We zijn nog onvoldoende in staat om de reikwijdte en impact van cybersecurity vraagstukken te zien, meent professor Bibi van den Berg. Zij pleit voor een bredere focus, bijvoorbeeld door niet alleen systemen maar ook mensen als risicodragers te zien.
Beeld: Marco Monetti (Flickr Creative Commons)
Cybersecurity – veiligheid in, op en van cyberspace – heeft de laatste jaren steeds meer aandacht gekregen. Dat past binnen de brede, sterk toegenomen interesse voor veiligheid en veiligheidsgevoelens in het algemeen, maar ook bij terechte zorgen. We zijn steeds afhankelijker van allerlei complexe technologische systemen, die vanwege hun verwevenheid niet alleen kwetsbaar zijn, maar die wanneer zij falen bovendien een grote, zo niet ontwrichtende impact kunnen hebben op ons alledaagse leven.
Naast deze maatschappelijke risico’s zijn er ook significante economische risico’s voor bedrijven, organisaties en overheden en leiden kwetsbaarheden in cyberspace tot reële risico’s voor onze fysieke en ideële integriteit.
Tot op heden houdt cybersecurity zich bijna uitsluitend bezig met intentionele dreigingen, dat wil zeggen met aanvallen, inbraken, verstoringen, spionageactiviteiten en misbruik van systemen die bewust, willens en wetens zijn uitgevoerd door individuen, groepen of statelijke actoren. De veiligheidsrisico’s voor systemen – de infrastructuur van en de data in cyberspace – worden in kaart gebracht en behandeld.
Cybersecurity gaat niet over mensen
Het gaat overduidelijk niet om de bescherming van mensen. Risicomanagement is nog altijd de voornaamste benaderingswijze voor cybersecurity vraagstukken.
Gezien de snelheid en omvang van veranderingen in cyberspace is het echter maar de vraag of deze afbakening van cybersecurity als domein – gericht op de bescherming van systemen tegen intentionele dreigingen met risicomanagement als belangrijkste methode – de juiste is. Ik ben van mening dat er meer nodig is om de volledige reikwijdte en impact te zien van de cybersecurity vraagstukken die op ons afkomen.
Van puur risicomanagement naar waardendebat
Risicomanagement heeft ons op vele terreinen veel gebracht – vliegtuigen en auto’s zijn er veiliger door en het risico op bijvoorbeeld industriële of natuurrampen kan er beter mee in kaart worden gebracht –, maar er zitten ook tekortkomingen aan.
Zo werkt het het beste bij systemen met een beperkte complexiteit. Cyberspace is echter een buitengewoon complex systeem en men kan zich dus afvragen of dit wel de beste methode is om risico’s in cyberspace in kaart te brengen en te behandelen. Een andere tekortkoming betreft de wijze waarop beslismakers de uitkomsten van risicoanalyses gebruiken, namelijk als harde, objectieve cijfers op basis waarvan zij prioriteren. In werkelijkheid dragen deze cijfers de nodige marges in zich.
Bovendien kunnen beslissingen ook genomen worden op grond van debatten over fundamenteel botsende waarden, zoals de spanning tussen transparantie en privacy of de spanning tussen veiligheid en vrijheid van meningsuiting.
Er is te weinig aandacht voor accidentele fouten
De cybersecurity-vraagstukken die op ons afkomen passen ook niet meer helemaal in de focus op intentionele dreigingen voor systemen en communicatie. Gezien de toenemende complexiteit van technische systemen wordt de kans op accidentele fouten, zoals de gevolgen van menselijke fouten, systeemstoringen of natuurrampen, met de jaren groter en vanwege de verwevenheid van systemen neemt de potentiële impact ervan eveneens toe.
We hebben allemaal nog vers in het geheugen wat de impact was van de storingen op Schiphol dit voorjaar. De economische en maatschappelijke schade daarvan is niet gering. Tot op heden wordt accidentele schade bijna volledig uitgesloten binnen cybersecurity onderzoek. Dat is zorgwekkend, omdat de consequenties van uitval even groot kunnen zijn als die van een aanval.
Alleen de digitale infrastructuur wordt beschermd
Maar aan de exclusieve focus op systemen – op hard en software, op de digitale infrastructuur waarop cyberspace drijft – valt eveneens te tornen. Binnen cybersecurity hebben twee thema’s in de afgelopen decennia veel aandacht gekregen: de bestrijding van cybercriminaliteit – diefstal, phishing of fraude – en de bescherming van kritieke infrastructuren – tegen hacken, het verspreiden van malware en het plegen van DDoS aanvallen.
Dat is begrijpelijk, want de economische en maatschappelijke impact van cybercriminaliteit is niet gering en bovendien schadelijk voor het vertrouwen in cyberspace. Kritieke infrastructuren moeten beschermd worden omdat precies daar manipulaties in cyberspace gevolgen kunnen hebben in de fysieke werkelijkheid. Als aanvallers een dam hacken en de sluizen openzetten, kunnen overstromingen veel slachtoffers eisen.
Een nieuwe dreiging vereist bescherming van ideeën en waarden
De laatste twee jaar zien we echter een nieuwe cyberdreiging van een geheel andere orde opkomen, die niet past binnen deze huidige onderzoeksfocus, namelijk misinformatie en fake news. Met name de mogelijkheid om sociale media te gebruiken voor het beïnvloeden en manipuleren van meningen en ideeën is een zorgwekkende ontwikkeling.
Cyberspace maakt inmenging mogelijk in de democratische processen van andere landen op een schaal en met een reikwijdte die geen precedent heeft. Via sociale netwerken heeft men direct en op zeer onopvallende wijze toegang tot burgers in andere landen. Die burgers zijn, door de keuze van het kanaal en het gebrek aan poortwachters op dat kanaal, niet of onvoldoende in staat ‘echte’ van ‘onechte’ berichten te onderscheiden.
De maatregelen die we binnen de cybersecurity hebben ontwikkeld, schieten hier tekort. Het gaat hierbij immers ineens niet meer om de bescherming van systemen maar om de bescherming van ideeën en waarden. Dat betekent dat we nieuwe vormen van bescherming moeten ontwikkelen voor de ‘contentlaag’, de focus op hard- en software alleen is te smal geworden. We zullen ons nu ook moeten buigen over contentgerelateerde veiligheidsrisico’s.
Theorieën voor een voortschrijdende duiding zijn onontbeerlijk
Tien jaar geleden zagen we cyberspace anders dan we dat nu doen. Theorieën kunnen ons helpen een voortschrijdende duiding van cyberspace en cybersecurity te ontwikkelen. Beleid, wet- en regelgeving en ontwerpkeuzes kunnen niet zonder.
Kritische reflectie op de ontwikkeling van en rondom cyberspace, alsmede op de governance en regelgevende systemen die we ten aanzien van cyberspace ontwikkelen, is daarom onontbeerlijk. Juist de sociale en de geesteswetenschappen dienen een rol te pakken naast de technische wetenschappen om zo’n verbeterde conceptualisering te realiseren.
Bibi van den Berg is hoogleraar Cybersecurity Governance aan de Universiteit Leiden. Dit artikel is gebaseerd op haar oratie ‘De cyberrevolutie: pak me dan als je kan’, uitgesproken op 8 juni 2018.
Dit artikel is eerder geplaatst op de website van het Tijdschrift voor Sociale Vraagstukken.
Dat is wel heel veel ‘cyber’ in 1 tekst waar makkelijk minder hippe woorden gebruikt hadden kunnen worden. ‘Cyber’ maakt ‘interessant’ is veelal de gedachte, of de persoon die veel ‘cybert’ is vast een expert.
Hiermee wordt een onnodige afstand gecreëerd. Gebruik aub normale woorden in plaats van het nietszeggende cyber-dit en cyber-dat.
Bibi,
Dit artikel sluit goed aan bij het Besluit voorschrift informatiebeveiliging rijksdienst 2007 (VIR2007).
HET verplichte uitganspunt voor de Rijksdienst, waartoe gerekend worden de Ministeries met de daaronder ressorterende diensten, bedrijven en instellingen.
Gezien de definities en de inhoud, ook een prima richtlijn voor ALLE organisaties, profit en nor for profit.
De definities
a. Informatiebeveiliging: het proces van vaststellen van de vereiste betrouwbaarheid van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen;
b. Informatiesysteem: een samenhangend geheel van gegevensverzamelingen, en de daarbij behorende personen, procedures, processen en programmatuur alsmede de voor het informatiesysteem getroffen voorzieningen voor opslag, verwerking en communicatie.
Dus niet cyber security (van buiten naar binnen), maar ruim van opzet, inclusief detectie en preventie van fraude, oneigenlijk gebruik en misbruik.
Voor de volledige tekst (slechts 5 zeer concrete artikelen(, zie: met wetten.overheid.nl/BWBR0022141/2007