Open,innovatief internet vraagt democratische controle

Economie, vrijheid en veiligheid zijn op internet nauw met elkaar verweven. Juist daarom komt het aan op zorgvuldig wetgeven. Vrijheid en ruimte voor innovatie zijn niet gebaat bij een ‘alles-moet-mogen’-beleid, want dan krijgen de ‘Googles en de Facebooks’ het voor het zeggen. Democratische controle is nodig, vindt D66-­Europarlementariër Marietje Schaake.

Marietje Schaake zit sinds 2009 voor D66 in het Europees Parlement, waar ze zich steeds nadrukkelijker profileert met haar visie op internet en de verantwoordelijkheid die de overheid daar zou moeten nemen. ­Eerder deze zomer sprak ze in Delft op de WEIS-conferentie, dat de Economics of Information Security als onderwerp had. Daar sprak ze over de manier waarop technologische ontwikkelingen de rol van de overheid beïnvloeden en hoe internetgovernance wereldwijd fundamentele waarden en principes, zoals veiligheid, mensenrechten, netneutraliteit, en ookeerlijke concurrentie zou moeten waarborgen.

 

Wat is op dit moment de impact van cybercrime in Europa?

“De totale impact van allerlei voorvallen in Europa is moeilijk te berekenen aangezien elke belangrijke economische sector wel een online ­component heeft, en het is vrijwel onmogelijk om een alomvattende methodologie te creëren die de volledige economische impact in kaart kan brengen. Als een lokale website twee dagen offline is gehaald door een DDoS-aanval, hoeveel economische schade brengt dat dan teweeg? Hoeveel schade wordt er veroorzaakt door phishing-aanvallen tegen bankgebruikers? Ook kan een kwetsbaarheid bij een Amerikaans bedrijf dat veel Europese gebruikers heeft hier schade aanrichten.

De niet-economische kosten zijn misschien nog belangrijker. Cybercrime tast het vertrouwen aan van internetgebruikers – in elkaar, het ­internetten de online economie. Dat indirecte effect van cybercrime kan op lange termijn nog veel schadelijker zijn.”

 

Brancheorganisatie Nederland ICT stelt dat bedrijven structureel te weinig geld besteden aan IT-beveiliging. Hoe komt het volgens u dat bedrijven zo weinig investeren in IT-beveiling?

“Het overhypen van bedreigingen is een kenmerk van veel verschillende industrieën en sectoren die oplossingen voor die bedreigingen proberen te verkopen. Maar in dit geval is er zeker een kern van waarheid in de stelling dat veel bedrijven te weinig investeren in IT-beveiliging. Vooral overheidsbedrijven zijn vaak helemaal niet uitgerust om het hoofd te bieden aan verschillende vormen van hacking. Het OPM-schandaal waarbij persoonsgegevens van 22 miljoen overheidsmedewerkers en burgers in de VS zijn buitgemaakt, is daarvan bij uitstek hét voorbeeld.

Op een veel fundamenteler niveau moeten we ons de vraag stellen hoe gezond het eigenlijk is dat niet alleen wij als burgers, maar ook middelgrote en kleine bedrijven afhankelijk zijn van commerciële bedrijven om onze veiligheid online te garanderen. Een van de kerntaken van de overheid is het beschermen van haar burgers. Niet alleen offline, maar ook online. Toch zien we dat IT-beveiliging quasi volledig gedomineerd wordt door de commerciële sector.

Die privatisering van veiligheid en van toegang tot informatie kent vele problematische kanten. Zo is er nauwelijks inzicht, in hoeverre bedrijven de toegang tot informatie bepalen. Op internetaanbieders wordt druk uitgeoefend om informatie niet meer door te geven, zelfs als een rechter nog niet heeft bepaald of informatie op bepaalde websites inderdaad niet online mag staan. Vanuit de film- en muziekindustrie is die push heel stevig; in sommige Europese landen met succes. Ook kennen we de algoritmes die zoekmachines gebruiken niet en weten we dus niet of er impact is op toegang tot informatie door de manier waarop resultaten worden gepresenteerd. Er is weliswaar onderzoek naar eerlijke ­concurrentie door bijvoorbeeld Google, maar niet naar de impact op het publieke belang breder dan dat. De gebruiksvoorwaarden van sociale ­media kunnen bepalen dat een foto waarop een moeder borstvoeding geeft niet gepast is, terwijl een beeld daarvan in bijvoorbeeld Nederland niet verboden is.”

 

Wat moet de rol van de nationale overheden in dezen zijn?

“Ik denk dat overheden overal ter wereld heel duidelijk keuzes moeten maken en een onderscheid moeten maken tussen IT-veiligheid en nationale veiligheid. Maatregelen die het ene domein verbeteren zijn niet noodzakelijk automatisch een verbetering voor het andere domein. Hét voorbeeld hier is natuurlijk het debat over encryptie en het al dan niet toestaan van achterdeurtjes in verschillende ICT-technologieën. Er komt veel druk vanuit politie en inlichtingendiensten om dergelijke achterdeurtjes te installeren, maar in feite komt dat neer op de IT-veiligheid van onze producten verzwakken, waardoor ook cybercriminelen makkelijker onze data kunnen stelen. Hier bestaat op technisch vlak geen magische oplossing voor. Maar het feit dat op tal van genomen maatregelen door inlichtingendiensten vrijwel geen democratisch of juridisch ­toezicht is, is zeer zorgwekkend. Als we de open samenleving en haar burgers willen beschermen tegen aanvallen van buitenaf, kan dat niet gebeuren door het eroderen van vrijheid en veiligheid van binnenuit.”

 

Wat kan Europa daaraan toevoegen?

“Europa heeft hier een duidelijke rol te spelen. In het Europees Parlement zet ik me met name in voor het creëren van een digitale markt in Europa. Dat kan alleen als mensen er op kunnen vertrouwen dat transacties van data en geld ook veilig kunnen gebeuren. Net daarom is encryptie zo’n fundamenteel onderdeel van IT-veiligheid. Deze zomer was er ook eindelijk een kleine doorbraak in de onderhandelingen over nieuwe Europese IT-veiligheidswet (het Network and Information Security ­Directive), die eind dit jaar afgewerkt zou moeten worden. De nieuwe regels zullen nieuwe veiligheidsvereisten opleggen aan de providers van essentiële diensten (zoals energie en transport), en veiligheidsincidenten zullen ook verplicht vermeld moeten worden. Welke diensten essentieel zijn moet nog verder uitgewerkt worden – dat is een van de redenen waarom er nog geen eindakkoord over deze wetgeving is. Er moet verder ook een versteviging komen van nationale CERTs (Computer emergency response teams), die ook onafhankelijker zouden moeten kunnen ­werken. Europa kan met deze nieuwe wetgeving de standaard zetten qua ­IT-veiligheid. Die kans mogen we niet verkwisten.

Er zijn ook enorme tegenstrijdigheden in beleid. Op het gebied van de markt in systemen (spionage of hacking) die worden ­gebruikt door criminelen voor aanvallen, of door overheden voor mensenrechtenschendingen, zijn nauwelijks regels. Ik vecht er al jaren voor om dit vacuüm te dichten. De recente hack van een bedrijf als HackingTeam in Italië, dat systemen over de hele wereld verkocht die verregaande spionage en inbraak mogelijk maakte, laat zien dat we nog maar een topje van de ijsberg zien. Het is dweilen met de kraan open als je aan de ene kant zegt dat cyberveiligheid vergroot moet, maar niets doet tegen makers van de systemen die die veiligheid direct ondermijnen door spionage-, hacking-, intrusion-, tracking-, tracing- en extraction-systemen te maken en te verkopen aan onder meer politie- en opsporingsdiensten van dictatoriale regimes.

 

Nemen de IT-leveranciers in ­voldoende mate hun verantwoordelijkheid voor het beletten van cybercrime? Wat zou hun rol volgens u kunnen of moeten zijn?

“Het kan sowieso niet de bedoeling zijn dat ISPs en grote Silicon Valley-bedrijven zoals Twitter, Facebook en Google autonoom voor politieagent en rechter tegelijkertijd spelen. Er moet een duidelijk wettelijk kader zijn voor hun activiteiten. Momenteel wordt in opdracht van deze ­bedrijven door mensen in lage ­lonen landen vastgesteld welke informatie wel of niet aan de gebruikseisen van deze bedrijven voldoen. Maar welke informatie onwenselijk is of daadwerkelijk ­illegaal, kan erg uiteen lopen.

Anderzijds, en misschien nog belangrijker, moeten we goed gaan nadenken over hoe we de kern van veel ICT-veiligheidsproblemen kunnen aanpakken. Hoe kunnen we de ontwikkelaars van software meer stimulans bieden om de veiligheid van hun producten te verbeteren? De meeste software license agreements schuiven alle verantwoordelijkheid voor eventuele problemen van zich af op de eindgebruiker. In deze hoogtechnologische wereld, waarin ­niemand gebruikersovereenkomsten leest, is dat natuurlijk geen ­daadwerkelijke oplossing.”

 

Zou je kunnen zeggen dat op het niveau van afzonderlijke bedrijven de businesscase voor gedegen beveiliging vaak ontbreekt?

“De kosten om veel veiligheidsaspecten toe te voegen aan software zijn groot: het kost meer tijd en geld, de functionaliteit van het product is misschien lager en de eindgebruiker zal daardoor minder tevreden zijn. Minder aandacht voor veiligheidsfeatures levert daarentegen relatief weinig kosten op: beveiligingsfouten worden doodgezwegen of halen de pers niet. Een minderheid van gebruikers zal misschien een ander product gebruiken. Die verkeerde dynamiek moet veranderd ­worden. Mijn deur in het Parlement staat open voor iedereen die hier ideeën of oplossingen over wil delen. De input van ICT-­veiligheidsexperts is daarvoor cruciaal. En dan nog, het verschil tussen de snelheid van technologische ontwikkelingen en het langzamer ontwikkelen van wetgeving zal een enorme ­uitdaging blijven.”

 

In de ‘werkelijke’ samenleving wordt doorgaans een frictie verondersteld tussen het open karakter ervan en het niveau van beveiliging. Bestaat zo’n dilemma ook in cyberspace? Kan een open (en net-neutraal) internet ook een veilig internet zijn?

“Natuurlijk kan dat. Ik heb nog geen enkel bewijs gezien van het tegenovergestelde. Het debat over de keuze tussen veiligheid en fundamentele rechten en vrijheden van een open samenleving is van alle tijden. Benjamin Franklin zei al in de 19e eeuw dat wie essentiële vrijheden wil opgeven om een ­beetje tijdelijke veiligheid te verkrijgen, vrijheid noch veiligheid verdient. Hij heeft gelijk. Wij zijn als ­samenleving weerbaar ­genoeg om met de veiligheidsrisico’s van een open internet te leven.

Een nog kwalijker ontwikkeling zou zijn dat het internet nog verder versplintert, doordat nationale overheden in China, Rusland, Iran of Turkije onder het mom van nationale veiligheid steeds meer controle gaan uitoefenen op het ­internet. Dan wordt de werking van het internet aangetast in haar kern, wat desastreuze gevolgen zou hebben voor onze universele rechten en vrijheden.

Netneutraliteit is overigens essentieel voor het behoud van het open internet, maar vooral belangrijk om ruimte te bieden voor innovatie en eerlijke concurrentie en om consumentenbescherming te bieden, meer dan voor veiligheid.”

 

 

Tag

Onderwerp

IoT


Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag