Ik heb niks te verbergen . nl
Europees Verdrag voor de Rechten van de Mens, artikel 8
Een ieder heeft recht op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie.

Voorkomen Diehard 4.0-scenario vraagt om meer cyberveiligheid, minder privacy

Het grote publiek is zich niet bewust van de gevaren die op de loer liggen. In de film “Die Hard 4.0” legt een boosdoener de gehele Amerikaanse infrastructuur plat door middel van computervirussen en Bruce Willis is de held die ze tegen moet houden. Dit Hollywood scenario speelt zich echter nu al af in de echte wereld, zij het gelukkig minder apocalyptisch. Tot nu toe dan. Afgelopen week is de Rabobank slachtoffer geworden van een digitale aanval waardoor de klanten niet konden telebankieren. De (bank)gegevens van 77 miljoen gebruikers van het PlayStation Network van Sony liggen “op straat”. Ook overheidsinstanties zoals het Europees Parlement en de Europese Commissie zijn al slachtoffer geworden van dergelijke aanvallen. Zelfs oorlogsvoering kan digitale vormen aannemen, zo hebben cyberaanvallen op landen als Estland, Georgië en Iran (Stuxnet, wat de nucleaire industrie van Iran ontregelde) wel duidelijk gemaakt. Moderne, open Westerse economieën zijn in het bijzonder afhankelijk van informatietechnologie en daarom, hoe sterk en dynamisch ook, tegelijkertijd kwetsbaar.

Cybercrime- en warfare kunnen ons dus hard raken. Alle reden dus om ons ertegen te wapenen. Maar eenvoudig is dit niet. Het is niet te vergelijken met een overtreding in het verkeer. Motorvoertuigen zijn herkenbaar en traceerbaar via het kenteken. Op het internetverkeer kunnen de deelnemers echter volledig anoniem zijn. Dit brengt ons op een van de belangrijkste en moeilijke politieke discussies die we moeten voeren om dit probleem aan te pakken. Privacy vs. Veiligheid. Dit betekent enerzijds het waarborgen van privacy en anderzijds het creëren van een veilige digitale omgeving voor gebruiker en netwerk. Zijn we bereid om ook maar een fractie van onze privacy in te leveren om onze veiligheid te garanderen? Deze discussie speelt op meerdere gebieden, maar juist bij cyber is het een zwaartepunt.

Als CDA-fractie voelen wij de verantwoordelijkheid om met een oplossing te komen voor dit probleem. Maar een oplossing kan alleen als zodanig dienen als ook burgers, het bedrijfsleven en de industrie met de overheid meedenken. In 2009 legde de Tweede Kamer op mijn initiatief de basis voor een te ontwikkelen Nationale Cyber Security Strategie. Een eerste aanzet daartoe werd in februari van dit jaar door de regering gepresenteerd. In de woorden van Minister van Veiligheid & Justitie Opstelten een “plan in uitvoering”. Minister van Defensie Hillen ontbrak het niet aan gevoel van urgentie. Hij zag ondanks de zware bezuinigingstaakstelling toch ruimte om 50 miljoen euro extra uit te trekken voor cyberwarfare.

Onlangs sprak ik met oprichter en directeur van Dell Computers, Michael Dell over dit onderwerp. Zijn analyse over de risico’s die met cybersecurity gemoeid zijn was eerlijk maar verontrustend: “Ik denk dat er iets heel ergs moet gebeuren voordat de mensen bereid zullen zijn om een fractie van hun privacy op te geven om hun veiligheid te kunnen garanderen”. Ik vind dat we op korte termijn de discussie van Privacy vs. Veiligheid moeten voeren. Mijn focus ligt primair op de veiligheid van mensen en het systeem en we zullen er dan ook alles aan doen om het scenario van Dhr. Michael Dell en “Die Hard 4.0” te voorkomen!

Raymond Knops


Geachte heer Knops,

Met enige verbazing heb ik uw artikel op dagelijksestandaard.nl gelezen. In uw artikel beschrijft u een filmscenario en een aantal recente gebeurtenissen en insinueert daarbij dat het inleveren van enige privacy door burgers nodig is om de 'cyberonveiligheid' uit de voorbeelden te bestrijden. U stelt tevens dat we daarom op korte termijn de discussie over 'privacy vs veiligheid' moeten voeren. Ik ga graag op uw uitnodiging in want ik ben van mening dat u met uw voorgestelde aanpak volledig op het verkeerde pad zit.

Om cybercrime en cyberwarfare te bestrijden is het volgens u noodzakelijk om de anonimiteit op het internet te verminderen. Echter, de cybercrime voorbeelden die u noemt hebben niet anonimiteit als oorzaak. De aanval op de Rabobank heeft niet anonimiteit als oorzaak, maar een botnet dat heeft kunnen ontstaan door de slechte beveiliging van Microsoft Windows en de onwetendheid van gebruikers. Het Sony Playstation netwerk probleem heeft een slechte beveiliging als oorzaak, niet de anonimiteit op het internet. De aanvallen op Estland, Georgie en Iran hebben tevens anonimiteit niet als oorzaak, maar wederom een gebrekkige beveiliging.

U gebruikt het verkeer om een vergelijking te maken, maar zeg nou zelf. Gebeurt alles in het verkeer volgens de regels omdat iedere auto een nummerbord heeft? De vele jaarlijkse verkeersovertredingen bewijzen het tegendeel. En de nummerborden zullen ook niet het aantal verkeersslachtoffers omlaag kunnen brengen.

Als ik bij een product door een gebrekkige veiligheid en normaal gebruik schade ondervindt, dan kan ik de producent aansprakelijk stellen voor de geleden schade. Dat geldt echter niet altijd voor softwareproducten. Ik heb niet veel kans van slagen als ik Microsoft aanklaag als mijn computer tijdens het gebruik van Internet Explorer onderdeel is geworden van een botnet. Het Pentagon speelde maar wat graag de rol van slachtoffer nadat McKinnon op een aantal zeer slecht beveiligde systemen had ingebroken, terwijl zij zich de oren van hun hoofd moeten schamen vanwege hun keiharde falen op het gebied van ICT-beveiliging. Niet dat ik de actie van McKinnon goed wil praten, maar als het Pentagon haar zaakjes goed op orde had, dan was het niet gebeurd.

Problemen los je op door de oorzaak aan te pakken en niet de gevolgen. Dat geldt ook voor ICT-beveiliging. Bedrijven en overheden zullen dus hun beveiliging op orde moeten brengen. Dat moet desnoods door wetgeving worden afgedwongen. Belangrijk softwareleveranciers, zoals Microsoft, moeten zich nog meer bewust zijn van hun rol. Gebruikers moeten zich bewust zijn van de gevaren van Internet en de overheid zou een actievere rol moeten nemen in het wijzen op die gevaren. Als we deze aanpak hanteren, door meer grip te krijgen op beveiliging, pas dan kan je cybercrime en cyberwarfare bestrijden en de gevolgen ervan verkleinen.

Zoals u ziet is het verminderen van privacy in mijn aanpak niet nodig. De privacy verminderen zal namelijk niet bijdragen. De echte handige cybercriminelen weten zich toch wel te verstoppen op het internet. U kunt wel een systeem bedenken die anonimiteit op het internet verkleint of zelfs opheft, maar de ervaring en het verleden leert ons dat elk systeem misbruikt kent. En zolang de overheid, zelfs vandaag de dag, nog steeds niet goed weet om te gaan met identiteitsdiefstal heb ik bijzonder weinig vertrouwen in dat de overheid goed zal kunnen omgaan met het misbruik van zo'n toekomstig online-identiteitssysteem. Het enige dat u daarmee creëert is schijnveiligheid, een nieuwe methode voor cybercriminelen om zich te verbergen en een nieuwe manier voor gewone burgers om slachtoffer te worden. In deze digitale tijd is privacy juist nodig voor veiligheid en over het opgeven daarvan moet niet licht worden gedacht.

Met vriendelijke groet,
Hugo Leisink

Terug