Opinie

We leven op internet nog als in de prehistorie

De digitale revolutie staat in schril contrast tot de juridische ontwikkelingen op het internet, schrijft . Online levert de overheid ons uit aan criminelen en vijandelijke mogendheden.

Foto Ritchie B. Tongo / EPA

In april 2013 werden internetdiensten van banken als ING en Rabobank voor een aantal dagen verstoord of zelfs lamgelegd. Zou zoiets bij een fysiek filiaal in de stad gebeuren, dan was de politie massaal uitgerukt. Maar op internet gelden blijkbaar andere regels, de minister van Justitie legde de verantwoordelijkheid van de cyberaanvallen bij de banken zelf. Hadden ze maar voor een betere beveiliging moeten zorgen.

Het probleem is dat de overheid het internet niet tot openbare ruimte rekent

Recenter ontstond bij Kamerleden zorg over de bescherming van hun inboxen. Een zorg die gevoed werd door wat Hillary Clinton overkwam tijdens haar campagne: allemaal gevoelige e-mails op straat vanwege een hack met Russisch spoor. Zou dit hier ook kunnen gebeuren, vroegen volksvertegenwoordigers zich af. En kan de minister van Binnenlandse Zaken daar wat tegen doen? De reactie: politieke partijen zijn zelf verantwoordelijk voor de beveiliging van hun informatie.

Toch gek: de staat monitort 24/7 het luchtruim, zodat Russische jachtvliegtuigen tijdig gedetecteerd kunnen worden. Raken ze uit baan, dan stijgen er F-16’s in Leeuwarden op om ze weg te escorteren. Maar als die Russische piloten omgeschoold worden tot hackers en zich zonder toestemming in onze beveiligde digitale ruimten begeven, moet de systeembeheerder van een Kamerfractie het maar uitzoeken.

Wat is hier aan de hand? Om daar iets over te zeggen, moeten we eerst de conditie van het fysieke domein beschrijven. Onze individuele vrijheid is niet maximaal. We hebben er als samenleving voor gekozen deze te beperken in ruil voor bescherming van een autoriteit. Zo mogen agenten wapens dragen, terwijl burgers daarvoor vervolgd worden. Noem het een sociaal contract met de staat. Op internet is het echter veel minder duidelijk. Zodra we ons daar begeven, lijken er opeens andere regels te gelden. Je kunt elkaar uitschelden zonder gevolgen. De autoriteit is daar ver te zoeken. Hier geldt het recht van de sterkste of slimste. Een sociaal contract ontbreekt.

Een echte cybercommissaris

Het probleem is dat de overheid internet niet tot de openbare ruimte rekent en daarom geen verantwoordelijkheid voelt voor de openbare orde aldaar. De leidende gedachte is dat het internet in handen is van private partijen die zelf de beveiliging moeten regelen. Juridisch en technisch gezien correct. Hetzelfde geldt immers voor huizen en bedrijven: eigenaren of huurders moeten die zelf met sloten en hekken beveiligen. Toch gaat die vergelijking niet helemaal op. Het zijn namelijk niet alleen sloten en hekken die inbrekers tegenhouden. Het is het totale systeem van surveillance, oplettende buurvrouwen en de optie om 112 te bellen voor het melden van een inbraak. Kortom, een effectief detectie- en responsesysteem zorgt hier voor een gerede pakkans.

Waarom hanteren we dit model niet online, waarom zien de autoriteiten internet nog steeds niet als openbare ruimte? Het is een plek waar velen meer uren doorbrengen dan op straat. Het is nagenoeg onmogelijk om je niet meer online te begeven. Zeker nu online het recht van de sterkste geldt, hebben we een autoriteit nodig om ons daar te beschermen.

Willen we dat ook? Je zou zeggen van wel, maar er zijn talloze tegenstanders. Het is bijvoorbeeld nog maar de vraag of de wet Computercriminaliteit III door de Eerste Kamer komt. En over de nieuwe Wet op de inlichtingen- en veiligheidsdiensten wordt binnenkort een referendum georganiseerd en is door critici tot ‘sleepwet’ omgedoopt.

Lees ook dit profiel van Ronald Prins: De beste hacker van Nederland stopt ermee.

Beide wetten geven de politie en de inlichtingendiensten de mogelijkheid eindelijk digitaal sterker te zijn dan criminelen en spionnen. Dat velen dat niet zo zien komt doordat ze de wetten niet doorgronden. Zelfs professionals, zoals Kamerleden, overzien niet altijd de strekking ervan. Toch vinden zelfs de felste tegenstanders dat de huidige wetgeving niet langer afdoende is. Voor het broodnodige sociaal contract op internet zijn drie voorwaarden nodig. Een: de overheid moet tot de overtuiging komen dat internet deel uitmaakt van onze openbare ruimte en accepteren dat daar verantwoordelijkheden en waarborgen bij horen. Twee: wat de wetten betekenen moet klip-en-klaar zijn, het schort nu vooral aan uitleg. Checks and balances moeten goed geregeld zijn. Drie: burgers moeten merken dat het daadwerkelijk veiliger wordt onder deze wetten.

Door het ontbreken van politie, veiligheidsdiensten en legers online, leven we op internet nog zoals in de prehistorie. Zeker, onze diensten maken stappen op internet, maar veel meer dan toekijken is het tot nog toe niet. Hun handen zijn gebonden, omdat de wetten niet snel genoeg meegegroeid zijn met de digitalisering. De genoemde wetten moeten daarom, met de nodige waarborgen, zo snel mogelijk van kracht worden. Dat levert een effectief detectie- en responsesysteem op: in eerste instantie zal dat de preventie verbeteren, wat veel belangrijker is dan meer repressie.

Inlichtingendiensten kunnen dan bijvoorbeeld hackpogingen vanuit Rusland verhinderen. Ze hoeven niet pas in actie te komen als het kalf verdronken is en de Russen reeds binnen zijn. Ik kijk uit naar een Cyber Delta Plan met een echte cybercommissaris en toereikend budget om ervoor te zorgen dat zo’n effectief detectie- en responsesysteem er nu echt komt.

Dit is een bewerkte versie van de Gonsalveslezing die Ronald Prins uitsprak op 13 november 2017 ter gelegenheid van de uitreiking van de Mr. Gonsalves nationale innovatieprijs voor de rechtshandhaving 2017.