Nieuws

‘De overheid doet nu te veel op de bluf’

Prof. mr. Corien Prins is voorzitter van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR). Ze vindt dat er snel een publiek en politiek debat moet komen over de vraag welke voorzieningen Nederland nodig heeft om een effectieve aanpak tijdens een digitale ontwrichting te waarborgen.

Beeld: Lex Draijer/De Beeldredaktie

“We vonden dat we snel met dit rapport moesten komen, ook omdat we in Nederland op het gebied van het voorbereid zijn op een grote digitale ontwrichting echt weinig tot niets zagen. Daar zijn we van geschrokken. Wij willen met het rapport een perspectief geven over wat noodzakelijk is en hoe je er over na kunt denken. Dat hebben we geprobeerd met een metafoor van een brand (zie kader). Er zijn talloze overheidsorganisaties en bedrijven die hiermee aan de slag kunnen en ook moeten. We zeggen in onze allereerste aanbeveling dat we een strategische discussie moeten voeren over de vraag hoe afhankelijk we in digitaal opzicht willen zijn van andere partijen. De overgang van FOX-IT in buitenlandse handen geeft te denken. En zie ook de laatste ontwikkelingen rondom Nederlandse datacenters. Het strategische debat over onze afhankelijkheden van buitenlandse bedrijven als het gaat om onze vitale sectoren voeren we onvoldoende.”

Veel tijd lijken we niet te hebben.

“Ik hoop dat de minister van Justitie en Veiligheid in het licht van de kabinetsreactie op ons rapport – die hopelijk snel komt – iets doet met onze opmerkingen over terugvalopties. Bijvoorbeeld met de noodzaak van een tweede provider voor het noodnummer 112. Maar ook op lokaal en uitvoeringsniveau zou men met redelijk gezwinde spoed aan de slag moeten gaan. We hebben bij de gebeurtenissen in de Rotterdamse haven gezien dat de burgemeester eigenlijk geen goed omschreven bevoegdheden had om bij Maersk – het slachtoffer van een cyberaanval – in te kunnen grijpen met het oog op mogelijke escalatie en openbare-ordeproblemen, terwijl dat wel zou moeten kunnen. En dat bedrijf vroeg terecht om waarborgen dat zijn data veilig zouden blijven als de overheid ineens aan de knoppen kwam te zitten. Er is op het punt van het bestrijden van een digitale ramp heel wat achterstallig onderhoud. Partijen zijn nu onvoldoende uitgerust om te doen wat nodig is en dat krijg je niet in een paar dagen voor elkaar. Maar je kunt bijvoorbeeld morgen wel al beginnen met het in kaart brengen van de cyberafhankelijkheid van organisaties en bedrijven. Gewoon uitzoeken van welke partijen je eigenlijk afhankelijk bent en wat je met elkaar moet regelen in geval van een grote digitale verstoring.”

In een sterk verknoopte wereld ben je ook erg afhankelijk van de vraag of anderen hun zaakjes op orde hebben.

“Er zijn veel afhankelijkheden en dan gaat het erom dat je een redelijk gelijke informatiepositie hebt. Ik ben bij de drinkwatervoorziening geweest. Daar hebben ze de zaakjes goed op orde. Maar tegelijkertijd zeggen ze dat als ze op enig moment een melding krijgen over een mogelijke hack ze die informatie alleen maar goed kunnen beoordelen als de overheid aangeeft in welke context ze dat moeten zien. Zij kunnen het in hun ‘isolement’ niet goed duiden. Je moet goed zicht hebben op de keten waarin dingen zich afspelen.”

De Tweede Kamer lijkt dit rapport – ondanks de alarmerende inhoud – helemaal niet op te pakken.

“Dat vind ik jammer. Het WRR-rapport iOverheid (2011) is destijds ook niet meteen politiek opgepakt. Door de jaren heen zie je op losse dossiers dat er het een en ander wordt opgepakt, maar het is allemaal heel erg reactief. Maar als het om digitale ontwrichting gaat kunnen we ons een dergelijke aanpak helemaal niet veroorloven. Daarom zeggen wij: hier moeten we ons echt actief op voorbereiden. Een digitale ontwrichting is een realistisch scenario en dus moet ook de politieke discussie worden gevoerd hoe de voorbereiding daarop vorm moet krijgen. Net zoals voor andere rampen en ontwrichtingen moeten we kunnen beschikken over maatregelen die vooraf beredeneerd en politiek bediscussieerd zijn. Dat moeten we zo snel mogelijk doen, omdat daarvoor tijdens ontwrichtende gebeurtenissen nu eenmaal geen tijd is.”

De overheid moet nu improviseren als het wél misgaat

Wat u in dit rapport beschrijft is dat we er nu helemaal niet op kunnen vertrouwen dat bij een digitale ramp de overheid de goede dingen gaat doen.

“Er is de laatste jaren terecht veel geïnvesteerd in cybersecurity. Maar daarmee zijn we er niet. De overheid moet nu veelal improviseren als het wél misgaat. Een aantal gesprekspartners van binnen de overheid heeft hun zorgen tegenover ons geuit; dat we – zoals het nu staat – te veel op de bluf moeten blijven doen. Dat kan soms goed gaan, maar je kunt ook keihard tegen de muur lopen, en dan?”

Omdat het internationale aspect zo groot is zal er heel snel naar Brussel worden gewezen. Het is zo ingewikkeld dat de EU het maar moet oplossen.

“Deels ligt het natuurlijk op internationaal niveau, maar dat betekent niet dat je je daarachter kunt verschuilen. Als je nadenkt over de aanpak bij een digitale ramp dan kun je heel veel op nationaal niveau doen. Bijvoorbeeld door na te denken over wie dan bij ons de ‘brandweer’ is. We hebben voorstellen over het oprichten van een cyberpool om de economische schade die optreedt te kunnen verzekeren. Dat kun je gewoon op nationaal niveau doen. Het is een wisselwerking tussen nationaal en internationaal. Wij pretenderen op het terrein van digitalisering voorop te lopen, dus waarom zouden we hier in Europa niet een voortrekkersrol in kunnen spelen?”

De informatiesamenleving is niet van de overheid.

“Dat is een zin uit ons rapport iOverheid van jaren geleden. Maar toen hebben we ook vastgesteld dat de overheid als onderdeel van die samenleving een systeemverantwoordelijkheid heeft. Die geldt dus ook voor het aanpakken van een digitale ontwrichting.”

Hoe voorkomt u dat dit rapport in een la belandt?

“Het probleem dat we nu krijgen is dat relatief vaak wordt gezegd: oh, dat is iets voor een ICT’er. Ik zie als het grote gevaar van het niet oppakken van ons rapport dat het een ICT-dingetje blijft, terwijl wat wij betogen is: je kunt het niet alleen meer vanuit die digitale context benaderen. De digitale wereld is verknoopt geraakt met de fysieke wereld. Dus iedereen, incluis de gewone klassieke fysieke bedrijven en overheidsinstellingen, moet dit serieus nemen.”

Maar de technische complexiteit is inmiddels zodanig dat de mens als fall-back-scenario niet meer voldoet toch?

“Ik vind het moeilijk om daar ja op te zeggen, omdat je uiteindelijk als mens de beslissing neemt om de touwtjes weer in handen te nemen, of om inderdaad de controle uit handen te geven en in feite de technologie zijn gang te laten gaan. In feite is het dezelfde boodschap als die van het rapport iOverheid: besef hoe die verknoopte wereld nu inmiddels in elkaar zit en probeer daar – in ieder geval als mens, als ambtenaar, als eindverantwoordelijke of als politicus – toch in te sturen, want anders is de technologie inderdaad deterministisch; een situatie waarbij het lot en het gedrag van mensen wordt bepaald door omstandigheden van buitenaf en waarbij de menselijke wil een ondergeschikte rol speelt. Ik weiger om dat te accepteren. Maar we moeten vooral niet te laat zijn om besluiten te nemen, want dan neemt de technologie de overhand en kunnen we niet meer terug.”

Niet voorbereid

In juni 2019 leidde een urenlange storing van het noodnummer 112 en van het landelijk servicenummer van de politie tot een kettingreactie waarbij ook ziekenhuizen, gemeenten en bedrijven lange tijd onbereikbaar bleven. Een nieuw type ontwrichting van de samenleving die het gevolg is van de sterke verwevenheid van de fysieke met de digitale wereld. Anders dan bij natuurrampen, kernrampen of pandemieën kan een kettingreactie in onze verknoopte samenleving zorgen voor een enorme verstoring van het betalingsverkeer, de luchtverkeersleiding, het openbaar vervoer, de zorg, de water- en elektriciteitsvoorziening, de bediening van bruggen en sluizen en het internet. Een dergelijke uitval van de vitale infrastructuur wordt door de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) aangeduid als ‘digitale ontwrichting’. De voornaamste conclusie van het rapport dat de Raad over deze nieuwste soort ramp schreef: Nederland is daar helemaal niet op voorbereid!

Brandweer

De aanbevelingen van het rapport ‘Voorbereiden op digitale ontwrichting’ verhullen bijna het alarmerende karakter van de analyse. Die is onthutsend. Een digitale ontwrichting met mogelijk veel economische schade en maatschappelijke onrust is een reëel scenario, zo staat er. Het is niet de vraag of een dergelijke maatschappelijke ontwrichting zich gaat voordoen, maar wanneer. Daarbij is de vraag of dat het gevolg is van terrorisme, een hack of van domme menselijke fouten niet van belang. Het gaat om de vraag of we zijn voorbereid als het gebeurt.

De overheid is op dit moment niet in staat in geval van een digitale ontwrichting de continuïteit van vitale processen te waarborgen. De 112-storing leerde dat er geen behoorlijk noodplan was, dat de betrokken partijen elkaar niet goed wisten te vinden, dat de coördinatie ontbrak, evenals de noodzakelijke bevoegdheden. Soortgelijke ervaringen waren er ook bij andere casussen die het rapport beschrijft, zoals de Diginotar-crisis en het vastlopen van de Rotterdamse haven als gevolg van een cyberaanval bij Maersk. Het voldoet niet langer om de invulling van beschermingsmaatregelen aan individuele organisaties over te laten en cyberoefeningen te houden in eigen kring, zo wordt geconcludeerd. Bij incidenten is niet altijd duidelijk of de overheid aan zet is en zo ja, welk deel van de overheid dan. Bovendien is het een illusie om te denken dat de overheid als enige aan de knoppen zit. De afhankelijkheid van private partijen, vaak buitenlandse, is groot. En als het misgaat zijn er eigenlijk geen terugvalopties. Het rapport kiest voor de metafoor van de brandweer die zou moeten optreden in geval van een uitslaande digitale brand, terwijl onduidelijk is waar die brandweer precies huist en welke bevoegdheden die heeft.

Dit artikel staat ook in iBestuur magazine 33

  • Michiel Steltman | 23 januari 2020, 08:52

    Hmm. Er valt behoorlijk wat af te dingen op dit rapport. Niet het beste stukje werk van de WRR. Allerlei thema’s worden verward: afhankelijkheid, oorzaken en gevolgen, ontwrichting, veiligheid. Bepaald geen sterke analyse.
    Lees deze sterke analyse van van Eeten over dit onderwerp: “Blussen met nullen en enen: Cyber-rampen, cyber-exceptionalisme en de rol van de overheid”
    http://www.bestuurskunde.nl/2019/11/14/blussen

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren