Vrijdag 17 september 2021, grote zittingszaal Hoge Raad
PrinsjesCyber is een nieuw onderdeel van Prinsjesfestival, georganiseerd in samenwerking met het Nationaal Cyber Security Centrum (NCSC) en de Hoge Raad der Nederlanden.
Een (na aanmelding publiek toegankelijke) informatieve bijeenkomst over de cyberspace en cybersecurity.
Na het welkomstwoord van Dineke de Groot, president van de Hoge Raad, waarin zij aangaf hoezeer digitalisering ook verbonden is met het werk van de Hoge Raad, zowel in de bedrijfsvoering als in inhoudelijke zaken, die bij de Hoge Raad in behandeling zijn, volgde een korte introductie door Hans de Vries, directeur van het NCSC. Hij benadrukte het belang van deze bijeenkomst, want “digitalisering is zowel op macro- als op microniveau een integraal onderdeel geworden van de samenleving”
Bibi van den Berg, hoogleraar Cybersecurity Governance aan de Universiteit Leiden, begon haar lezing met te stellen dat we het heel gewoon vinden dat het water dat uit de kraan komt veilig is, maar dat we eenzelfde verwachting niet hebben als het gaat over internet en de digitale infrastructuur. Blijkbaar accepteren we met z’n allen dat de verantwoordelijkheid hiervoor bij de eindgebruiker wordt gelegd en zijn we allemaal druk in de weer met wachtwoorden, virusscanners, beveiligingsprogramma’s, awareness trainingen.
Van den Berg gaf aan wat op dit moment in haar vak de grote thema’s zijn: cybercrime, de bescherming van de kritieke infrastructuur (met verwijzing naar een grote treinstoring daags voor de bijeenkomst), spionage, cyberwar en desinformatie / fake nieuws.
Als het gaat om cybercriminaliteit zijn de actoren zeer divers: van de 16-jarige jongen op zijn zolderkamer tot internationaal georganiseerde criminele netwerken. Bij spionage zijn vooral overheden en bedrijven actief.
Waarom is digitalisering, naast de vele voordelen die we ervan ondervinden, nu zo problematisch? Eerst en vooral omdat we alles met alles hebben verbonden, aldus Van den Berg. En daardoor uiterst kwetsbaar zijn. Neem het eerder genoemde voorbeeld van de treinstoring. Of neem de dijken, sluizen en waterkeringen, die ons tegen het water beschermen. Waar dat voorheen handmatig werd georganiseerd en geregeld, gaat dat nu allemaal digitaal via een commandocentrum.
Omdat je altijd met vele partijen te maken hebt (ontwikkelaars, beheerders, overheden, toeleveranciers enz.) zijn er ook altijd veel afhankelijkheidsrelaties en is de eigen beveiliging in feite zo sterk als de zwakste schakel in al deze verbindingen.
Opvallend is dat de meeste aandacht uit gaat naar intentionele dreigingen van criminelen, maar dat het juist in heel veel gevallen mis gaat door niet-intentionele menselijke fouten of misverstanden.
Van den Berg stelde dat het klassieke beeld dat wij hebben van soevereine landen en territoria (en het gedrag dat daarbij hoort) in het geheel niet matcht met de digitale werkelijkheid, die grenzeloos is. Dat brengt ons in verwarring over wie de eigenaar is van (onderdelen van) de cyberspace en bijvoorbeeld over welk recht er geldt.
We hebben vaak onbewust de aanname dat de digitale wereld publieke ruimte is. Dus dat de overheid de spelregels bepaalt. De werkelijkheid is dat meer dan 95% van de cyberspace in private handen is. De overheid zou er zich dus op moeten richten dat de betrokken bedrijven zich anders gaan gedragen.
De digitale landkaart ziet er derhalve heel anders uit dan de landkaart uit de klassieke atlas. In de digitale wereld staat data gelijk met macht (en met geld). 80% van de data die in de cloud staan zijn van vijf grote bedrijven, drie Amerikaanse en twee Chinese. En de omzet van zo’n bedrijf is groter dan dat van een gemiddeld land.
Als je dat zo allemaal op een rij zet, dan geeft dat een somber beeld, aldus Van den Berg. Maar ze heeft wel degelijk ook goed nieuws. Er valt namelijk wat aan te doen. Wat wij fout doen is dat we als brave schapen alle digitale paden volgen, die ons via programma’s en apps worden aangereikt. We gebruiken het gewoon zoals het op ons afkomt, in de veronderstelling dat er door de ontwerpers wel goed over nagedacht zal zijn en dat ze het best mogelijke product hebben gemaakt.
Dat is echter niet het geval, want het is technisch goed mogelijk om veilige producten te maken. Zowel overheden als burgers zouden druk uit moeten oefenen op de bedrijven om terug te gaan naar de tekentafel met de opdracht om hun producten zo te ontwerpen, dat ze veilig zijn. Wij laten ons nu sturen door softwareontwikkelaars, maar in feite zou dat andersom moeten zijn. Wij moeten aangeven welke normen voor de technologie zouden moeten gelden, zodat we niet alleen veilig water uit de kraan kunnen drinken, maar ook veilig op het internet kunnen surfen.
Wat betreft de rol van de overheid verwijst Van den Berg naar het zogeheten “Brussel effect”. De Europese Unie is goed in het maken van wet- en regelgeving inzake veiligheid, privacy e.d. Die is weliswaar in eerste instantie bedoeld voor de interne (Europese) markt, maar omdat handel zich niet beperkt tot de Europese grenzen, worden ook bijvoorbeeld Amerikaanse of Chinese bedrijven hiermee geconfronteerd. Als zij zaken willen blijven doen op de voor hen vaak uiterst interessante Europese markt, zijn ze gedwongen om de normen voor hun producten aan te passen aan de hogere eisen. En meestal is het zo dat het dan goedkoper is om álle producten, dus ook die voor de eigen interne markt, op dezelfde wijze te produceren. En op deze wijze gaan globale standaarden voor zaken als voedselveiligheid, privacy of ontwikkelprocessen voor cosmetica wereldwijd omhoog.
Van den Berg sluit af met aan te geven dat iedereen een bijdrage kan leveren door hierover te blijven praten en te blijven nadenken en niet in de laatste plaats om bij verkiezingen te stemmen op een partij, die dit belangrijk vindt.
Aansluitend kwam Floor Jansen van het Team High Tech Crime van de Politie aan het woord. Haar verhaal ging vooral over de benadering van en bewustwording bij kinderen en jongeren. Omdat jongeren over het algemeen veel meer digitale vaardigheden hebben dan hun ouders, hebben de ouders veelal weinig zicht, laat staan vat op wat hun kinderen uitspoken in de digitale wereld. Jongeren zelf zijn zich nauwelijks bewust van regels en wetgeving op dit gebied. Wat voor hen een geintje kan zijn, kan in de praktijk een gedraging betreffen waar een gevangenisstraf van enkele jaren op staat.
Om ervoor te zorgen dat de digitale ontwikkeling van jongeren zich in de gewenste richting begeeft en niet richting criminele gedragingen heeft Jansen bij de politie een preventieteam opgericht. Dit team heeft interventies ontwikkeld om jongeren zo nodig bij te kunnen sturen, zodat zij zich op een ethisch verantwoorde wijze in de digitale wereld kunnen en willen begeven. Jongeren van 14 tot 20 jaar kunnen deelnemen aan een zogeheten “re-bootcamp” .
Voor kinderen van 8 t/m 12 jaar is er het “Hack Shield” . Dit project werd nader toegelicht door Tim Murck. Het is een soort digitale scouting, waarbij je de titel “cyberagent” kan verdienen. In de setting van een game kunnen kinderen met hun eigen avatar in de digitale wereld duiken en daar leren ze, zoals schakers, vooruit te denken en strategieën te bedenken voor digitaal gedrag vanuit ethische normen. Een ander kernpunt bij deze digitale scouting is dat de kinderen hun ouders en/of grootouders digitaal wijzer maken. Daar kunnen ze als cyberagent-in-wording ook punten mee verdienen. Inmiddels zijn er in Nederland 57.000 kinderen met de titel cyberagent, die allemaal hun papa’s, mama’s, opa’s en oma’s meer bewust hebben gemaakt van de gevaren van naïef digitaal handelen.
Eén van deze cyberagents, de 10-jarige Valentijn, was aanwezig om toe te lichten hoe leuk het is om deel uit te maken van een positieve beweging, die zich met veel plezier in de digitale wereld begeeft, maar tegelijkertijd er ook op let dat dit op een veilige wijze gebeurt. Valentijn heeft in zijn eigen omgeving aan familieleden uitgelegd hoe je om moet gaan met wachtwoorden en hoe je alert kan zijn op phishing.
De bijeenkomst werd afgesloten met een paar vragen aan het publiek over hun “awareness” en met de oproep om alert te blijven op digitale risico’s en te zorgen dat je op de hoogte blijft. En, met verwijzing naar de presentatie van Van den Berg, dat je zelf het nodige kunt doen en invloed kan hebben.
