Goed cybersecuritybeleid begint bij de basis
De afgelopen tien dagen heeft minister Opstelten onder de noemer ‘Alert Online’ campagne gevoerd om het internet veiliger te maken. Een goed initiatief, maar cybersecurity vraagt om meer: het vraagt om visie. Helaas ontbreekt het de minister daaraan vooralsnog. In plaats daarvan komt hij met ad hoc voorstellen die het internet ónveiliger zullen maken, zoals zijn voorstel om de politie de bevoegdheid te geven om op afstand in te breken in computers en daarop heimelijk software te installeren die het mogelijk maakt om computers over te nemen en betrokkenen te bespieden.
Een belangrijk onderwerp als cybersecurity verdient beter. Bits of Freedom is ervan overtuigd dat de online veiligheid in Nederland met gerichte, slimme maatregelen sterk verbeterd kan worden. Daarom hebben we Het cybersecuritybeleid van de toekomst ontwikkeld: vier uitgangspunten en acht maatregelen die in goed cybersecuritybeleid niet mogen ontbreken. Samen met belangrijke stakeholders en experts op dit gebied presenteren we dit stuk vandaag aan beleidsmakers. Zo kan het als leidraad dienen voor een grondige discussie over cybersecurity, zoals op 6 december wanneer dit onderwerp in de Tweede Kamer wordt besproken.
Simpele problemen, simpele maatregelen
Het uitgangspunt van die discussie moet zijn dat cybersecuritybeleid begint bij de basis. Een groot aantal incidenten is namelijk te wijten aan simpele kwetsbaarheden. Die incidenten kunnen worden voorkomen door het toepassen van simpele veiligheidsmaatregelen, zoals regelmatige software-updates. Cybersecurity begint dus met voorlichting over die maatregelen, het stimuleren van cybersecuritytechnologie, zoals versleutelingssoftware en anonimiseringstechnologie, en de ontwikkeling van veilige software. Op deze vlakken hebben we onze veiligheid zelf in de hand.
Bescherm data van burgers
Maar online veiligheid gaat veel verder dan het beschermen van onze eigen computers. Het gaat ook over de bescherming van de meest waardevolle en intieme informatie van burgers en bedrijven die in grote databanken wordt opgeslagen. Want als die informatie op straat komt te liggen, kan dat een nationale ramp betekenen. Het beveiligen van onze informatie betekent, onder meer, dat overheid en bedrijven zo min mogelijk van onze gegevens moeten opslaan en de toegang van derden tot deze gegevens tot het minimum moeten beperken. Op deze manier kunnen we een datalek voorkomen, simpelweg omdat er niets te lekken valt.
Investeer in kennis en capaciteit
Ook moet er worden geïnvesteerd in meer kennis en capaciteit op het gebied van cybersecurity, niet in nieuwe bevoegdheden. Zo zorgen we dat de politie haar werk goed kan doen. Daarvoor is meer kennis over het internet en digitale opsporing onmisbaar en meer mankracht vereist om de huidige opsporingsmiddelen effectief in te zetten. Zolang dit niet verandert, kan van nieuwe bevoegdheden geen sprake zijn. En ook bij de overheid en bedrijven is aanvullende kennis van ICT nodig om controle over hun eigen infrastructuur uit te kunnen oefenen en de risico’s van beleid beter in te schatten. Het is cruciaal dat de overheid daarin het goede voorbeeld geeft. Een incident als het Dorifel-virus heeft laten zien dat veel gemeentes hun beveiliging niet op orde hebben. Zo’n signaal is een aantasting van de geloofwaardigheid van de overheid waar het om cybersecurity gaat.
Kortom: goed cybersecuritybeleid stelt de persoonlijke veiligheid van internetters centraal, investeert in kennis, capaciteit en voorlichting en begint bij een overheid die zelf het goede voorbeeld geeft. De Alert Online campagne was wat dat betreft een mooi begin, maar dat moet opgevolgd worden met een sterke visie en structurele maatregelen. Het cybersecuritybeleid van de toekomst van Bits of Freedom is daarbij een goede leidraad.
Het cybersecuritybeleid van de toekomst is ondertekend door:
- Burgerrechtenvereniging Vrijbit
- Dutch Hosting Provider Association
- Free Press Unlimited
- HCC
- Humanistisch Verbond
- Internet Protection Lab
- Ouders Online
- Platform Bescherming Burgerrechten
- Stichting KDVP
- Stichting Meldpunt Misbruik ID-plicht
- Stichting Privacy First
- Vereniging NLUUG
- Vrijschrift / ScriptumLibre
- Mr. A.M. Arnbak, Universiteit van Amsterdam
- Prof.mr. E.J. Dommering, Universiteit van Amsterdam
- Prof.dr. N.A.N.M. van Eijk, Universiteit van Amsterdam
- Rop Gonggrijp
- Dr. P.J.A. de Hert, Universiteit Tilburg
- Dr. J.V.J. van Hoboken, Universiteit van Amsterdam
- Dr. J.H. Hoepman, Radboud Universiteit Nijmegen
- Prof.mr. S. van der Hof, Universiteit Leiden
- Prof.dr.ir. C.T.A.M. de Laat, Universiteit van Amsterdam
- Prof.dr. T. Lange, Technische Universiteit Eindhoven
- Prof.dr. R.A. Lawson, Universiteit Leiden
- Prof.dr. R.E. Leenes, Universiteit Tilburg
- Ing. J.C.G. van de Looy, Madison Gurkha BV
- Dr.ir. E. Poll, Radboud Universiteit Nijmegen
- Drs. R. Rustema, Universiteit van Amsterdam
- Dr. P. Schwabe
- Prof.mr.dr. J.M. Smits, Technische Universiteit Eindhoven
- Prof.dr.ir. H.C.A. van Tilborg, Technische Universiteit Eindhoven