Op 9 september 2019 nam secretaris-generaal Siebe Riedstra van het ministerie van Justitie en Veiligheid het eerste exemplaar van het WRR-rapport ‘Voorbereiden op digitale ontwrichting’ in ontvangst. In dit rapport presenteert de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) zijn analyse en adviezen op hoe Nederland voor te bereiden op een eventuele digitale ontwrichting.
“Nu de digitale wereld steeds verder verknoopt raakt met fysieke infrastructuren en het sociale weefsel van onze samenleving is cybersecurity alleen niet langer voldoende”, vertelt prof. mr. Corien Prins, voorzitter van de WRR en hoogleraar Recht en Informatisering aan de Universiteit Tilburg.
Wat moet ik doen bij een ramp?
Wie de trefwoorden ‘voorbereiden op een ramp’ in een zoekmachine inbrengt, krijgt als één van de resultaten een link naar de pagina van de rijksoverheid met als titel “Wat moet ik doen bij een ramp?”. Na wat doorklikken is de nodige informatie te vinden over de voorbereiding op specifiek een cyberaanval.
Wat Prins opvalt is dat de meerderheid van de aldaar genoemde maatregelen gaat over het voorkomen van een cyberramp. “Slechts een zeer beperkt aantal gaat over maatregelen tijdens en na de ramp. Wat eveneens opvalt is dat de laatstgenoemde maatregelen uitsluitend zien op een digitale ramp en wijzen op het belang van het veranderen van wachtwoorden en het installeren van nieuwe antivirussoftware”, vertelt Prins.
Cyberramp raakt ook vitale infrastructuren en processen
Die insteek is volgens Prins te beperkt. “In hoog tempo zijn digitale en fysieke processen in de maatschappij met elkaar verknoopt geraakt. De kans is daarom groot dat een toekomstige cyberramp niet beperkt blijft tot het digitale domein, maar ook consequenties heeft in ziekenhuizen, het vervoer en talloze (al dan niet vitale) infrastructuren en processen”, vervolgt Prins. “We kennen inmiddels allemaal de voorbeelden: bij WannaCry viel een deel van de Britse gezondheidszorg uit. NotPetya legde de productie van belangrijke medicijnen plat en kostte één van de grootste containerrederijen ter wereld honderden miljoen euro’s.”
Voorbeeld 'Stuxnet malware'
Interne wisselwerking
Gelukkig is er in de crisis- en rampenbestrijding steeds meer aandacht voor de intense wisselwerking tussen de digitale en de fysieke wereld. Prins: “Neem bijvoorbeeld de Nationale Veiligheidsstrategie 2019. Ook het Cybersecuritybeeld Nederland 2019 maakt expliciet duidelijk dat een ontwrichting van de samenleving als gevolg van digitale aanvallen op de loer ligt.” De boodschap van beide documenten is duidelijk: in de digitale samenleving veranderen de risico’s en moeten we nieuwe maatregelen nemen om bij ontwrichting adequaat te handelen en schade te kunnen beperken.
Wat te doen bij digitaal incident?
Maar om welke maatregelen gaat het dan precies? Prins legt uit: “Voor de omgang met welbekende rampen en vormen van ontwrichting, zoals overstromingen, epidemieën of grote branden, bestaat een professionele crisisorganisatie met een solide basis in wet- en regelgeving. Het is echter veel minder duidelijk wat we moeten en kunnen doen wanneer onze samenleving wordt getroffen door een ontwrichting die het gevolg is van een digitaal incident.”
Het WRR-rapport over digitale ontwrichting levert volgens Prins in dit opzicht belangrijke input. “Het rapport gaat in op vragen als: wie moet het voortouw bij een digitale ontwrichting nemen, wat is er nodig in termen van institutionele (re)organisatie, nieuwe bevoegdheden en middelen? En hoe regelen we de voorbereiding op digitale ontwrichting over de landsgrenzen heen? Ook besteedt de WRR aandacht aan de mogelijkheden voor de wederopbouw van de digitale samenleving en het herstel van vertrouwen in digitale voorzieningen.”
Wie is de brandweer?
De WRR begint het rapport met de vraag wie de ‘brandweer’ is als er in de digitale wereld een spreekwoordelijke ‘brand’ uitbreekt en hulpdiensten moeten uitrukken. Prins: “Wie de metafoor van de klassieke brandweer doordenkt, komt voor talloze vragen te staan: is er voldoende zicht op nabijgelegen voorzieningen die in de gevarenzone kunnen komen? Welke prioriteiten zijn nodig bij het ‘bluswerk’ en welke bevoegdheden hebben de betrokken instanties om bij calamiteiten binnen te treden? Hebben we zicht op de consequenties als we digitale voorzieningen afschakelen om erger te voorkomen? In welke volgorde schakelen we voorzieningen weer aan, zeker als het vitale processen betreft? En hoe kan een snelle wederopbouw na de ramp het beste gefaciliteerd worden?”
Centrale normstelling en coördinatie
De WRR concludeert onder andere dat digitale ontwrichting vraagt om meer centrale normstelling en meer coördinatie door de overheid.
“Natuurlijk kan een adequate voorbereiding op ontwrichtende situaties niet plaatsvinden zonder een bijdrage van private partijen”, vervolgt Prins. “Zij kunnen bijvoorbeeld relevante standaarden en protocollen ontwikkelen. Vanwege hun afwijkende belangenoriëntaties kan tegelijkertijd niet worden verwacht dat private partijen de volledige verantwoordelijkheid voor digitale ontwrichting op zich nemen. Die verantwoordelijkheid komt bij uitstek de overheid toe, net zoals bij andere vormen van maatschappelijke ontwrichting het geval is. Het instrumentarium waarmee de overheid deze verantwoordelijkheid invulling kan geven, is momenteel echter zeer beperkt. Zo heeft de Nederlandse overheid relatief weinig middelen en bevoegdheden als private organisaties en bedrijven bij een dreigende of daadwerkelijke ontwrichting hun medewerking weigeren. De rijksoverheid, gemeenten en andere publieke instanties staan kortom met lege handen als ze bedrijven daartoe alsnog willen dwingen.”
Maatregelen op maat
“Voor de Europese Unie geldt dit in nog grotere mate, omdat zij zich beperkt tot een adviserende rol en de strategische en operationele aspecten van cyber overlaat aan de lidstaten. Door op het niveau van de rijksoverheid zowel bevoegdheid als normstelling te verhelderen en te verstevigen, wordt een kader geboden voor stevigere coördinatie en – indien aan de orde – opschaling naar een hoger bestuurlijk niveau. Tegelijkertijd ontstaat er ruimte om de concretisering en uitvoering in specifieke contexten ter hand te nemen. De concrete maatregelen die in het domein van de zorg genomen moeten worden, zullen immers verschillen van die in de watervoorziening.”
Adviezen en aanbevelingen WRR
Kortom, het advies van de WRR is dat ook bij een digitale ontwrichting het uitgangspunt moet zijn dat de ‘lokale brandweer’ lokale ‘branden’ blust en dat gespecialiseerde ‘brandweerkorpsen’ de meer complexe ‘branden’ voor hun rekening nemen. Prins: “De nadere concretisering beleggen op het niveau van de specifieke context dient uiteindelijk ook het belang van de betrokken partijen zelf, omdat het hen meer zekerheid biedt bij de voorbereiding en aanpak van een digitale ontwrichting.”
Paraatheid, signalering, bestrijding en wederopbouw
De bepleite algemene opdracht aan de overheid concretiseert de WRR vervolgens aan de hand van vier welbekende fasen van de voorbereiding op ontwrichting: paraatheid, signalering, bestrijding en wederopbouw.
“Met het oog op deze fasen ziet één van de aanbevelingen die de WRR doet op het verkrijgen van meer zicht op afhankelijkheden: van welke partijen, digitale elementen, processen en diensten het functioneren van vitale processen is de Nederlandse samenleving afhankelijk?”, vat Prins samen.
“Verder adviseert de WRR om tot een alternatieve benadering en invulling van vitale infrastructuur te komen. Ook moet overwogen worden om de prioritering van vitale processen aan te passen. Tenslotte doet de WRR enkele aanbevelingen om zo snel als mogelijk na een digitale ontwrichting weer ‘op te krabbelen’. Belangrijk bij dat laatste zijn de compensatie van slachtoffers en een effectief meldingssysteem van incidentendata.”
Debat cyber security verbreden
Sinds jaar en dag beschermen overheden de infrastructuren die belangrijk zijn voor de continuïteit van onze samenleving. Prins: “Met de komst van digitalisering zijn deze infrastructuren en talloze andere processen op een andere manier kwetsbaar geworden. Met de groeiende digitalisering is ook de aanpak van een ontwrichting langs de klassieke lijnen en met de vertrouwde instrumenten en bevoegdheden niet langer voldoende. Het debat over cyber security dient dan ook verbreed te worden van het voorkomen van digitale ontwrichting naar ook de voorbereiding daarop, met bijzondere aandacht voor maatregelen die een effectieve aanpak van digitale ontwrichting waarborgen.”
Vooraf maatregelen nemen om gevolgen van cyberincident te beperken
De voorbereiding op digitale ontwrichting dient volgens Prins zowel in ons eigen land plaats te vinden als in afstemming met andere landen. “Wie zich voorbereidt op een digitale ontwrichting kan reeds vooraf maatregelen nemen om de gevolgen van deze gebeurtenis zoveel als mogelijk te beperken en zo snel als mogelijk weer op te krabbelen. Niet alleen de individuele belangen van overheden, bedrijven en burgers staan op het spel, maar ook het vertrouwen dat zij hebben in onze digitaliserende economie en samenleving”, sluit Prins af.
Gerelateerd nieuws: