Europa heeft eerst een dreun nodig

De EU wil de veiligheid van computernetwerken bewaken. Maar er is weinig speelruimte om cybercrime grensoverschrijdend te bestrijden.

Met enige fanfare begroette de Europese Unie onlangs de oprichting van het `European Network and Information Security Agency' (ENISA), dat in 2004 van start gaat. Volgens Eurocommissaris Erkki Liikanen (Informatiemaatschappij & Bedrijven) kan met het agentschap verder worden gewerkt aan een ,,cultuur van veiligheid'' rond computernetwerken. De Europese regeringsleiders vroegen vorig jaar om zo'n agentschap, omdat informatie- en communicatietechnologie essentieel zijn voor de economische concurrentiekracht van Europa.

De Europese Commissie lanceerde eerder al haar `e-Europe Actionplan'.Maar is ENISA ook echt in staat om aanvallen van hackers of terroristen op vitale computernetwerken zoals in de telecommunicatie en energievoorziening af te slaan of te voorkomen? Europarlementariër Wim van Velzen vreest dat Europa eerst een ,,geweldige dreun'' nodig heeft om zich goed te wapenen tegen zulke aanvallen. De CDA'er speelde een belangrijke rol bij de totstandkoming van de regelgeving die nodig is voor de oprichting van het ENISA.Het gevecht met de lidstaten over de bevoegdheden voorspelt volgens Van Velzen weinig goeds. Als het in de EU om politie en veiligheid gaat, staan alle lidstaten meteen op hun strepen om hun soevereiniteit te beschermen. ,,Het is ook arrogantie dat men meent het zelf wel te kunnen oplossen, terwijl een kind toch weet dat het een mondiaal probleem is'', zegt Van Velzen.De EU-lidstaten deden er aanvankelijk van alles aan het oorspronkelijke voorstel van de Europese Commissie voor het ENISA af te zwakken. Zij volgden een uiterst ongebruikelijke procedure met een eigen alternatief plan, waarin van het agentschap weinig meer overbleef dan een vederlicht adviesorgaan. Gewoonlijk komen lidstaten tot een gemeenschappelijk standpunt op basis van een Commissie-voorstel. Van Velzen: ,,Ik heb in tien jaar veel meegemaakt, maar dit is de meest vreemde procedure geweest.''. Hij beschouwt de oprichting van agentschap slechts als ,,een eerste stap''.Aanvankelijk was in het ENISA nauwelijks plaats ingeruimd voor het particuliere bedrijfsleven, terwijl de privé-sector zo'n 80 procent van alle netwerken in handen heeft. Het Europarlement heeft het agentschap door een groot aantal amendementen in elk geval weten op te tuigen. Een belangrijke taak van het ENISA is naast het geven van advies aan Europese Commissie en lidstaten ook het helpen coördineren van activiteiten om netwerken en informatie te beveiligen. Daarnaast moet het agentschap informatie geven om burgers, bedrijven en overheden bewust te maken van de risico's bij gebruik van internet en informatiesystemen, zodat ze ook beter weten hoe zich te beschermen.Ook maakt het agentschap risico-analyses en krijgt het een rol in risico-management. Het ENISA gaat dus meer doen dan louter bedreigingen in kaart brengen. ,,Wij hebben ervoor geknokt dat het ENISA ook een meer uitvoerende taak krijgt'', onderstreept Europarlementariër Van Velzen. Zo is afgesproken dat het agentschap nauw gaat samenwerken met bedrijfsleven, universiteiten en overheden om preventieve technieken te ontwikkelen. Dat moet ook leiden tot meer standaardisering van technologieën. Zo kan een permanente dialoog ontstaan over de aanpak van veiligheidsproblemen in hardware en software. Op initiatief van het Europarlement krijgt het ENISA een `permanente groep van belanghebbenden' om de uitvoerend directeur te ondersteunen. Hierin zitten representanten van bedrijfsleven, universiteiten, consumentenorganisaties en ook onafhankelijke experts. Deze stakeholders zullen worden betrokken bij de samenstelling van werkgroepen, die voor alle mogelijke specifieke problemen kunnen worden ingeschakeld.

In het bestuur van het agentschap zullen niet alleen de EU-lidstaten en de Europese Commissie, maar ook bedrijfsleven en consumentenorganisaties zijn vertegenwoordigd. Om de onafhankelijke positie van de ENISA-directeur te versterken wordt hij op aandrang van het Europarlement niet voor 2,5 jaar maar voor vijf jaar benoemd. Een manco in de opzet van het ENISA is volgens het Europarlement dat niets is geregeld voor grensoverschrijdende samenwerking bij de opsporing en bestrijding van cybercrime.

Zo is samenwerking tussen het ENISA en Europol voor de meeste lidstaten een brug te ver. ,,Als je de problemen echt wilt aanpakken, had je dat natuurlijk moeten regelen'', onderstreept Van Velzen. Zijn Britse socialistische collega Arlene McCarty constateerde in haar rapportage aan het Europarlement dat zelfs niet duidelijk is hoe de nationale justitiële autoriteiten het Europese agentschap moeten consulteren ,,omdat noch in de EU-verordening noch in nationale wetten hierover ook maar iets is geregeld''. Zij heeft dan ook ,,ernstige twijfel'' over het ENISA en de bestrijding van cybercrime.

Een extra probleem is dat IP-adressen van internetgebruikers onder de Europese richtlijn voor privacybescherming vallen. Maar ook dat ligt politiek uiterst gevoelig. Soms zijn IP-adressen geanonimiseerd, wat de opsporing van hackers en terroristen nog moeilijker maakt. Volgens Van Velzen valt uiteindelijk niet te ontkomen aan wijziging van de EU-richtlijn voor dataprotectie. Van Velzen wijst in dit verband naar de Verenigde Staten. Bij een groot internetbeveiligingsbedrijf als Symantec worden hackers en virusverspreiders constant in de gaten gehouden.

Van Velzen: ,,Daar zie je op het scherm een aanval gebeuren. En dan weten ze dat het weer `die meneer uit Amsterdam' is.'' De Amerikaanse overheid heeft veel meer speelruimte voor de bestrijding van cybercrime. Bovendien heeft minister Tom Ridge voor Homeland Security een groot aantal bevoegdheden van andere departementen naar zich toegetrokken. De ex-directeur van Symantec werd onlangs door de federale overheid benoemd tot hoofd van de National Cybersecurity Division. Bij de recente grote electriciteitsstoring in de VS en Canada draaiden de Amerikaanse bestrijders van cybercrime overuren om de computers van het elektriciteitsnetwerk die nog wel werkten, tegen mogelijke aanvallen te beschermen. ,,Zo'n structuur hebben we in Europa niet'', aldus Van Velzen. ,,In Europa zal het op deze manier heel moeizaam gaan.''

De Europese Commissie constateerde onlangs nog dat de individuele lidstaten ,,bij hun aanpak in zeer uiteenlopende stadia zijn en tot op zekere hoogte voor verschillende benaderingen kiezen''. Dat was ambtelijke taal om te zeggen dat een aantal lidstaten er op het gebied van cybercrime nog weinig van bakt. Volgens ingewijden in Brussel hoort Nederland tot de lidstaten die nog een lange weg hebben te gaan. Zo zouden de onderlinge verantwoordelijkheden in Nederland onvoldoende zijn geregeld. Van Velzen vindt dat EU-lidstaten nationale agentschappen voor netwerk- en informatiebeveiliging zouden moeten oprichten. Het ENISA kan dan een overkoepelend agentschap worden. ,,Ik hoop dat als het ENISA er eenmaal is, ook een tweede stap kan worden gezet. Want het fenomeen van de cybercrime zal de komende tijd veel meer van onze energie vragen.''

Maar eerst moeten de Europese regeringsleiders het nog eens worden over de vestigingsplaats van het ENISA. Zulke besluiten leiden tot eindeloos politiek touwtrekken. Volgens ingewijden maakt Finland, dat niet alleen door Nokia koploper is in ict, de meeste kans. Voorlopig start het ENISA in Brussel.

    • Hans Buddingh'