Digitale veiligheid: cyber als kritieke infrastructuur

Het vakgebied van cybersecurity is relatief nieuw en complex. In het nieuws horen we over de toename van internetcriminaliteit, data-inbraken en desinformatie bij verkiezingen. Maar ook onbedoelde acties in cyberspace kunnen schade aanrichten. Welke rol speelt de overheid in dit alles? En hoe kan solide data-onderzoek daarbij helpen?  Professor Bibi van den Berg, hoogleraar Cybersecurity Governance aan de universiteit van Leiden, praatte ons bij tijdens het iBestuur Congres.

Bibi van den Berg, naast hoogleraar ook lid van de Cybersecurity Raad van Nederland, deed 11 september online haar verhaal, op uitnodiging van het I-Partnerschap Rijk-Hoger Onderwijs. “Als geen ander kan ze ons meenemen in het belang van samenwerking tussen overheid, onderwijs en ondernemers op het gebied van onderzoek naar en educatie in cyberveiligheid”, zei programmamanager Cocky de Wolf van het I-Partnerschap in haar introductie.

Breed vakgebied

“Wat is cybersecurity precies?”, opent Van den Berg haar college. Het vakgebied is relatief jong en continu in ontwikkeling. Werd in de eerste decennia van cyberspace digitale veiligheid gezien als een puur technische aangelegenheid, de afgelopen vijftien jaar is dat denken veranderd, stelt Van den Berg. “Naast de techniek - de mogelijkheden en de risico’s - gaat cybersecurity ook over het gedrag van mensen, over bestuur en over organisaties. Daarom is het ook belangrijk een geïntegreerde visie te hebben op cyber en cybersecurity.”

Bibi van den Berg tijdens het iBestuurcongres
Bibi van den Berg tijdens het iBestuurcongres

Met die geïntegreerde visie doelt ze op een brede benadering van het vakgebied. “We maken ons als organisaties en samenleving het meest zorgen over hackers en criminelen die in netwerken kunnen binnendringen en data manipuleren, een netwerk platleggen of een computersysteem uit de lucht halen. Op zich heel valide, maar het is een te smalle interpretatie om alleen te focussen op de beveiliging tegen moedwillige inbreuken en dreigingen.” De afgelopen jaren is namelijk het besef gegroeid dat naast ‘intentionele dreigingen’ ook onbedoelde handelingen in cyberspace voor schade kunnen zorgen in de fysieke wereld. Dat kan economische schade zijn, doordat een verkeerstunnel een middag is afgesloten na een mislukte software-update. Maar het kan ook gaan om leven en dood: zoals een storing bij KPN in 2019, waardoor 1-1-2 een paar uur niet bereikbaar was. Die storing had meerdere doden als gevolg.

Kritieke infrastructuren

Welke rol heeft de overheid bij het tegengaan van digitale dreigingen, bedoeld of onbedoeld? Van den Berg stipt een aantal terreinen aan waar de overheid logischerwijze bij betrokken zou moeten zijn, zoals cybercrime, spionage en desinformatie. Ze zoomt in op het beschermen van de kritieke infrastructuren in Nederland: bruggen en sluizen, maar ook elektriciteitsvoorzieningen en telecommunicatie. “In het moment van een crisis maakt het voor de overheid eigenlijk niet uit of er sprake is van een digitale aanval of uitval. Het probleem moet zo snel mogelijk worden opgelost.” Een urgent onderwerp ook, wil ze nog maar eens benadrukken: “Cyberspace zelf is als het ware een onderliggende kritieke infrastructuur geworden, die voorwaardelijk is voor het overeind houden van al die andere kritieke infrastructuren. Als het internet wegvalt, hebben we ineens een probleem met onze banken, watervoorziening, nucleaire opslag, enzovoort.”

Betrouwbaar data-onderzoek

Om het thema bij de kop te pakken, zouden overheid en wetenschap veel meer moeten samenwerken, is het pleidooi van Van den Berg. Juist omdat cybersecurity zo’n uiteenlopend en complex onderwerp is, met heel veel deelonderwerpen. “De thema’s die we vandaag de dag als relevant beschouwen, kunnen over een paar jaar alweer achterhaald zijn. Denk aan desinformatie. Tot de Amerikaanse presidentsverkiezingen van 2016 was niemand zich bewust van dit probleem.”

Waar het aan ontbreekt, is betrouwbare data naar de omvang van cybersecurity op de diverse deelgebieden. Hoe vaak is er sprake van uitval door menselijke fouten en welke schade levert dat op? En hoe meet je economische schade of menselijk leed? “Ik denk dat overheid en wetenschap elkaar kunnen vinden in het uitzetten van projecten per deelonderwerp en zo betere data verzamelen over een langere periode. Daarmee krijgen die data ook meer zeggingskracht.”

Praktische hindernissen

Zelf is Van den Berg een aantal jaar terug aan de Universiteit van Leiden een onderzoeksgroep begonnen onder de titel MAN Inc., een monitor voor accidentele en niet-intentionele incidenten in cyberspace. Het doel van de monitor is om dit type incidenten wereldwijd in kaart te brengen, daar trends uit te halen en zo beter te begrijpen wat de problemen op dit gebeid nu echt zijn. Het project staat inmiddels op een lager pitje, als gevolg van praktische obstakels: in financiering, het delen van datasets en verschil in belangen.

Daarom is ze blij met het I-Partnerschap: “Ze helpen met het zoeken van manieren om die obstakels weg te werken, een gezamenlijk belang te vinden en zo de band tussen overheid en wetenschap verder te versterken. Ik kijk dus uit naar heel veel successen voor de toekomst!”

iBestuur gemist?