Deze week ademde ”cyber”, in Den Haag. Nadat maandag en dinsdag in het teken stonden van de National Cyber Security One-conferentie was Den Haag de rest van de week het toneel voor de Global Conference on CyberSpace, waar vertegenwoordigers van ruim honderd landen, grote bedrijven en maatschappelijke organisaties bijeenkwamen. Internet moet overal en voor iedereen zijn, zei Nnenna Nwakanma van de World Wide Web Foundation vlak na de opening van de conferentie. Ze gaf daarbij ook aan dat vrijheid op internet nog nooit meer onder druk heeft gestaan als nu.

Een goed moment voor deze conferentie dus. Niet voor niets deden minister van Buitenlandse Zaken Koenders en Federica Mogherini, de hoge vertegenwoordiger gemeenschappelijk buitenlands en veiligheidsbeleid van de Europese Unie, tijdens de conferentie een oproep om speciale delen van internet aan te wijzen als kritieke infrastructuur die niet gehackt zou mogen worden.

Het congres heeft nog meer opgeleverd. Een probleem bij cybercrime is dat het internationaal is en net zoals internet vaak grensoverschrijdend. Dat betekent dat het lastig kan zijn om criminelen aan te pakken. Tegelijkertijd betekent het ook dat de verbetering van de veiligheid een internationaal probleem is; ook de diensten die we gebruiken zijn vaak internationaal. Dus zowel de aanpak van die internationale criminaliteit als de verbetering van onze digitale veiligheid moet op een internationaal niveau besproken worden.

Een goede aanzet om onze digitale veiligheid internationaal te verbeteren is het Global Forum on Cyber Expertise. Dat is een internationaal bureau voor cyberveiligheid dat in Den Haag gevestigd gaat worden. Landen kunnen elkaar adviseren en helpen hoe ze hun digitale veiligheid het beste op orde kunnen krijgen.

Meldplicht

Een ander goed initiatief van de Nederlandse regering is het instellen van een meldplicht cybersecurity, waarbij bedrijven die diensten aanbieden in vitale sectoren, zoals in de energiesector, verplicht melding moeten maken van inbreuken in hun ict-systemen.

Het is in het belang van de burger dat die diensten zo veilig mogelijk zijn. Daarom zou de overheid dat belang voorop moeten stellen. Dat gebeurt helaas niet altijd. Na de Snowdenonthullingen valt niet meer te ontkennen dat overheden tegenwoordig op grote schaal mogelijkheden hebben om burgers te bespioneren.

Ook is gebleken dat geheime diensten in staat zijn om tot in de diepste kern van onze producten en software door te dringen. Dat is een heel groot probleem dat tijdens de conferentie niet of nauwelijks ter sprake is gekomen. Een gemiste kans, ook omdat Nederland zelf het verbeteren van de veiligheid weliswaar uitdraagt, maar het woord onvoldoende bij de daad voegt.

Een voorbeeld daarvan is een voorstel dat de minister van Veiligheid en Justitie binnenkort naar de Tweede Kamer zal sturen waarin staat dat opsporingsdiensten de mogelijkheid moeten krijgen om op afstand computers te hacken, het ”hackvoorstel”. Daarmee maakt de opsporingsdienst dan gebruik van zwakheden in software.

Dat lijkt heel redelijk en verstandig, maar is in feite heel problematisch. Die zwakheden zitten namelijk niet alleen in de computer of telefoon van een verdacht persoon. Het gaat om zwakheden in software die we allemaal gebruiken. En de Nederlandse opsporingsdiensten zijn niet de enige die die zwakheden kunnen kennen of daarvan gebruik kunnen maken. Ook criminelen kunnen misbruik maken van veiligheidsproblemen, net als andere overheden daarvan kunnen profiteren, om andere landen, organisaties en personen te hacken. Het is intussen geen geheim meer dat dit op grote schaal plaatsvindt.

Als je bedrijven wilt verplichten om veiligheidslekken te melden en van burgers verwacht dat ze updates installeren, dan mogen bedrijven en burgers ook van de overheid verwachten dat door de overheid gevonden lekken ook gemeld worden, zodat die gerepareerd kunnen worden en dat er geen misbruik wordt gemaakt van zwakheden in software.

Het is bovendien de bedoeling dat ook computers in het buitenland gehackt zouden mogen worden, zonder medeweten van het land waar deze computer staat. Dat staat haaks op het credo van goede internationale samenwerking, zoals dat op de conferentie zo vaak te horen was.

Spagaat

Terugkijkend op de conferentie is het te simpel om te zeggen dat de conferentie niet meer was dan een verzameling van mooie en verstandige woorden. Er is wel degelijk een aantal goede initiatieven gaande. Maar na de conferentie blijft er toch een tegenstelling in stand: mooie woorden over het verbeteren van de cybersecurity en een aantal goede initiatieven om die woorden waar te maken aan de ene kant en wetsvoorstellen als het hackvoorstel aan de andere kant.

Als de Nederlandse regering het serieus meent met het verbeteren van onze digitale veiligheid en vrijheid, dan moet deze spagaat beëindigd worden.

De auteur is onderzoeker bij de belangenorganisatie voor digitale burgerrechten Bits of Freedom.