Opinie

Laat cyberveiligheid niet aan de burger over

Cyberveiligheid is een publiek goed, schrijft Ko Colijn. „Je zegt toch ook niet tegen burgers dat ze een raketschild in de tuin moeten zetten.”

Illustratie NRC

Stel dat er een groot aantal Russische of Noord-Koreaanse raketten op Nederland staat gericht en Den Haag een dreigbrief krijgt dat deze binnen drie dagen zullen worden afgevuurd, tenzij we ons direct overgeven en 100 miljard euro op de bankrekeningen van Poetin en Kim Jong-Un overmaken. En stel dat de regering-Rutte vervolgens tegen alle Nederlandse burgers, ziekenhuizen, bedrijven en scholen zou zeggen: zoekt u het vooral zelf maar uit, zet allemaal zelf een raketschild in uw voortuin en maak geen cent over.

Geen zinnig mens kan zich zo’n scenario voorstellen zonder direct tegen te werpen dat het hier om een kwestie van nationale veiligheid gaat en een kerntaak van de overheid betreft die centraal moet worden uitgevoerd. Als het land massaal door schurken, hetzij om politieke of louter criminele motieven, dreigt te worden ontwricht is er weinig reden om het probleem op haar burgers en instellingen zelf af te wentelen: veiligheid is een publiek goed.

Toch is de analogie niet zo absurd. Sinds vrijdag zijn er via de operatie WannaCry in meer dan 150 landen al ruim 200.000 kwaadaardige software-aanvallen gepleegd, waardoor essentiële instellingen (bijvoorbeeld de National Health Service in Groot-Brittannië) en misschien minder essentiële diensten (geldautomaten, parkeergarages) plat lagen. Dader onbekend, next attack waiting to happen. Een van de adviezen van onze overheid is: installeer nog snel je laatste windows-update, bel je beveiligingsbedrijf, maak nog gauw een back up van je bestanden. Natuurlijk is dat raadzaam, al kun je er zeker van zijn dat 20 miljoen computersystemen in Nederland dat niet allemaal doen. Maar zo’n kerntaak van de overheid vraagt om meer dan 20 miljoen zelf te onderhouden raketschildjes.

Nederland doet ook meer, al is het nog de vraag of het niet te veel bij woorden, papier en diplomatie blijft. In het vorige week verschenen WRR-rapport Veiligheid in een wereld van verbindingen wordt een lans gebroken voor het garanderen van flow security, een veilige toevoer van grondstoffen, arbeid, kennis en kapitaal naar onze open economie. „Nieuwe soorten bedreigingen van de cyberveiligheid en infrastructuur kunnen niet op ad hoc basis worden aangepakt”, waarschuwt het rapport. Nogal geruststellend komt de verzekering over dat „Nederland al wel beschikt over een volwaardige strategie voor cyberveiligheid” en dat we die aantreffen in de tweede Nationale Cyber Security Strategie (NCSS2) uit 2013.

De werkelijkheid is anders, we zijn overvallen door WannaCry, halen opgelucht adem dat we in de eerste golf redelijk gespaard zijn gebleven (maar weten eigenlijk niet waarom), en wachten lijdzaam op de volgende losgeld-aanval (of erger: een vernietigingsoffensief met politieke doeleinden), want onze bezorgdheid is wel degelijk reactief, correctief en ad hoc.

Na de haven van Rotterdam en Schiphol kun je de Amsterdam Exchange (AMS-IX) gerust de derde mainport van ons land noemen. Zij is een van de belangrijkste, zo niet het grootste, internetknooppunt ter wereld. Alle netwerkproviders zijn op de AMS-IX aangesloten. Alle bits en bytes die onze computers bereiken, lopen hierlangs. Het is de logische locatie om een super-wasstraat in te richten om cyberaanvallen af te vangen, maar we doen dat niet. Op de knooppunten van de AMS-IX en van de providers daaronder (met naar schatting 20.000 computers) zou door een onbarmhartige digitale douane het overgrote deel van de cyberrisico’s (experts uit de providerwereld zeggen 98 procent) preventief kunnen worden gevist uit de miljoenen virussen, phishing-mails en malware die met kwade bedoelingen over onze digitale infrastructuur uitwaaieren. Die digitale ellende is algoritmisch herkenbaar en filterbaar, onder toezicht van de overheid. Dat vereist weliswaar een enorme rekencapaciteit, maar ook een denkomslag: het gaat om landsverdediging, om een digitaal verlengstuk van het defensiemonopolie van de overheid.

Ook het onderhoud van de internetsystemen is kwetsbaar. Wij hebben een open internetsysteem, wij laten toe dat bedrijven en instellingen, ook providers, zelf bepalen hoe zij zich beveiligen. Vanuit een nationaal veiligheidsparadigma is volledige privatisering van het onderhoud naïef. Concurrentie- en kostenoverwegingen maken dat dit sensitieve werk niet zelden aan onduidelijke, soms ook nieuwsgierige buitenlandse, beveiligingsbedrijven wordt uitbesteed. Het zicht op de totale uitbestedingsstructuur is, vriendelijk gezegd, vaag. Het is te hopen dat de verzamelde kennis over de zwakke plekken van ons digitale domein te versnipperd is, de stukjes liggen ook in China en andere lagelonenlanden, om tegen ons gebruikt te worden.

Dat we een deel van de nationale veiligheid zorgeloos overlaten aan een anything from anywhere at any time-systeem, het internet dus, maakt ons weerloos.