Opinie: Overheid slaat gaten in dijk bij digitale veiligheid

De snelst groeiende sector in onze economie zijn internetbedrijven. Door versnipperd en tegenstrijdig beleid verzuimt de overheid om deze digitale wereld voldoende te beschermen, meent Michiel Steltman.

Dit artikel verscheen op 5 december 2016 op de opiniepagina van Trouw

Zo’n 350.000 mensen in Nederland verdienen hun geld via het internet, becijferde het CBS onlangs. Ruim 50.000 Nederlandse bedrijven zijn voor hun voornaamste inkomsten afhankelijk van de digitale economie. Dat worden er steeds meer: internetbedrijven vormen de snelst groeiende sector in onze economie en internationale internetbedrijven kiezen massaal voor Nederland.

Dat biedt veel kansen, maar alleen als er tegelijkertijd een grote inzet is op een betrouwbaar en veilig internet. Betaalverkeer, handel en energievoorziening kunnen tot stilstand komen als belangrijke computers worden gehackt of netwerken worden platgelegd. Het beschermen van die digitale wereld staat daarom – terecht – hoog op de agenda bij overheid en politiek.

Toch dreigen er gaten te ontstaan in de digitale dijk, zorgelijk genoeg van eigen makelij. Het kabinetsbeleid op het gebied van cybersecurity is versnipperd en kent rare tegenstrijdigheden. Premier Rutte roept op om beveiliging serieus te nemen, maar zijn ministers doen compleet het tegenovergestelde.

Net als cybercriminelen mogen inlichtingen- en opsporingsdiensten inbreken op computers. Ook mogen ze de beveiligingslekken onder de pet houden.

Ze dienen wetsvoorstellen in of doen uitingen die het vertrouwen in sterke bescherming van de digitale wereld volledig onderuithalen.

In januari van dit jaar presenteerde het kabinet het standpunt dat versleuteling essentieel is voor het beschermen van informatie. Dat leek goed nieuws. Nog geen twee maanden later stelt het hoofd van de AIVD dat het gebruik van encryptie schadelijk is en terrorisme in de kaart speelt. Een onbegrijpelijke wending die haaks staat op het eerdere kabinetsstandpunt.

De recentste illustratie van het tegenstrijdige en versnipperde beleid is het onlangs gepubliceerde kabinetsstandpunt over zogenoemde ‘zero days’. Dat zijn lekken in computersystemen waarvoor nog geen beschermingsmaatregelen bestaan. Zolang die er niet zijn, de ‘zero days’-periode, kunnen hackers, cybercriminelen en staten de gaten in de beveiliging misbruiken. Daardoor is er een levendige handel in zero days ontstaan. Eén van de wetsvoorstellen waarop dit standpunt betrekking heeft, is de wet Computercriminaliteit III, die deze week door de Tweede Kamer behandeld wordt. Deze wet, bekend als de ’terughackwet’, zorgt vanaf het eerste voorstel in 2013 al voor controverse. Het kabinet lijkt daar nu weer een schepje bovenop te willen doen.

Veel partijen doen hun best om de schade van zero days te beperken en de handel in te dammen. Onder meer Google heeft daarvoor een speciaal team opgericht, Project Zero. Daarin zitten beveiligingsonderzoekers die lekken zoeken in computersystemen en ze vervolgens zo snel mogelijk rapporteren bij de makers van de systemen, zodat ze de lekken kunnen dichten.

Illegale marktplaatsen

Je zou verwachten dat ook de overheid meedenkt en meewerkt om de schade te beperken. Uit het recent gepubliceerde kabinetsstandpunt blijkt echter het tegendeel. De ministers van binnenlandse zaken en justitie vinden dat zero days juist goed van pas komen. De inlichtingen- en opsporingsdiensten kunnen, net als cybercriminelen, zero days kopen op illegale marktplaatsen zodat ze kunnen inbreken op computers. Ook mogen ze de beveiligingslekken voor onbepaalde tijd onder de pet houden. Daarmee houden ze malafide praktijken in stand en onthouden ze de samenleving informatie die nodig is om zich te beschermen. Het kabinet maakt een volkomen verkeerde afweging van belangen en lijkt niet in te zien wat de consequenties zijn van zijn tegenstrijdige wetsvoorstellen en beleidsinitiatieven ten aanzien van cybersecurity.

Als het kabinet echt werk wil maken van de bescherming tegen cybercrime, dan moet het zelf het goede voorbeeld geven. Online veiligheid moet voor opsporingsbelang gaan. Het beschermen van de samenleving doe je niet door een vrijbrief te geven aan het opsporingsapparaat. Dat doe je door vol en compromisloos op bescherming in te zetten. Het is van het grootste belang dat de wet geen perverse prikkels en contraproductieve bevoegdheden bevat. Alleen zo behouden we een betrouwbare, digitale infrastructuur, en daarmee een sterke economie en veilige digitale samenleving.

Zoeken
Related
nieuws
DINL oktober
Met DINL Update doe ik verslag van mijn recente activiteiten en ander nieuws. Daarmee blijf je als achterban op de...
nieuws
Uitnodiging-2
Op 22 november vindt in perscentrum Nieuwspoort het Nationale Debat over Digitalisering plaats.
nieuws
digitale-sector
Met DINL Update doe ik verslag van mijn recente activiteiten en ander nieuws. Daarmee blijf je als achterban op de...