[gallery link="file" order="DESC"]
Bedrijven en overheden liggen onder vuur omdat ze te veel gebruikersdata naar zich toe zouden trekken. Maar in cyberspace zijn zijzelf ook niet onschendbaar. Ze moeten zich wapenen tegen online bedreigingen, juist ook om de data van gebruikers te beschermen. Welke positie moeten zij innemen op het dynamische speelveld van de digitale veiligheid? Die vraag stond centraal in de succesvolle en druk bezochte CIONET-bijeenkomst Van Cyber Security naar Cyber Resilience, op 13 maart in Den Haag.

Met de skyline van de hofstad als achtergrond was Wil van Gemert de eerste spreker op de veertigste verdieping van de Haagse Toren. Volgens de Nationaal Coördinator Terrorismebestrijding & Veiligheid is cyberspace een plek waar nog veel onduidelijkheid heerst. “Bij dimensies als land, zee, lucht en ruimte is jarenlang de vraag geweest wie de eigenaar is en verantwoordelijkheid draagt. Bij cyber zijn die vraagstukken nog volop aan de orde. Weten burgers, bedrijven en overheid wat ze van elkaar mogen verwachten in een wereld die zich zo snel uitbreidt?”

Zorgplicht

Van Gemert sprak van een gedeelde verantwoordelijkheid bij het creëren van een duidelijk speelveld. “Kernbegrippen zijn transparantie, kennis en regulering. Burgers moeten zich bewuster worden van online risico’s en eigen verantwoordelijkheid nemen. De private sector moet zichzelf een zorgplicht aanmeten door onveilige producten en diensten af te straffen. En de overheid moet soms durven interveniëren: moeten gebruikersvoorwaarden van 68 pagina’s bijvoorbeeld nog wel worden toegestaan?”

In de discussie gaven CIONET-leden aan dat zij van de overheid een voortrekkersrol verwachten bij het scheppen van een veilig en open cyberdomein. “Internet is vrijheid, maar die vrijheid begint nu ook een bedreiging te worden”, sprak een deelnemer. “Het zou goed zijn als de overheid de leiding neemt, en private partijen met veel kennis van zaken bij het verbeteren van de online veiligheid betrekt.”

Martelen

Volgende spreker Bart Jacobs ,hoogleraar computerbeveiliging aan de Radboud Universiteit, filosofeerde nog even door over wie welke verantwoordelijkheden moet dragen in een online wereld waarin big data het nieuwe goud is. “App-gebruikers delen hele contactenlijsten. Als ik bij de Chinese geheime dienst werkte  zou ik een nieuwe Angry Birds maken. Vroeger werd er gemarteld voor dat soort informatie.”

Bedrijven zelf zijn echter ook kwetsbaar, waarschuwde Jacobs. Zij krijgen te maken met bedreigingen als DDoS- en botnetaanvallen. Wanneer hackers de zwakheden in beveiligingssystemen blootleggen reageren bedrijven echter lang niet altijd positief. “Wanneer er melding wordt gemaakt, komt er vaak geen reactie, dus maken hackers het maar openbaar. Dat levert vaak een agressieve juridische respons op. Ik roep op tot een systeem van responsible disclosure, waarbij hackers bedrijven eerst verwittigen wat ze hebben gevonden, en daarna pas publiceren. Op die manier kunnen bedrijven eerst zelf actie ondernemen.”

Silent Circle

Volgende spreker Jaya Baloo, Chief Information Security Officer bij KPN Telecom, benadrukte ook tijdens haar sessie dat bedrijven open moeten staan om op een bres in de veiligheid te worden gewezen. “We moeten juist willen dat hackers ons daarmee confronteren. Wij als KPN zullen hen alleen aanpakken zodra de privacy van onze klanten in gevaar komt.”

De bescherming van klantdata heeft binnen KPN dan ook de hoogste prioriteit. Ieder bedrijf zou daar volgens Baloo zelf verantwoordelijkheid in moeten nemen. “We kunnen wel eigen verantwoordelijkheid van onze gebruikers vragen, maar dan moeten we hen daar ook de tools voor geven. KPN heeft bijvoorbeeld de handen ineen geslagen  met encryptiebedrijf Silent Circle. Daarmee kunnen gebruikers vanaf hun smartphone versleutelde berichten versturen. We moeten dat soort oplossingen zelf aandragen.” Voor zulke soort services mag ook best extra geld gevraagd worden, meende Baloo. “Klanten moeten weten dat als ze niets betalen, ze met hun data betalen.”

Noodweer

Laatste spreker Timo Schless voerde in 2013 een groot onderzoek uit naar de organisatie van botnetbestrijding in Nederland. De overheid zou daar een belangrijke rol in kunnen spelen, maar volgens Schless is het voor hen momenteel lastig een botnet te ontwrichten. “Voor het effectief bestrijden van botnets is enige mate van inbreuk op andere informatiesystemen onontbeerlijk. Momenteel werkt de overheid daarbij samen met verschillende partijen op basis van wederzijdse belangen en vertrouwen, maar die komen niet altijd overeen. Als een bank bijvoorbeeld te maken krijgt met een DDoS-aanval zou de overheid de prioriteit kunnen leggen bij het strafrechtelijk vervolgen van de botmaster, of bij een andere cybercrime, terwijl de bank juist zo snel mogelijk de dienstverlening wil herstellen en de imagoschade beperken. De vraag is dan ook of een monopolie op ‘terughacken’ door de overheid, gezien haar  beperkte capaciteit en de afhankelijkheid van private partijen, op dit vlak houdbaar zal blijven.”

Na een middag discussiëren was de consensus dat de verantwoordelijkheid voor online veiligheid een gedeelde is. Tijdens de aansluitende borrel spraken vertegenwoordigers van het politieke en private domein dan ook nog lang na over hoe zij samen ten strijde kunnen trekken tegen cybercrime.

Auteur: Melvin Captein