde voor continuïteit van bedrijf en samenleving.

Het is echter vaak onduidelijk welke strategie daarbij gevolgd moet worden, welke informatie precies beschermd moet worden en wie daartoe zou moeten investeren. Het is wel duidelijk dat overheid en bedrijfsleven in verschillende landen op elkaar aangewezen zijn. Ze maken immers gebruik van dezelfde netwerken. Deze netwerken houden niet op bij de grens: samenwerking moet zich dan ook uitstrekken tot beide zijden van de Atlantische Oceaan, en uiteindelijk plaatsvinden op mondiaal niveau.

Uiteraard werden er al voor bovengenoemde incidenten links en rechts maatregelen getroffen om software en communicatie betrouwbaarder en veiliger te maken. Deze maatregelen werden enerzijds vooral `after the fact' aangetroffen en ontbeerden bovendien een zorgvuldige strategie. Ook werden ze vooral vanuit het oogpunt van individuele bedrijven ingevoerd. Bedrijven investeren weliswaar in beveiliging van hun eigen systemen, maar virussen die een hele samenleving platleggen kunnen alleen met door overheid ondersteunde middelen aangepakt worden. Met de recente Internet-aanvallen is het duidelijker dan ooit dat overheid en industrie moeten samenwerken. De huidige netwerken waar defensie, luchtvaarttoezicht, energie en andere essentiële diensten gebruik van maken zijn voor een groot deel eigendom van private ondernemingen. Zowel de middelen als de kennis om deze netwerken te beschermen, zijn dan ook in handen van private ondernemingen.

De Verenigde Staten hebben wat dit betreft een voorsprong opgebouwd ten opzichte van Europa. Veel van de gebruikte IT is ontwikkeld in de Verenigde Staten en zowel voor wat betreft innovatie als (in mindere mate) in toepassingen, is de voorsprong op Europa nog altijd groot. Bovendien creëert de verantwoordelijkheid die de Verenigde Staten op zich nemen ten aanzien van wereldwijde veiligheid, belangrijke uitdagingen ten aanzien van militaire informatiesystemen. `Cyber-zekerheid' wordt gezien als een zaak van nationale veiligheid en dus van hoge politieke prioriteit.

Maar zelfs in de Verenigde Staten is er geen sprake van een eenduidige strategie tussen de belangrijkste spelers binnen overheid (Defensie, Justitie, Financiën) en het bedrijfsleven. (leveranciers van IT en informatiediensten, en belangrijke gebruikers, zoals het bankwezen, luchtvaart, gezondheidszorg, nutsbedrijven).

Amerikanen schrijven de vitaliteit van de informatierevolutie en de nieuwe economie toe aan de afzijdigheid van de overheid. Regulering (en subsidiering, en bescherming) van de IT-sector is altijd achterwege gebleven. Na het opsplitsen van AT&T in 1984 heeft de Amerikaanse overheid zich ook teruggetrokken uit de telecommunicatiesector. De huidige industrie wordt gedreven door ondernemers die gedurende hun werkzame leven voortdurend hebben getracht aan de overheid te ontkomen, of, zoals bij de dot.coms, door ondernemers die de overheid als irrelevant beschouwen.

In Europa liggen de spelers dichter tegen elkaar aan. De relatie tussen een groot deel van de telecom-sector en de overheid is gebaseerd op een traditie van samenwerking en een kader van regelgeving, met name op het gebied van nationale veiligheid. In Europa heeft het bewustzijn ten aanzien van cyberzekerheid zich bovendien later ontwikkeld. Europese landen kunnen hun voordeel doen van de lessen die in de Verenigde Staten met vallen en opstaan zijn geleerd. Verdieping en uitbreiding van de Europese Unie dwingt ook tot het vaststellen van transnationale standaarden ten aanzien van betrouwbaarheid van kritische infrastructuren. Informatiesystemen zijn in toenemende mate onderdeel van één wereldwijd systeem, en daardoor kwetsbaar voor verstoringen die zich waar dan ook op het systeem kunnen voordoen. Cyberzekerheid kan dan ook niet door één land worden bereikt.

Harmonisering van regelgeving ten aanzien van specifieke veiligheidsmaatregelen is geen noodzakelijke voorwaarde, maar er is wel een dringende behoefte aan het vinden van standaarden en het samenwerken op het gebied van beveiligingsmethoden en technologieën, en het delen van `intelligence'. Door samenwerking kunnen Amerikanen en Europeanen, industrie en overheid, leren hoe beveiliging te integreren met andere kenmerken van IT die gebruikers belangrijk vinden: eenvoud van gebruik, toegankelijkheid, uitwisselbaarheid, en een steeds verder toenemende functionaliteit.

Om dit voor elkaar te krijgen moeten drempels voor samenwerking worden verwijderd. Dit geldt zowel voor de Amerikaanse beperkingen op export van encryptie-technologie (mogelijkheden om informatie onleesbaar te maken voor derden), als voor de Europese neiging een onafhankelijke koers te willen varen. Met wederzijds respect voor elkaars politieke en maatschappelijke prioriteiten zou de samenwerking moeten worden gekoesterd en gestimuleerd, niet gehinderd. Het is de hoogste tijd te komen tot samenwerking op dit gebied: een samenwerking gebaseerd op wederzijds belang. Bovendien zal de samenwerking op gelijke voet moeten zijn gebaseerd, waarbij Amerikanen beseffen dat zij het probleem niet alleen kunnen oplossen, en waarbij Europeanen beseffen dat zij dit probleem niet aan de Amerikanen kunnen overlaten. Netwerken én bedreigingen zijn globaal. Europees-Amerikaanse samenwerking is dan ook noodzaak, maar uiteindelijk niet voldoende. Bredere samenwerking, waarbij ook Japan, China, India en andere landen betrokken zijn, zal van de grond moeten komen. De EU-VS-samenwerking is hierbij een praktische en dringende eerste stap en zal een precedent en een richting scheppen voor een mondiale aanpak. Samenwerking op het gebied van cyberzekerheid zou hierin zelfs model kunnen staan voor EU-VS-samenwerking in de aanpak van andere mondiale uitdagingen.

David Gompert is president en Maarten Botterman onderzoeksleider bij de onderzoeksinstelling RAND Europe.

    • Maarten Botterman
    • David Gompert