e-Security en ICT infrastructuur als maatschappelijke basisvoorziening
een gedachtenvorming
Aanleiding
Op 3 december j.l. berichtte Nu.nl naar aanleiding van een gehouden onderzoek dat cyberaanvallen binnen twee jaar van nu als het grootste bedrijfsrisico in Nederland gezien moeten worden en als een groter risico dan economische onzekerheid. Bijna de helft van de bedrijven (48 procent) geeft aan dat de beveiliging tegen online diefstal van intellectueel eigendom in hun bedrijf te wensen over laat. Bovendien geeft 51 procent toe machteloos te zijn tegen serieuze pogingen van cyberspionage.
Wat kunnen Nederlandse IT infrastructuur spelers hier tegenover stellen? Aan welke beleidsrichting moeten we denken om cybercrime te stoppen en dit niet te laten gebeuren?
De analyse
Het bestuurlijk en wettelijk kader, maar ook het besef van de omvang van cybercrime, passen zich onvoldoende snel aan. Maatschappelijk gezien beseffen we nog niet echt wat cybercrime kan aanrichten in een mensenleven en hoe afhankelijk we van internet we zijn. Cybercrime komt zo snel op dat de oplossing er nog niet is. Dit resulteert op dit moment in incident gedreven probleemoplossingen die je nu bijvoorbeeld bij de overheid en volgens het door Nu.nl gerapporteerde onderzoek bij het merendeel van het bedrijfsleven waarneemt.
Het toekomstperspectief
Wat gaat er gebeuren als we via internet fysieke dingen, M2M, gaan besturen. Wat kan er met auto’s met een IP-adres? Dan kan een hacker het verkeer stilzetten. Dat gebeurt sneller dan wij denken. De eerste atoomcentrales zijn gehackt en bruggen zo maar opengezet.
Kan e-beveiliging beter? In ieder geval moet je op vitale plekken continu en ‘live’ meekijken via een security operating center (SOC). Twee keer per jaar een papieren controle over een periode die voorbij is heeft geen zin. Een voorbeeld waar het toezicht wel goed werkt en georganiseerd is, is de luchtvaart. Als de FAA-controleur op bezoek komt, gaat echt wel dat vliegtuig open. Kijk eens wat Boeing nu overkomt met zijn dreamliner. Als hij iets vindt wat niet in de haak is, blijft een hele vloot aan de grond. Dat is een goede economische prikkel voor de luchtvaart om zijn zaken permanent op orde te hebben.
Waar ligt de oplossing: Bouw e-Security en ICT op als maatschappelijke basisbehoefte
Waar ligt de oplossing tegen cybercrime? We moeten de basis ICT-infrastructuur leren zien als een maatschappelijke basisinfrastructuur. Het hoort thuis in het rijtje waterhuishouding, dijken, energievoorziening, riool. In de informatiemaatschappij dient informatie vrijelijk te kunnen stromen. In zo’n maatschappij is dat een basisbehoefte. Net als wegen, dijken en het riool basisbehoeften zijn. En dan gaat het niet alleen over veilige access maar over alle basis elementen die je voor digitaal zakendoen en digitaal communiceren nodig hebt. E-Herkenning, de digitale handtekening, aangetekend mailen, misschien wel de digitale notaris en zeker de ‘digitale postzegel’ horen hier bij.
De regelgeving rond de veilige digitale infrastructuur hoort in mijn visie thuis bij het Ministerie van Infrastructuur en Milieu, eventueel in combinatie met Veiligheid en Justitie. Volledig analoog aan andere maatschappelijke infrastructuren. Wellicht kan in de startfase het recent opgerichte European Network for Cyber Security (ENCS) deze rol als regelgever bestuurlijk vervullen en als zodanig gepositioneerd worden? Het Nationaal Cyber Security Centrum (NCSC) of misschien wel TNO’s cyberlab, mits TNO als leidinggevende innovatie-organisatie zich hierin naar het publiek belang zou voegen, zou in die visie uitgebouwd kunnen worden tot toezichthouder.
Zoals Rijkswaterstaat de regie voert over wegen en dijken zal er dus een regie en een toezichtsorgaan voor de basis ICT moeten komen. En zoals bijvoorbeeld Van Hattum&Blankevoort wegen aanlegt zo zal straks bijvoorbeeld KPN een van de partijen zijn die dit voor de digitale infrastructuur zal doen in opdracht van het Rijk.
Ik als burger ga ervan uit dat ik veilig over een brug kan rijden. Bruggen hebben geen veiligheidscertificaat. Evengoed moet ik ervan uit kunnen gaan dat veilig internet goed geregeld is. En dat ik mijn belastingpapieren veilig naar Apeldoorn kan sturen over het internet.
In lijn met de redenering dat e-security en de ICT infrastructuur een maatschappelijke basisvoorziening is zou bijvoorbeeld met monitoren van het internetverkeer, bijvoorbeeld via een Security Operating Center (SOC), niet als commerciële propositie in de markt gezet moeten worden maar als publieke bewaker van de digitale ruimte. Net zoals de camera’s in het winkelcentrum waar u ook geen rekening voor krijgt en die ook via publieke middelen worden gefinancierd. Wellicht moeten we toe naar een ICT-belasting naar analogie van de wegenbelasting.
Anti-Ddos zouden we niet per bedrijf moeten regelen, maar op de twee internationale Nederlandse Internet Exchanges. 90% van de Ddos attacks komt toch uit het buitenland. Aan de landgrenzen tegenhouden via twee grote ‘Anti-Ddos wasstraten’ lijkt een efficiëntere oplossing. Ik denk zomaar dat “Brussel” erg blij zou zijn met dit beleid. Het zou Nederland verduurzamen en een plaats geven in dit debat.
Het positioneren van ICT als maatschappelijke basisinfrastructuur laat overigens onverlet dat de overheid geen sturing moet hebben op de informatie die over die infrastructuur wordt vervoerd. Dat is een andere discussie maar ligt natuurlijk wel op de loer. Ik denk dat we ons met kracht moeten verzetten tegen bewegingen in die richting.
ICT bedrijven zouden zich moeten verbinden om in principe alleen secure ICT-aanbiedingen aan klanten te doen. Dat is een kwestie van maatschappelijk verantwoordelijk gedrag en dat past Nederland.
Daarnaast zullen internet bedrijven ook gaan bijdragen aan de bewustwording van de risico’s voor cybersecurity door bijvoorbeeld klanten bij aankoop van een smartphone te attenderen op het feit dat een smartphone een computer is die e-security maatregelen nodig heeft. Op dit moment is het merendeel van de smartphones onbeveiligd.
Het goede nieuws voor bedrijven in deze hoek is dat ze zich op het standpunt kunnen stellen dat leveringen in het kader van ICT basisinfra en secure access onder het lage btw-tarief vallen. Dat is de consequentie van deze redenering, scheelt de klant geld en compenseert in het concurrentievermogen waar het gaat om het default meeleveren van een security package.
Onderzocht zal moeten worden hoe dit beleid zich verhoudt tot de Europese Mededingingswet. Ik verwacht op dit punt overigens geen moeilijkheden. Ook hier een analogie met de situatie bij fysieke wegenaanleg.
Het is zaak dat ICT spelers in dit vlak samenwerken. Geen enkele partij kan dit alleen. Gestart zou kunnen worden met samenwerking in het kader van het ENCS of onder regie van TNO, met andere partijen en met de politiek verantwoordelijken engaged om deze visie uit te dragen en in concrete actie om te zetten.
De maatschappelijke basisinfrastructuur is te belangrijk om alleen aan de markt over te laten KPN zou hiertoe eigenlijk niet het initiatief moeten nemen, maar in lijn met de voorgaande redenering een van de Ministeries.
Aanvullende acties
Productaansprakelijkheid van software is niet geregeld. Ter vergelijking. Auto’s, vliegtuigen en medicijnen mogen pas de markt op als het aan bepaalde eisen voldoet en ‘gelicenseerd’ is. Waarom is dat met software niet zo? De schade van niet deugdelijke software is groot genoeg. Hier ligt wellicht een aanknopingspunt bij de bestrijding van cybercrime.
Wellicht kan e-security meegenomen worden in de accountantscontrole zoals dit inmiddels voor de bancaire sector wel is geregeld. Kernvraag hierbij is of een gehackt bedrijf nog betrouwbare gegevens heeft en dus een goedkeurende verklaring op de jaarrekening kan krijgen. Cybersecurity als onderdeel van de accountantscontrole zou een forse incentive betekenen voor meer bewustwording op dit gebied in het bedrijfsleven.
Tot slot
Wellicht internetten een vak op de basisschool? En de overheid een campagne over cybercrime, net zoals ‘veilig vrijen’, om burgers en bedrijven bewuster maken van cybercrime en wat je er aan kunt doen? Tevens is het noodzaak het onderwerp op Europees niveau agenderen. Misschien kan mw Kroes in Brussel nog enige invloed op de Googles en Microsofts van deze wereld organiseren?
Ik denk dat deze strategie een belangrijke bijdrage aan een secure internet in Nederland zou kunnen opleveren en een gids zou kunnen voor anderen. Er moet echt iets meer gebeuren dan nu ondernomen wordt.
————————————
lange versie artikel.
1 e-Security ICT infrastructuur als maatschappelijke basisvoorziening
een gedachtenvorming over ict als ‘the 5th domain’
1.1 Aanleiding
Op 3 december j.l. berichtte Nu.nl naar aanleiding van een gehouden onderzoek dat cyberaanvallen binnen twee jaar van nu als het grootste bedrijfsrisico in Nederland gezien moeten worden en als een groter risico dan economische onzekerheid. Bijna de helft van de bedrijven (48 procent) geeft aan dat de beveiliging tegen online diefstal van intellectueel eigendom in hun bedrijf te wensen over laat. Bovendien geeft 51 procent toe machteloos te zijn tegen serieuze pogingen van cyberspionage.
Wat kunnen Nederlandse IT infrastructuur spelers hier tegenover stellen? Aan welke beleidsrichting moeten we denken om cybercrime te stoppen en dit niet te laten gebeuren?
1.2 Analyse
Het bestuurlijk en wettelijk kader, maar ook het besef van de omvang van cybercrime, passen zich onvoldoende snel aan. Maatschappelijk gezien beseffen we nog niet echt wat cybercrime kan aanrichten in een mensenleven en hoe afhankelijk we van internet we zijn. Cybercrime komt zo snel op dat de oplossing er nog niet is. Dit resulteert op dit moment in incident gedreven probleemoplossingen die je nu bijvoorbeeld bij de overheid en volgens het door Nu.nl gerapporteerde onderzoek bij het merendeel van het bedrijfsleven waarneemt.
1.2 Toekomstperspectief
Wat gaat er gebeuren als we via internet fysieke dingen, M2M, gaan besturen. Wat kan er met auto’s met een IP-adres? Dan kan een hacker het verkeer stilzetten. Dat gebeurt sneller dan wij denken. De eerste atoomcentrales zijn gehackt en bruggen zo maar opengezet.
Kan e-beveiliging beter? In ieder geval moet je op vitale plekken continu en ‘live’ meekijken via een security operating center (SOC). Twee keer per jaar een papieren controle over een periode die voorbij is heeft geen zin. Een voorbeeld waar het toezicht wel goed werkt en georganiseerd is, is de luchtvaart. Als de FAA-controleur op bezoek komt, gaat echt wel dat vliegtuig open. Kijk eens wat Boeing nu overkomt met zijn Dreamliner. Als hij iets vindt wat niet in de haak is, blijft een hele vloot aan de grond. Dat is een goede economische prikkel voor de luchtvaart om zijn zaken permanent op orde te hebben.
1.3 Oplossing
Waar ligt de oplossing tegen cybercrime? We moeten de basis ICT-infrastructuur leren zien als een maatschappelijke basisinfrastructuur. Het hoort thuis in het rijtje waterhuishouding, dijken, energievoorziening, riool. De Duitse rechter heeft onlangs geoordeeld dat internetaansluiting een eerste levensbehoefte is. In de informatiemaatschappij dient informatie vrijelijk en veilig te kunnen stromen. In zo’n maatschappij is dat een basisbehoefte.. En dan gaat het niet alleen over veilige access maar over alle basis elementen die je voor digitaal zakendoen en digitaal communiceren nodig hebt. E-Herkenning, de digitale handtekening, aangetekend mailen, misschien wel de digitale notaris en zeker de ‘digitale postzegel’ horen hier bij.
De regelgeving rond de veilige digitale infrastructuur hoort in mijn visie thuis bij het Ministerie van Infrastructuur en Milieu, eventueel in combinatie met Veiligheid en Justitie. Volledig analoog aan andere maatschappelijke infrastructuren. Wellicht kan in de startfase het recent opgerichte European Network for Cyber Security (ENCS) deze rol als regelgever bestuurlijk vervullen en als zodanig gepositioneerd worden? Het Nationaal Cyber Security Centrum (NCSC) of misschien wel TNO’s cyberlab, mits TNO als leidinggevende innovatie-organisatie zich hierin naar het publiek belang zou voegen, zou in die visie uitgebouwd kunnen worden tot toezichthouder.
Zoals Rijkswaterstaat de regie voert over wegen en dijken zal er dus een regie en een toezichtsorgaan voor de basis ICT moeten komen. En zoals Van Hattum & Blankevoort wegen aanlegt zo zal straks bijvoorbeeld KPN een van de partijen zijn die dit voor de digitale infrastructuur zal doen in opdracht van het Rijk.
Als burger gaan wij ervan uit dat we veilig over een brug kunnen rijden. Bruggen hebben geen veiligheidscertificaat. Evengoed moeten wij ervan uit kunnen gaan dat veilig internet goed geregeld is. En dat wij onze belastingpapieren veilig naar Apeldoorn kan sturen over het internet en dat de Chinezen of wie dan ook niet meekijken in de datastromen van mijn bedrijf
In lijn met de redenering dat e-security en ICT een maatschappelijke basisvoorziening is zou bijvoorbeeld met monitoren van het internetverkeer niet als commerciële propositie in de markt gezet moeten worden maar als publieke bewaker van de digitale ruimte. Net zoals de camera’s in het winkelcentrum waar u ook geen rekening voor krijgt en die ook via publieke middelen worden gefinancierd. Wellicht moeten we toe naar een ICT-belasting naar analogie van de houderschapsbelasting voor auto’s.
Het positioneren van ICT als maatschappelijke basisinfrastructuur laat overigens onverlet dat de overheid geen sturing moet hebben op de informatie die over die infrastructuur wordt vervoerd. Dat is een andere discussie maar ligt natuurlijk wel op de loer. Wij denken dat we ons met kracht moeten verzetten tegen bewegingen in die richting.
ICT bedrijven zouden zich moeten verbinden om in principe alleen secure ICT-aanbiedingen aan klanten te doen. Dat is een kwestie van maatschappelijk verantwoordelijk gedrag en dat past Nederland.
Daarnaast zullen internet bedrijven ook gaan bijdragen aan de bewustwording van de risico’s voor cybersecurity door bijvoorbeeld klanten bij aankoop van een smartphone te attenderen op het feit dat een smartphone een computer is die e-security maatregelen nodig heeft. Op dit moment is het merendeel van de smartphones onbeveiligd tegen zaken als spyware, niet echt handig als je via je smartphone wilt gaan internetbankieren.
Het goede nieuws voor bedrijven in deze hoek is dat ze zich op het standpunt kunnen stellen dat leveringen in het kader van ICT basisinfra en secure access onder het lage btw-tarief vallen. Dat is de consequentie van deze redenering, scheelt de klant geld en compenseert in het concurrentievermogen waar het gaat om het default meeleveren van een security package.
Onderzocht zal moeten worden hoe dit beleid zich verhoudt tot de Europese Mededingingswet. Wij verwachten op dit punt overigens geen moeilijkheden. Ook hier een analogie met de situatie bij fysieke wegenaanleg.
Het is zaak dat ICT spelers in dit vlak samenwerken. Geen enkele partij kan dit alleen. Gestart zou kunnen worden met samenwerking in het kader van het ENCS of onder regie van TNO, met andere partijen en met de politiek verantwoordelijken om deze visie uit te dragen en in concrete actie om te zetten.
De maatschappelijke basisinfrastructuur is te belangrijk om alleen aan de markt over te laten. ICT providers als KPN zouden hiertoe eigenlijk niet het initiatief moeten nemen, maar in lijn met de voorgaande redenering een van de Ministeries.
Nederland zou hierin een voorbeeld moeten nemen aan Estland. Toen het land in 2007 verwikkeld raakte in een cyberoorlog werd het gedwongen cybersecurity serieus te nemen. Onlangs heeft het land afgekondigd dat haar vitale infrastructuur jaarlijks een cybersecurity assessment moet ondergaan.
1.4 Aanvullende acties
Productaansprakelijkheid van software is niet geregeld. Ter vergelijking. Auto’s, vliegtuigen en medicijnen mogen pas de markt op als het aan bepaalde eisen voldoet en ‘gelicenseerd’ is. Waarom is dat met software niet zo? De schade van niet deugdelijke software is groot genoeg. Hier ligt wellicht een aanknopingspunt bij de bestrijding van cybercrime.
Wellicht kan e-security meegenomen worden in de accountantscontrole zoals dit inmiddels voor de bancaire sector wel is geregeld. Kernvraag hierbij is of een gehackt bedrijf nog betrouwbare gegevens heeft en dus een goedkeurende verklaring op de jaarrekening kan krijgen. Cybersecurity als onderdeel van de accountantscontrole zou een forse incentive betekenen voor meer bewustwording op dit gebied in het bedrijfsleven.
1.5 Tot slot
Wellicht internetten een vak op de basisschool? En de overheid een campagne over cybercrime, net zoals ‘veilig vrijen’, om burgers en bedrijven bewuster maken van cybercrime en wat je er aan kunt doen? Tevens is het noodzaak het onderwerp op Europees niveau agenderen. Misschien kan mevrouw Kroes in Brussel nog enige invloed op de Googles en Microsofts van deze wereld organiseren?
Wij denken dat deze strategie een belangrijke bijdrage aan een secure internet in Nederland zou kunnen opleveren en een gids zou kunnen voor anderen. Er moet echt iets meer gebeuren dan nu ondernomen wordt.
2 Wat moet er dan gebeuren?
Het adopteren van bovenstaande filosofie is niet vrijblijvend. Op het moment dat we internet zien als een levensbehoefte, moet het ook als levensbehoefte worden beschermd. In de fysieke wereld kennen we op het gebied van de andere levensbehoeften (denk o.m. aan: voedsel, huisvesting, energie, drinkwater) niet vrijblijvende regels. De wetgever legt voorschriften op en allerlei controlerende en toetsende autoriteit kijken of de regelgeving wordt gehandhaafd. Desnoods worden sancties opgelegd of producten van de markt gehaald.
Maar daar blijft het niet bij. Bij onderwerpen van maatschappelijk belang hebben we doorgaans te maken met meerdere partijen. De politiek, belangengroeperingen en/of hun vertegenwoordigers, onderzoeksinstituten, de wetenschappelijke wereld, uitvoerende partijen, toezichthoudende organen en last but not least de burgers.
2.1 Een inventariserende poging
Voor de eerste aanzet onderscheiden we de volgende partijen:
- De overheid (inclusief de wetgever)
- Aanbieders van IT infrastructuur
- Onderzoeksinstituten
- De wetenschappelijke wereld
- De IT gebruikende burgers en bedrijven.
Hieronder doen we een poging tot duiding van de taken op het terrein van E-security e IT infrastructuur als maatschappelijke basisvoorziening.
2.1.1 De overheid
Van de politiek in haar rol van wetgever mag worden verwacht wetgeving (normenkader) rondom e-security en IT infrastructuur als basisbehoefte beschikbaar en beschermd is.
Die wetgeving regelt de voorwaarden waaraan de dienstverlening moet voldoen en wat de burger mag verwachten van de overheid, het toezicht er op en de dienstverleners die het aanbieden. Bovendien moet geregeld worden hoe overtredingen worden opgespoord en hoe die moeten worden gesanctioneerd.
De overheid heeft vervolgens de taak om het toezicht te organiseren en te faciliteren.
Een belangrijk onderdeel van de wetgeving is de wijze waarop de bedrijven en burgers zich identificeren. Als we als burger deze wereld betreden, krijgen we direct een Burgerservicenummer en moeten we ons kunnen identificeren. Wet- en regelgeving zorgen er voor dat deze identificaties wereldwijd zijn erkend. E-herkenning en DigiD zijn mooie aanzetten, maar voor een deel nog point-solutions. Minder voor de hand liggende zaken die gereld moeten worden is de e-adressering. Hebben we in de fysieke wereld een plaatsnaam, straatnaam, postcode en huisnummer, in de e-wereld kennen we IP adressen, maar die zijn lang niet altijd tot op burger- of bedrijfsniveau terug te brengen.
Met elkaar zullen we ‘verkeersregels’ in de e-wereld moeten afspreken. Het verkeersreglement voor de e-wereld is erg versnipperd en de regels worden voor een deel aan het maatschappelijk krachtenveld over gelaten.
Willen we er serieus werk van maken, dan zal ook het onderwijs en de maatschappelijke bewustwording moeten worden gestimuleerd. De overheid zal daarin het voortouw moeten nemen en er in moeten willen investeren. Voldoende budget is essentieel.
Tot slot van deze overheid opsomming zij opgemerkt dat – willen we een volledig en toekomstbestendig beeld krijgen – de overheid de diverse belanghebbende partijen (w.o. leveranciers en onderzoeksinstituten en wetenschappelijke wereld) bij elkaar moeten brengen. Kennisdeling en maatschappelijke betrokkenheid en het komen tot een consistent hoog niveau is het voornaamste doel.
De fysieke wereld kan voor dit geheel model staan voor de e-wereld.
Natuurlijk moet daarbij gebruik worden gemaakt van de opgedane ervaring van al bestaande initiatieven. Zonder de pretentie van volledigheid, moet daarbij gedacht worden aan: het college Bescherming Persoonsgegevens, de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), het Nationaal Cyber Security Centrum (NCSC) en het European Network for Cyber Security (ENCS).
2.2 Marktpartijen
Als we het hebben over netwerkleveranciers waar het grootste deel van de cyberwereld zich afspeelt, dan gaat het over bedrijven als: KPN, Vodafone, Ziggo, UPC, Tele2 etc. Deze leveranciers zijn verantwoordelijk voor de goede werking en continuïteit van de netwerkinfrastructuur. Tot nu toe zijn veel maatregelen gericht op de continue beschikbaarheid. Veiligheid wordt vaak overgelaten aan de zorg van de eindgebruikers of bedrijven. Waarom? Het is de overheid die – los van de eigen verantwoordelijkheid van de weggebruiker – de regels stelt die op de fysieke wegen gelden. Je moet een rijbewijs hebben om een auto te mogen besturen. Er is allerlei regelgeving en apparatuur rondom onze fysieke infrastructuur die de veiligheid van de weggebruiker mede bepaalt. Waarom dan niet in de digitale wereld? Waarom wordt dat consequent overgelaten aan de aanbieders?
De Marktpartijen zouden in samenwerking heel wat expertise kunnen inbrengen. Meer nog: zij zouden het voortouw kunnen nemen. Waarom geen afspraken op het niveau van standaard soorten beveiliging, de protocollen, de te nemen acties, escalatie processen etc. Waarom zouden zij de overheid niet kunnen dwingen tot het nemen van maatregelen? Het was uiteindelijk de auto industrie die zelf met airbags en ABS kwam, voordat het voorgeschreven werd. Kreukelzones werden uiteindelijk de NCAP indexen die medebepalen of een auto de weg op mag. Industrie nam het voortouw, overheid volgde. De aanbiedende partijen kunnen de denkrichting bepalen. Zij beschikken bovendien op enorme onderzoeksmogelijkheden. En zonder aan concurrentievervalsing en ongeoorloofde samenwerking te doen, zou er wel kunnen worden samengewerkt in een gezamenlijk aan te bieden niveau van beveiliging. Dit alles met het doel om maatschappelijke verantwoordelijkheid te nemen en de overheid te leiden naar goede wet- en regelgeving. Waarom moeten we thuis allerlei filters plaatsen, of moet ik dat tegen meerprijs afnemen bij mijn provider? Als ik houderschapsbelasting betaal voor mijn auto mag ik er toch vanuit gaan dat de overheid gezorgd heeft voor een veilige basisinfrastructuur. Waarom dan niet op de digitale snelweg?
Van marktpartijen mag verwacht worden dat zij voortdurend hun netwerken monitoren op mogelijke verstoringen en veiligheidsrisico’s. Pro-actief beheer, zodat de klanten niet merken dat netwerken onder vuur liggen van cybercriminelen.
Om de veilige infrastructuur te kunnen realiseren zou naar multi-layered defense model toegewerkt moeten worden. De internet exchanges zouden hierbij als eerste layer of defense kunnen fungeren, bijvoorbeeld door het toepassen van een ‘anti-Ddos wasstraat’. 90% van de Ddos attacks komt uit het buitenland dus aan de landgrenzen tegenhouden van Ddos verkeer lijkt een efficiënte oplossing. Dit zou de kwetsbaarheid van de in Nederland gehoste servers beperken en zou de traceerbaarheid van de resterende aanvallen vergroten. Wij denken zomaar dat “Brussel” erg blij zou zijn met dit beleid. Het zou Nederland verduurzamen en een plaats geven in dit debat.
De ISP’s zouden een tweede layer of defense moeten vormen. Van hen mag verwacht worden dat zij voortdurend hun netwerken monitoren op mogelijke verstoringen en veiligheidsrisico’s. Pro-actief beheer, zodat de klanten niet merken dat netwerken onder vuur liggen van cybercriminelen. De providers zouden elkaar moeten informeren over geconstateerde veiligheidsrisico’s.
Een aparte categorie in de rubriek Leveranciers zijn de security aanbieders. Denk aan bedrijven als Fox-IT die (inter)nationaal in hoog aanzien staan en van de hoed en de rand weten als het gaat om cybercriminaliteit.
Actieve gevraagde en ongevraagde samenwerking met de onder het kopje ‘Overheid’ genoemde instellingen moet vanzelfsprekend zijn.
2.3 Onderzoekinstituten en wetenschap
Nederland heeft een aantal instituten en wetenschappelijke organen die toonaangevend zijn in e-security. Te nomen zijn TNO, de Technische Universiteit Twente, De Katholieke Universiteit Nijmegen. Daarnaast zijn er beroepsverenigingen van security deskundigen die met enige regelmaat whitepapers publiceren op het gebied van e-security. Te denken valt aan het PVIB (Platform van Informatiebeveiliging), NOREA (de beroepsvereniging van IT auditors), NGI (beroepsvereniging van ICT professionals).
Op het gebied van privacybescherming, PKI beveiliging, identitybeheer en holistische benadering van e-security zijn prima ideeën ontstaan en in ontwikkeling.
Van zowel de onderzoeksinstituten als de wetenschap kan veel meer gebruik gemaakt worden door de ontwikkelaars van wet- en regelgeving.
2.4 Bedrijven en burgers
Wat moeten de gebruikers er nou van merken? Van bovenstaande eigenlijk niets. Als leveranciers hun verantwoordelijkheid nemen krijgen ze een schone en veilige snelweg. Waar gebruikers wel op moeten letten is hun eigen gedrag op de cyber snelweg. Weten wat kan, onderkennen van risicovol gedrag etc. moet een vanzelfsprekende attitude zijn. Waarom zouden we niet iets als een digitale rijopleiding voor de digitale snelweg introduceren? Natuurlijk moet daar goed over worden nagedacht. Want een kind van 4 weet al aardig de weg op allerlei IT voorzieningen. De vraag is of er niet iets als een identificatie moet komen waarop onderscheid gemaakt kan worden naar de maturity van de gebruiker. Onder de 18 mag er geen alcohol worden gekocht. Dat beneveld de geest en is maatschappelijk een potentieel probleem. Dat een 15 jarige zich voedt met allerlei terroristische denkbeelden en tips opdoet voor het maken van bommen, of zich vollaad met kwaadaardige software en dat zelfs verspreidt, daar doen we niet moeilijk over. Hebben we hier een discrepantie te pakken?