Digitaal Pearl Harbor?

Een tijdje geleden was ik in Harvard waar een collega me meenam naar de zondagse dienst in het simpele witte kerkje op de campus. Studenten, professoren en hun families luisterden er naar een dominee die bad voor vermeerdering van kennis, in het bijzonder voor kennis die het „waard was gekend te worden”. Die zin bleef hangen.

Wat is kennis die het waard is gekend te worden? De vraag is wie dat bepaalt. Dat is zeker ook op het uiterst gepolitiseerde terrein van veiligheidsonderzoek een zeer relevante vraag. Neem bijvoorbeeld cybersecurity, een nieuwe modeterm die betrekking heeft op de bescherming van digitale netwerken.

Sinds een paar jaar zijn er op dat gebied allerlei alarmistische geluiden te horen. De cybercassandra’s komen vooralsnog vooral uit de Verenigde Staten. Oud-minister van Defensie Leon Panetta waarschuwde voor een ‘digitaal Pearl Harbor’. Volgens president Barack Obama is ‘cyber’ net zo gevaarlijk als terrorisme, het is een ‘weapon of mass disruption’. Dat klinkt bijna net zo eng als de ‘weapons of mass destruction’ die Irak bij nader inzien niet bleek te hebben.

Van zo’n klinkende waarschuwing is het maar een kleine stap naar een nieuwe impuls voor de veiligheidswetenschap. De Amerikaanse regering verwacht 10,5 miljard dollar aan information security te besteden in 2015. Wereldwijd gaan er bedragen om van 140 miljard per jaar.

Het is één van de weinige terreinen die ook in Europa en in Nederland aan de bezuinigingen ontsnappen. Nederland heeft een cyberkolonel aangesteld en 50 miljoen euro uitgetrokken voor de opbouw van een cyberleger. Ook de wetenschap gaat zeker proberen op deze nieuwe hype mee te liften. En waarom zou ze niet.

Er is immers wel degelijk sprake van een digitale revolutie die zich uit in nieuwe dreigingen, of in ieder geval in oude dreigingen die nieuw worden verpakt en anders binnen zullen komen. Cybercrime is een grote kostenpost. Cybersabotage is aan de orde van de dag. Denk aan Rusland dat in 2007 het internet in Estland platlegde, of aan de worm Stuxnet die door Israël en de Verenigde Staten op Iran werd afgestuurd. En vergeet ook niet de DigiNotar-affaire in Nederland, die zijn wortels in Iran had.

Het grote probleem zit ook niet in de pogingen meer inzicht, kennis en capaciteit op het gebied van cybersecurity te verwerven. Het gevaar is subtieler en schuilt in de eenzijdige sturing van de wetenschap. Het wordt problematisch als wetenschappelijk onderzoek in dienst staat van het voorkomen van een ‘digitaal Pearl Harbor’. Een goed voorbeeld zijn ‘onderzoeksprojecten’ zoals die van het adviesbureau Booz Allen. Dat heeft in opdracht van het Pentagon en enkele onderzoekers een ‘cyber solutions network service’ opgericht. Booz Allen juicht op zijn homepage dat het daarmee gegarandeerd alle „rogue cyber criminals” een stap voor is en verklaart zich alvast winnaar op „tomorrow’s cyber battleground”. Wetenschappers, consultants en de NSA samen ten strijde.

Ook in Nederland is er sprake van sturing, zij het indirect. Nederlandse ministeries hebben samen met het NWO 6,4 miljoen uitgetrokken voor een nieuwe ‘call’ voor onderzoek op het gebied van cybersecurity. Onderzoekers die hiervoor in aanmerking willen komen, moeten samenwerken met het bedrijfsleven, passen binnen de doelstellingen van de topsectoren en het liefst ook een exacte of technologische achtergrond hebben. Voorstellen van collega’s buiten de exacte wetenschappen, die eerst eens wilden uitzoeken hoe het juridisch allemaal zat en wat de ethische kaders waren, werden bij de call van vorig jaar met lege handen naar huis gestuurd.

Natuurlijk is bescherming van digitale belangen belangrijk. En onderzoek daarnaar mag ook best gefinancierd worden. Maar door de waarde van dat onderzoek bij voorbaat te koppelen aan de topsectoren en in een veiligheidsvat te gieten, ligt de uitkomst voor de hand. Noties van privacy, proportionaliteit, behoorlijk bestuur en ‘good governance’ blijven als zelfstandige onderzoeksdoelen buiten beschouwing.

Thomas Rid, onderzoeker aan het Londense King’s College, beweerde vorig jaar in een controversiële en invloedrijke publicatie dat „cyberwar will not take place”. Volgens hem is het cyberdomein vervuild door alarmistische scenario’s en een eenzijdige gerichtheid op dreigingen. Het is een onderzoeksterrein op jacht naar nieuwe vijanden geworden. Maar schuilt het gevaar alleen in de vermeende cyberterroristen, of niet ook een behoorlijk beetje in die oncontroleerbare, eenzijdige, publiek-private onderzoeksconglomeraten?

Het is zorgwekkend wanneer de wetenschap zich op sleeptouw laat nemen door commerciële of militaire belangen en gaat meedeinen met de golven van sensatiezucht en alarmisme. Ook binnen beperkte subsidiekaders horen onderzoekers hun eigen agenda te bepalen.

De waarde van de wetenschap ligt in de vermeerdering van de vormen en wijzen van kennen, ook op het vlak van de cybersecurity. Wetenschap is geen verlengstuk van beleid of bedrijfsleven. Het is een ‘way of knowing in a world of uncertainty’, niet meer, niet minder. In die ‘way of knowing’ ligt de waarde, en in het benoemen van de ‘uncertainties’. Ook daarvoor kun je naar de kerk.

    • Beatrice de Graaf