De “digitale weerbaarheid in Nederland blijft achter bij de groei van dreigingen”, zegt het Nationaal Cyber Security Centrum (NCSC) in een rapport. Iedereen, dus overheden, bedrijven en burgers, zou veel te weinig doen, terwijl de impact van kwetsbaarheden door een toenemende digitalisering alleen maar toeneemt. Correcte analyse, nu nog een kabinet dat er naar handelt.
Kwetsbare maatschappij door kwetsbare infrastructuur
Zeker in Nederland zijn we op veel verschillende manieren erg afhankelijk van het goed functioneren van onze digitale infrastructuur. Maar omdat die infrastructuur erg kwetsbaar is, is ook onze hele maatschappij en democratische rechtstaat kwetsbaar.
Een kleine kwetsbaarheid in een schijnbaar onbelangrijk stukje software kan onze hele maatschappij ontregelen. Hoewel Bits of Freedom vaak kritisch is over de rol van onze overheid in het digitale domein, zijn we bijzonder blij met het heldere beeld dat het Nationaal Cyber Security Centrum (NCSC) schetst. Er is inderdaad veel te verbeteren.
Aandacht voor veiligheid desnoods afdwingen
Veel van dreigingen ontstaan door een gebrekkige aandacht voor de beveiliging van producten. Hoewel bedrijven zich er wel steeds vaker bewust van zijn, worden soms de meest basale maatregelen, zoals het uitrollen van beveiligingsupdates lang niet altijd genomen. Dat is ook niet verrassend: veel bedrijven hebben geen prikkel om dat goed te doen, zegt ook het NCSC. Zij maken een afweging van kosten en baten en de meeste bedrijven hechten daarbij niet veel waarde aan het maatschappelijk belang.
Dat is onverantwoord en daarom moet de overheid ingrijpen. Dat kan door wetgeving te introduceren waarmee bedrijven die een loopje nemen met onze digitale vrijheid aangesproken kunnen worden. De maatschappelijke risico’s zijn te groot om het maar gewoon op zijn beloop te laten.
Cybersecurity is een mondiaal probleem
Het NCSC constateert dat de weerbaarheid in Nederland tekort schiet. Maar volgens Bits of Freedom zijn we voor de veiligheid in onze eigen digitale wereld ook in hoge mate afhankelijk van de manier waarop de rest van de wereld daarnaar kijkt. Het rapport noemt terecht onze sterke afhankelijk van partijen als Amazon, Microsoft en Google, maar die afhankelijkheid is eigenlijk vele malen groter.
Hoewel het NCSC ook het internet of things noemt, heeft dat natuurlijk ook een belangrijke buitenlandse component. Veel van de connected apparaten die we in de winkel kopen, zijn ontwikkeld in een land met nog minder bewustzijn over het belang van adequate digitale veiligheid. En zelfs al zouden we het in Nederland allemaal goed doen, de aanvallen uit het buitenland blijven komen.
Anders gezegd: de weerbaarheid schiet niet alleen in Nederland tekort, maar over de hele wereld. Nederland moet daarom op mondiaal niveau pleiten voor meer digitale veiligheid. Ons land kan zelf wel een voortrekkersrol spelen.
Overheid moet stoppen met misbruik onbekende kwetsbaarheden
Deze rapportage van het NCSC onderstreept weer eens het belang van investeren in digitale weerbaarheid. Ook ons kabinet acht die investeringen “broodnodig”. En precies daarom is Bits of Freedom vaak zo kritisch op onze overheid, want tegelijkertijd probeert het kabinet bijvoorbeeld een wetsvoorstel door het parlement te loodsen dat de politie mogelijk maakt om zogenaamde onbekende kwetsbaarheden te misbruiken in plaats van direct te melden aan de maker.
Het uitbuiten van een verder onbekende kwetsbaarheid helpt de politie misschien in een zaak tegen een drugshandelaar, maar maakt de rest van de wereld onveiliger omdat fabrikant Apple de kwetsbaarheid niet kan oplossen. Ook is het moeilijk in te zien hoe het in stand houden van de markt voor zulke onbekende kwetsbaarheden gezien kan worden als een investering in onze “digitale weerbaarheid”.
Gevraagd: investeringen op steroïden
Hopelijk neemt het kabinet het advies dat het NCSC heeft opgesteld serieus. Dat betekent stevige investeringen in de veiligheid van onze digitale infrastructuur en internationaal het goede voorbeeld geven.
Dat is de motie van Verhoeven, op basis waarvan het kabinet een half miljoen euro te doneerde aan open source encryptie projecten, op steroïden zetten. Dat is de opsporingsdiensten verbieden om te hacken op basis van onbekende kwetsbaarheden, en hen juist verplichten om zulke kwetsbaarheden direct en verantwoord te melden bij de makers van de kwetsbare soft- en hardware. Dat is tijd steken in wetsvoorstellen die er voor zorgen dat fabrikanten alleen nog maar veilige producten op de markt brengen en aansprakelijk gesteld kunnen worden voor de schade die zij veroorzaken als zij dat nalaten.
Nederland moet daarvoor zich in internationaal verband sterk maken, en zelf een voortrekkersrol op zich nemen. Dat zou ons ook goed staan.