Veiligheid in cyberspace vinden CEO’s en politici een lastig onderwerp. Om na te denken over cybersecurity is diepgaande technische kennis echter geen voorwaarde, vindt prof.dr.ir. Jan van den Berg. ‘Je hoeft niet te weten hoe een computervirus in detail werkt. Belangrijk is te snappen op welke talloze manieren we afhankelijk zijn geworden van IT.’

Door kleinere en grotere cybercrime-incidenten duikt steeds regelmatiger de vraag op hoe veilig internet en onze data zijn. Diep in ons hart rekenen wij erop dat de techniek ‘eens’ met zulke ingenieuze software zal komen dat internet voor altijd veilig is. Een illusie, aldus prof.dr.ir. Jan van den Berg. Hij is hoogleraar Cyber-Security aan de TU Delft en directeur van de Cyber Security Academy (CSA) in Den Haag. Technici krijgen cyberspace nooit helemaal veilig, is zijn overtuiging. Het is noodzakelijk in te zetten op een combinatie van technische en bestuurlijke maatregelen.

Cyberspace beschouwt u als het vijfde domein naast aarde, lucht, water en ruimte. Een opvallende analogie.

foto Sam Rentmeester

‘Het is geen nieuw idee. Zo’n tien jaar geleden identificeerden militairen als eersten cyberspace als vijfde domein en sindsdien leiden zij militaire cyberspecialisten op. Cyberspace is niet virtueel en ongrijpbaar, maar concreet en door onszelf gecreëerd. Het bestaat uit internet en miljarden actoren (mensen en intelligente IT-systemen). Net als de andere domeinen is cyberspace mondiaal, een dynamisch systeem met grootschalige en veelsoortige interactie tussen mensen en IT-systemen. Ook overschrijden problemen de grenzen van het cyberspacedomein: een destructieve actie op internet kan desastreuze gevolgen hebben in de fysieke wereld.’

Waarom denkt u dat technici cyberspace nooit veilig zullen krijgen?

‘Recent werd een ernstig lek ontdekt (Heartbleed) in OpenSSL, het protocol dat internetverbindingen beveiligt, waaronder financiële transacties. OpenSSL is ontwikkeld via openbronsoftware, waaraan vele slimme ICT’ers hebben meegewerkt. Toch is deze fout in de broncode jarenlang niet opgemerkt. Zonder aanvullende organisatorische maatregelen is techniek sowieso gedoemd te falen. Er zijn drie miljard mensen online en miljarden dataverwerkingssystemen, waarvan miljoenen IT-systemen die allemaal autonoom beslissingen nemen. Het is eenvoudigweg onhaalbaar deze allemaal technisch veilig te krijgen en te houden.’

U vindt dat de basis van cybersecuritymaatregelen moet zijn: een door de politiek vastgesteld aanvaardbaar risiconiveau.

‘De afgelopen vijftien jaar zijn wij voor onze economie, infrastructuur, energievoorziening, veiligheid en gezondheidszorg steeds afhankelijker geworden van internet. Wij moeten ons serieus afvragen of het wel zo’n goed idee is om de bediening van bruggen, sluizen en waterkeringen afhankelijk te maken van internet. Hoe ver we daarin willen gaan, hangt af van het risico dat we bereid zijn te nemen. Dezelfde vraag kun je stellen bij ziekenhuizen. Werkt de IT niet, dan kan een chirurg nu niet opereren, want hij heeft geen patiëntgegevens bij de hand. Als we dergelijke risico’s te groot achten, zullen we wellicht weer deels met papieren dossiers moeten gaan werken. Vinden we het wel acceptabel, dan moeten we niet zeuren als de IT een keer uitvalt.’

Als we dergelijke risico’s te groot achten, zullen we wellicht weer deels met papieren dossiers moeten gaan werken.

U stelt voor ‘cyberschappen’ te creëren met de overheid in een regiefunctie.

‘Aansturing op wereldschaal is nu onmogelijk, omdat landen als China en Rusland anders over de rol van de overheid in cyberspace denken dan wij. Mijn voorstel is om eerst lokaal te beginnen. We zouden in Nederland – naar het voorbeeld van waterschappen in het waterbeheersingsdomein – cyberschappen kunnen oprichten binnen de negen topsectoren. Topsectoren zijn belangrijk voor onze economie en zeer afhankelijk van IT. Net als bij traditionele waterschappen voer je risicoanalyses uit. Bij waterbeheersing vinden wij een kans op een overstroming van één keer in de tienduizend jaar aanvaardbaar. Het risico verlagen naar één keer in de twintigduizend jaar kan, maar daar hangt een financieel en maatschappelijk prijskaartje aan. Deze vorm van risicomanagement kunnen wij ook nastreven met behulp van cyberschappen. Het huidige National Cyber Security Centre (NCSC) zou dan dezelfde regierol voor cyberspace kunnen vervullen als Rijkswaterstaat voor waterbeheersing.’

Richt in Nederland cyberschappen op die risicoanalyses uitvoeren.

NCSC zou volgens u online moeten waken over al het dataverkeer in deze sectoren.

‘Nu maakt het NCSC een dreigingsbeeld met betrekking tot cybersecurity over het afgelopen jaar. Over hoe de situatie op dit moment is, kan het echter weinig zeggen. Dat vind ik onvoldoende. De snelwegen monitoren wij wel constant en daar hebben wij profijt van. Overigens zetten de banken al de eerste stap in die richting: IT-beveiligingsbedrijven monitoren realtime alle financiële transacties. Zien zij afwijkende patronen, dan wordt een bank gewaarschuwd. Andere sectoren zouden op dezelfde manier kunnen worden bewaakt. Wel vind ik het belangrijk dat het NCSC transparant werkt en democratisch wordt gecontroleerd.’

Veel van onze privacy zal er dan niet overblijven …

‘Er is een spanningsveld met privacy. Internet heeft ons veel gebracht. Om deze voordelen te behouden moeten burgers ook nadenken over cybersecurity. In een auto gebruiken we autogordels voor onze veiligheid. Voor veilig internetgebruik zullen wij regelmatig nieuwe beveiligingssoftware moeten aanschaffen. Ook moeten we nadenken hoeveel privacy wij willen inleveren voor onze cybersecurity. Neem nu het cyberpesten, waarbij kinderen anoniem worden gepest via sociale media. Privacyregels beschermen de pestkoppen, maar de slachtoffers niet. Hetzelfde geldt voor cybercriminelen en hun slachtoffers.’

Hoeveel weerklank vinden uw plannen bij het bedrijfsleven en de politiek?

‘Veel CEO’s en politici zijn geen technici. Zij vinden IT en cybersecurity lastige, ingewikkelde onderwerpen die zij liever mijden. En zij hopen er nog altijd op dat de ingenieurs via de techniek wel alles zullen oplossen. Dat kan niet meer, ook bestuurders moeten gaan meedenken. Cybersecurity is een verantwoordelijkheid van ons allemaal, van organisaties, bestuurders, werknemers, burgers, en niet alleen van ingenieurs.’ (Angèle Steentjes)

Dit artikel verscheen eerder in De Ingenieur van mei 2014.

Lead image Johannes Hogebrink