65 Van Middelkoop, Minister van Defensie, Tweede Kamer Staten Generaal, Informatie en Communicatie Technologie, Vaststelling van de begrotingsstaten van het Ministerie van Defensie (X) voor het jaar 2010 66 Tweede Kamer der Staten Generaal, Vragen gesteld door de leden van de kamer, met de daarop door de regering gegeven antwoorden. Vergaderjaar 2009-2010
In 2011 kwam Nederland met zijn eerste Nationale Cybersecurity Strategie met het doel om de veiligheid te verbeteren en het vertrouwen te behouden in het cyberdomein. Hier streefde het naar door middel van een alomvattende strategie voor zowel de privésector als publieke partijen, door vele risicoanalyses uit te voeren, door de weerbaarheid tegen aanvallen te versterken, door afweercapaciteiten aan te moedigen, door intensiever achter cybercriminaliteit aan te gaan en door onderzoek en onderwijs te stimuleren. 68 Met behulp van deze strategie kon het land goed aan de weg timmeren, maar al snel bleek dat dit niet goed genoeg was. Weliswaar kon de nationale veiligheid beter gegarandeerd worden, het was niet voldoende om de internationale ambities van Nederland te concretiseren. Nederland had al eens de leiding genomen in de strijd tegen het water, nu vindt het land het zijn plicht om ook hier vooraan te lopen.69 Als land van diensten kan het op dit gebied veel landen van dienst zijn. Door veel van de doelen van de eerste strategie te behalen kan Nederland ook verder kijken en zijn strategie aanpassen. Op deze manier worden de punten van de eerste strategie aangepast naar de stappen die tegenwoordig gezet worden. Zo moet de overgang van een betrekkelijk vrijblijvend deelgenootschap naar actieve participatie tussen overheid en privésector tot stand komen, wordt de focus op organisatiestructuur als zodanig uitgebreid naar een focus op netwerken en coalities, wordt de rol van belanghebbende partijen onderling verduidelijkt, groeit de capaciteitsopbouw van nationaal door naar internationaal, worden de risicoanalyses geïntensifieerd, komt er een duidelijkere beleidsvisie en gaat men van onbewust naar bewust door tot bekwaam.70 Deze stappen laten de transitie zien van de nationale naar de internationale focus. Daarnaast had Nederland al vroegtijdig door dat er veel afhangt van de band tussen overheid en privésector en kan het nu kapitaliseren op deze inzichten.
Op basis van deze stappen heeft het National Cyber Security Centrum de volgende ambities opgesteld. “De Nederlandse samenleving weet op een veilige manier optimaal
gebruik te maken van de voordelen van digitalisering. Het Nederlandse bedrijfsleven en de wetenschap lopen voorop op het gebied van security- en privacy-by-design. Samen met zijn internationale partners vormt Nederland een vooruitstrevende coalitie voor het beschermen van fundamentele rechten en waarden in het digitale domein”71 Deze drie ambities liggen in
68 Rijksoverheid, Nationale Cybersecurity Strategie, 22 februari 2011, pp. 5 69 Nationale Cybersecurity Strategie 2, pp. 3
70 Nationale Cybersecurity Strategie 2, pp. 17 71 Idem, pp. 23
bereik aangezien Nederland al vroeg één van de belangrijke actoren bleek te worden en het al bezig was met zijn cybersecurity. Om deze punten te realiseren heeft de NCSS 5 doelstellingen opgezet die hier nu uitgelegd zullen worden.
“Nederland is weerbaar tegen cyberaanvallen en beschermt zijn vitale belangen in
het cyberdomein.”72 Dit houdt in dat de beveiliging verhoogd moet worden om de infrastructuur van het cyberdomein functionerend te houden. Ze moet sterk genoeg zijn om tijdens een aanval niet alleen staande, maar ook werkend te blijven. Zo niet, dan loopt naast de nationale samenleving ook de internationale samenleving gevaar. Belangrijk is dus dat Nederland zijn verdediging op een rijtje heeft, zowel zijn eigen ministeriële systemen als de systemen waar de infrastructuur, bijvoorbeeld het elektriciteitsnet, op steunt. Allereerst kan dit gerealiseerd worden door een combinatie van risicoanalyses, door veiligheidseisen te stellen aan bepalende sectoren en het delen van informatie zodat het detectie-programma vlugger kan reageren. Vervolgens moeten de inlichtingen- en veiligheidsdiensten meer capaciteiten krijgen zodat ze cyberspionage beter kan aanpakken. Als de vijand de precieze informatie heeft over onze verdedigingssystemen dan is alles voor niets. Daarnaast oppert de NCSS om een afgezonderd privédomein in het bestaande cyberdomein te creëren. Op deze manier kan gevoelige informatie dubbel beschermd worden, hetzelfde geldt voor vitale processen. Ook is het nodig om de samenwerking tussen burger en militair te versterken. De krijgsmacht moet capaciteiten hebben om van invloed te zijn en de verwevenheid met de burger maakt dit moeilijk. Daarom moet er meer informatie worden uitgewisseld tussen Defensie en de burger. Dit zorgt er enerzijds voor dat Defensie transparanter is voor de burger terwijl er anderzijds meer opties komen voor de krijgsmacht om te handelen. Ten slotte is het nodig dat het Nationaal Cyber Security Centrum zijn capaciteiten vergroot. Het is uitgegroeid tot de steunpilaar in de cybersecurity met zijn eigen detectie-capaciteiten. Met behulp van een betere infrastructuur kan het NCSC zich ontpoppen tot een volwaardig Nationaal Cyber Security Operations Center.
“Nederland pakt cybercrime aan.”73 Voor dit onderzoek is cybercrime geen belangrijk punt, de focus is namelijk gelegd op staten en hoe hier tegen gehandeld kan en moet worden. Toch zijn individueel opererende hackers een gevaarlijke dreiging voor het land en
72 Idem, pp. 23
moeten er stappen gezet worden om ze aan te pakken. Nederland probeert dit door de prioriteit te geven aan opsporing en vervolging. Dit is een lastige benadering aangezien een hacker door middel van een proxy anoniem is. Hierdoor is het een complexe taak een dader aan te wijzen. Daarom wordt er uitgeweken naar een internationale samenwerking met bijvoorbeeld het European Cyber Crime Centre van Europol. Op deze manier kunnen er regels opgesteld worden betreffende de aanpak van cybercriminelen en weet de overheid welke capaciteiten het kan, en mag, inzetten.
“Nederland investeert in veilige en privacy beschermende ICT-producten en –
diensten”74 Aangezien bijna alle aspecten van de samenleving gebruik maken van het cyberdomein staat de beveiliging van deze producten en diensten boven aan het lijstje. De vele voordelen van de globalisering komen hand in hand met de nadelen. De gevaren in het cyberdomein zijn niet zichtbaar met het blote oog van de gebruiker. Zo lopen dus zowel burger als overheidsmedewerker gevaar en ligt de druk bij de digitale dienstverlening. Daarom moet het initiatief genomen worden om het besef te laten groeien onder de internet gebruikers en dit kan gebeuren door te investeren in producten en diensten. Daarnaast kan er samengewerkt worden met de privésector om deze diensten en producten te ontwikkelen en op de markt te brengen. Ook kunnen er coalities worden aan gegaan op internationaal gebied om standaarden te implementeren die de veiligheid kunnen verhogen.
“Nederland bouwt coalities voor vrijheid, veiligheid en vrede in het cyberdomein.”75 Deze doelstelling is er één die voor zich spreekt. Als Nederland zijn rol in de wereld wil behouden zal het moeten zorgen dat het cyberdomein veilig is. Daarnaast moet het cyberdomein in Nederland ook beschikbaar zijn voor iedereen en dat blijft alleen zo als er actie wordt ondernomen. Door middel van diplomatie kan Nederland zijn coalities uitbreiden en via deze samenwerkingsverbanden de gevaren van het cyberdomein inperken of voorkomen. Daarnaast is het de bedoeling om een kennisknooppunt voor conflictpreventie op te zetten dat inzet op de ontwikkeling “op het gebied van internationaal recht en
cybersecurity met als doel het bevorderen van het vreedzaam gebruik van het
74 Idem, pp. 25
cyberdomein.”76 Dit moet het netwerk vormen waar kennis wordt gedeeld tussen overheid en bedrijfsleven, militair en civiel.
“Nederland beschikt over voldoende cyber securitykennis en –kunde en investeert in ICT-innovatie om onze cyber security doelstellingen te halen.”77 De educatie heeft tot dusver een kleine rol in de cyberwereld gespeeld, maar zal moeten groeien om het cyberdomein optimaal te beveiligen. Er is op moment geen overvloed aan experts in cybersecurity en aangezien de afhankelijkheid van cyber blijft groeien, klinkt de roep om professionals steeds vaker. Daarom wordt er geïnvesteerd in de cyberopleidingen, van middelbare school tot wetenschappelijk, HBO-, of MBO- niveau. Hier wordt de student klaar gestoomd om de ICT- wereld in te gaan, werkend voor een taskforce of een bedrijf. Dit zijn de beschermers van de samenleving, zonder de innovatie die uit deze generatie moet komen is cybersecurity gedoemd ten onder te gaan. Daarnaast moet er ook vernieuwing voortkomen uit de nu nog vaak gesloten coalities van actoren, zodat men niet alleen afhankelijk is van zijn eigen vooruitgang.
Het behalen en op gang brengen van deze doelstellingen moet ervoor zorgen dat de ambities die gesteld zijn ook daadwerkelijk bereikt zullen worden. Het is de bedoeling dat er in 2016 een nieuw plan kan worden opgezet dat verder aan de weg timmert betreffende de genoemde punten, net als in de periode 2011-2013 gebeurde. Toch heeft de Nederlandse overheid niet alles in de hand aangezien elk punt op één of andere manier verweven is met een internationale samenwerking of de privésector. Ze kan niet meer doen dan haar eigen taken uitvoeren zo goed mogelijk uit te voeren, inclusief het uitoefenen van haar invloed, waar mogelijk, op terreinen buiten haar directe sfeer.