De afgelopen weken is weer gebleken dat onze digitale samenleving kwetsbaar is. Niet alleen persoonlijke gegevens, maar ook kritieke infrastructuur zoals het elektriciteitsnet, drinkwater en internet zijn potentiële doelwitten voor cybercriminelen. Vorige week maakten we kennis met WannaCry en begin deze maand werd zelfs een aantal Britse ziekenhuizen stilgelegd door een cyberaanval. Naar aanleiding van deze gebeurtenissen heeft SMO een panel van experts uit verschillende disciplines uitgenodigd om hun visie te geven op cyber security, en de rol van overheden en het bedrijfsleven. Hiervoor hebben wij hen gevraagd te reageren op een voorstel van Microsoft, waarin de tech-industrie, maar ook overheden worden opgeroepen om verantwoordelijkheid te nemen voor de digitale veiligheid van burgers: digitale conventie van Genève. Gezamenlijk optreden om een veilige digitale toekomst te realiseren.

Maak kennis met ons Panel:

Muel Kaptein
Prof. Muel Kaptein  RSM, Professor of Business Ethics and Integrity Management, KPMG Nederland, Partner
Erik de Jong
Erik de Jong  Chief Research Officer, Fox-IT
Pepijn Vuister
Pepijn Vuister  Financiële sector, Security Specialist & Ethical Hacker
John Sinteur
John Sinteur  Radically Open Security, Co-Founder

We stelden de volgende vragen:

1. Op welke manier heeft u te maken met Cyber Security?

Muel Kaptein, RSM & KPMG Nederland:

Als bedrijfsethicus houd ik me bezig met de morele verantwoordelijkheden van bedrijven. Ook die ten aanzien van cyber security. Vaak wordt dat onderwerp primair vanuit verstoring van relaties en de continuïteit van de dienstverlening bezien. Je hebt het dan over het berekenen van schade, kostenposten, kansen en impact. Dat is vanuit economisch perspectief belangrijk, maar ook vanuit ethisch perspectief. Het is namelijk de vraag welke verantwoordelijkheid we dragen als een aanval tot een verstoring leidt die anderen dupeert.

Daarnaast houd ik me als wetenschapper en in de praktijk bezig met risicobewustzijn vanuit zowel een technologisch, als een menselijk perspectief. Dan gaat om het versterken van bewustzijn, verantwoordelijkheidsbesef, of de cultuur binnen een organisatie. Dus: zoveel mogelijk voorkomen dat je doelwit wordt en als je doelwit wordt zo adequaat mogelijk reageren - bijvoorbeeld door de juiste afdelingen of personen te betrekken bij een verdachte situatie.

Erik de Jong, Fox-IT:

Fox-IT houdt zich volledig bezig met cyber security. Alle producten en diensten die wij onze klanten aanbieden hebben te maken met cyber security. Ofwel om incidenten te kunnen voorkomen, ofwel om ze te detecteren en erop te reageren. We werken wereldwijd voor publieke en private partijen. Wat we precies doen kan ik niet vertellen, daar hebben wij geheimhoudingsafspraken over met onze klanten, maar we werken onder andere in opdracht van financiële instellingen, overheden en de olie- en gassector, en aan kritieke infrastructuur zoals elektriciteitsnet, drinkwater en internet.

Pepijn Vuister, financiële sector:

Eigenlijk ben ik per toeval met cyber security in aanraking gekomen, maar mijn interesse lag altijd al bij IT. Van jongs af aan ontwierp ik websites, onder andere voor het mkb. Tijdens mijn stage bij een consultancy bedrijf gaf ik aan dat ik interesse had in IT, en zo kwam ik terecht bij cyber security. Zo ben ik ook als ethisch hacker actief geworden.

Als securityspecialist ben ik momenteel actief in de financiële sector en beoordeel ik applicaties die in ontwikkeling zijn op het gebied van veiligheid. We voeren hiervoor tests uit op de software, we reviewen de code en geven adviezen op het gebied van secure-coding. Wanneer je als ethisch hacker aan de slag gaat, stel je eerst de scope en kaders van het onderzoek vast. Vervolgens ga je binnen dat kader onderzoek uitvoeren. Doe je het onderzoek als iemand zonder voorkennis, dan heet dat een black box test, maar krijg je inzage in alle informatie van de ontwikkelaar of beheerder van het systeem, dan heet dat een white box test. Je probeert eerst zoveel mogelijk informatie over je doelwit te vergaren. Dit heet ookwel reconnaissance. Daarin identificeer je de mogelijke kwetsbaarheden die je in de volgende fase gaat proberen te misbruiken. Nadat je een kwetsbaarheid succesvol hebt misbruikt (exploit) is het een kwestie van inbreken en zo ver mogelijk doordringen. Uiteindelijk stel je van de bevindingen een rapport op waarin je ook aanbevelingen geeft over hoe die kwetsbaarheden opgelost kunnen worden. Zo stel je de ontwikkelaar van het systeem in staat om de applicatie veiliger te maken.

John Sinteur, Radically Open Security:

Onze dagelijkse activiteit draait om het testen van de digitale systemen van bedrijven in opdracht van henzelf. Ethisch hacken dus eigenlijk. We proberen daarmee tegelijk de bouwers te laten meekijken, zodat zij hun werk nog beter kunnen doen. Het feit dat wij een not for profit organisatie zijn, maakt het mogelijk dat wij op die manier bezig zijn met ons vakgebied. Cyber security is dus onze business én onze doelstelling.

"We kunnen een vergelijkbare bewustwordingsgolf verwachten als bij circulair ondernemen."

2. Wat is nou precies het belang van Cyber Security?

Muel Kaptein, RSM & KPMG Nederland:

Als een burger iets stoms doet met betrekking tot cyber security, dan zal dat geen hele grote invloed hebben op de maatschappij. Bij het bedrijfsleven ligt dat anders. Als een bedrijf dingen niet goed geregeld heeft en daardoor diensten niet goed kan leveren, dan heeft dat een één-op-één effect op de reputatie en het aanzien van het bedrijf. Ze zijn dus niet alleen een makkelijker doelwit, maar ook kwetsbaarder dan particulieren.

Als bedrijf ken je dat belang, maar heb je tegelijkertijd ook te maken met medewerkers. Die kunnen makkelijk ten prooi vallen aan cyber criminaliteit en zijn vatbaar voor het maken van fouten. Dat betekent dat organisaties niet alleen systemen zo goed mogelijk op orde moeten hebben, maar ook de menselijke risicofactor zo goed mogelijk moet organiseren.

Erik de Jong, Fox-IT:

Het flauwe antwoord is natuurlijk dat het voor iedereen van belang is. Cyber security is ook een heel breed begrip. Je hebt heel veel verschillende mensen die kwaad willen doen - dreigingsactoren. Dat is eigenlijk niet anders dan in de fysieke wereld. Je hebt spionnen, criminelen, vandalen, kwajongens, terroristen. Die kunnen zich ook allemaal op het internet bewegen. Sterker nog, die bewegen zich soms alleen maar op het internet om daar geld of informatie te stelen, of dingen te verstoren of omver te schoppen. Daar moet je iets mee. Als je je daar niet tegen beschermt, dan raak je geld of informatie kwijt, of gaat je website kapot. Het belang van cyber security is dat je weerbaar bent tegen dat soort zaken door ze te voorkomen, of door er zo goed mogelijk op voorbereid te zijn als ze je wel raken.

Pepijn Vuister, financiële sector:

Zowel voor burgers en bedrijven, als voor overheden is het ontzettend belangrijk. We doen steeds meer online en worden daarbij steeds meer afhankelijk van digitale middelen. Daarin kunnen kwetsbaarheden zitten waarnaar we onderzoek moeten doen, en waartegen we ons moeten beveiligen.

Vroeger ging alles met pen en papier en was informatie alleen toegankelijk voor de persoon die de papieren had. Nu zet je dingen op een computer die verbonden is met het internet. Dan kan theoretisch gezien iedereen erbij, tenzij je maatregelen neemt die dat tegengaan. Die maatregelen moeten natuurlijk wel effectief zijn, en je zal ze moeten toetsen.

John Sinteur, Radically Open Security:

De state of the art in cyber security moet beter worden, zodat mensen producten veiliger en met een gerust hart kunnen gebruiken. Consumenten en bedrijven moeten in de cyberwereld steeds op hun hoede zijn om zeker te zijn of iets wel of niet echt is. Dat is toch onzin? Het heeft onder andere te maken met het verbeteren van de mentaliteit en het bewustzijn rondom cyber security, daarin is nog veel te doen. Ook omdat het vaak nog relatief nieuw en onbekend is.

Ik ben overigens wel optimistisch gestemd, want ook de groei naar nieuwe goede digitale dingen zie ik voorlopig niet stoppen. Dat wordt alleen maar meer en beter. Ik heb er alle geloof in dat we nog heel veel positieve technologieën gaan ontwikkelen die veel problemen kunnen oplossen. Denk alleen al aan het Internet of Things: daar gaat nog zoveel in gebeuren. Het lastige is alleen dat we op dit moment behoefte hebben aan cyber security op een manier die we ons twintig jaar geleden niet konden voorstellen en waar we ons dus niet op hebben voorbereid. Daarom hebben we wat in te halen en ik heb er vertrouwen dat het gaat lukken. Maar alle cyber criminaliteit krijgen we nooit de wereld uit, net zoals we altijd inbrekers zullen hebben. Ondanks de camera’s en de goede sloten. Cyber security zal overigens ook wel een thema zijn bij de huidige formatiegesprekken. Alleen haalt het niet zo snel de pers, omdat het voor hen niet interessant genoeg is. Maar de nationaal coördinator terrorismebestrijding is precies op de hoogte van het belang van cyber security en hij zal af en toe wel aanschuiven.

"Cyber security is een weerbarstige materie."

3. Wat is uw visie daarop?

Muel Kaptein, RSM & KPMG Nederland:

Dat je bewustzijn heel moeilijk kunt organiseren. Iedereen kent de valse berichten van de zogenaamde bank of telecomprovider, waarop mensen toch klikken. In sommige gevallen omdat het voor henzelf weinig kwaad kan als ze het via de bedrijfscomputer doen. Of kijk naar mensen die rotzooi naar binnen halen bij hun bedrijf door met vervuilde usb-sticks te werken, of door besmette documenten te versturen. Daarmee groeit de vatbaarheid of veelheid waarmee je doelwit kunt zijn voor lekken, chantage of andere vormen van cyber insecurity. Tegelijkertijd kun je moeilijk overal een hek omheen zetten. Dan kun je als bedrijf niet meer functioneren. Dat maakt deze materie weerbarstig, maar daarmee neemt ook het belang toe om cyber insecurity zo veel mogelijk te reduceren en je ertegen te wapenen.

Erik de Jong, Fox-IT:

Je moet afwegen wat je wel en niet gaat beschermen en hoeveel geld je erin steekt. Het speelt een rol of je daarmee kunt uitsluiten dat het kan gebeuren, of dat je weet dat het gaat gebeuren en je er dan snel bij wilt zijn. Uiteindelijk is het een combinatie van preventieve maatregelen. Vergelijk het met een camera bij je huis: die hangt er niet per se om de inbraak tegen te houden, maar om te alarmeren en achteraf sporenonderzoek mogelijk te maken. Uiteindelijk moet je met dat soort zaken slim omgaan, want je kunt niet alles tot de tanden toe beveiligen, dat is veel te duur. Daarom moet je een optimum proberen te bereiken. Voor je huis kun je daarvoor nog een redelijke inschatting maken, maar online is dat een stuk lastiger.

Pepijn Vuister, financiële sector:

Ik denk dat we ons op dit moment niet genoeg bewust zijn van hoe afhankelijk we van internet en digitale middelen zijn. Misschien neemt ook niet iedereen daar de juiste verantwoordelijkheid in. Grotendeels door een gebrek aan bewustzijn op dat gebied.

Bedrijven verzamelen steeds meer data, omdat er steeds meer digitaal wordt. Die hebben dus ook de verantwoordelijkheid om dat te beveiligen. De overheid wordt ook steeds meer digitaal en ook die heeft de verantwoordelijkheid om zich te beveiligen. Hetzelfde geldt voor burgers, ook zij moeten zich bewust zijn van de risico’s in het digitale domein. Het liefste zie ik dat - wanneer er een incident plaatsvindt met een grote impact op consumenten - een organisatie daar transparant over is. Vroeg of laat komt het toch wel uit. Je kunt er dus beter open over zijn en laten zien dat je er alles aan doet om een incident te voorkomen, en dat je ook na het incident er alles aan doet om de impact zo klein mogelijk te houden. Dat neemt niet weg dat het vervelend is, maar als je laat zien dat je weerbaar bent en snel kunt reageren dan komt dat je naam alleen maar ten goede. De overheid kan daar mogelijk iets in sturen. Het voorkomen van incidenten door middel van preventieve maatregelen is natuurlijk nog beter.

John Sinteur, Radically Open Security:

Radical Open Security is ontstaan uit wereld verbeterend oogpunt. Mijn compagnon en ik hadden in het verleden een aantal ervaringen waarin wij zagen dat dienstverlening omtrent transparantie en cyber security te kort schoot. We vroegen ons daardoor af wat de beste manier zou zijn om een cyber security-organisatie op te richten. De conclusie was: not for profit! Op die manier kunnen we de perverse financiële prikkel uit het consultancywerk halen en ons doel nastreven: met alles wat we doen de cyberveiligheid vergroten.

Een financiële prikkel die overigens wel wenselijk als het betekent dat bedrijven last krijgen van imagoschade als ze laks omgaan met cyber security. In die zin moet maatschappelijk verantwoord ondernemen meer richting ‘cyber’ bewegen, of omgedraaid. Dat gebeurt gelukkig wel in toenemende mate. Sommige bedrijven lopen er al aardig mee voorop, andere worden nu wakker en een ander deel slaapt nog. Ik ben er in ieder geval zeker van dat er op dit vlak de komende 15 jaar veel gaat gebeuren. We kunnen een vergelijkbare bewustwordingsgolf verwachten als bij circulair ondernemen. Daar wist men 10 jaar geleden ook niets van af, terwijl iedereen nu precies weet wat het is.

"Het begint voor een groot deel bij softwarebedrijven."

4. Hoe ziet u de verantwoordelijkheid of de rolverdeling tussen overheid en bedrijfsleven hierin?

Muel Kaptein, RSM & KPMG Nederland:

Als we deze vraag moeten stellen, dan gaat het eigenlijk al niet goed. Iedereen heeft een eigen verantwoordelijkheid en tegelijkertijd is iedereen ook weer van elkaar afhankelijk. Dat loopt uiteen van het ontwikkelen van goede software, het goed oppakken van alarmsignalen, de goede regie voeren als er sprake is van een aanval, tot het opsporen van wanpraktijken.

Omdat je in grote mate van elkaar afhankelijk bent, is het een kwestie van goed met elkaar optrekken en samenwerken. Daarbij vind ik overigens niet dat een bedrijf zich kan verschuilen achter het feit dat de overheid in gebreke blijft. Als je als bedrijf doelwit bent geworden of zelf laakbaar hebt gehandeld dan is het moeilijk om dat van je bordje af te vegen. Daarom geldt zowel voor individuele bedrijven en organisaties, als voor koepelorganisaties, dat zij daar waar mogelijk zoveel mogelijk zelf die verantwoordelijkheid op moeten pakken. Dan wordt het een en/en verhaal van het nemen van enerzijds individuele verantwoordelijkheid van bedrijven en de collectieve verantwoordelijkheid binnen sectoren en van het gehele bedrijfsleven, en anderzijds de verantwoordelijkheid van overheden, zowel lokaal en nationaal als internationaal. Juist de onderlinge afhankelijkheid vormt een uitdaging, want mensen met kwade bedoelingen zoeken daarin steeds weer het zwakste punt. Het wordt daardoor dus een wedloop die een forse investering van bedrijven verlangt. Maar als je het doelwit van cyber criminaliteit wordt, dan betaal je mogelijk een nog grotere rekening.

Erik de Jong, Fox-IT:

Het begint voor een groot deel – maar niet uitsluitend – bij softwarebedrijven. Veel ellende komt namelijk voort uit het feit dat software niet goed is, of slecht in elkaar zit. Er zitten altijd wel gaten in en daar maken criminelen en spionnen gebruik van. Sommige sloten kun je met een lopertje makkelijk open krijgen, en ja, dan ben je de pineut. Kijk alleen al naar inbraken waarbij gegevens worden gestolen of gekopieerd. Dat gebeurt aan de lopende band. Dan wordt er bijvoorbeeld ingebroken bij LinkedIn of Adobe, of worden er ergens creditcardgegevens gestolen. Dat is een behoorlijk groot probleem. Criminelen krijgen in die gevallen beschikking over persoonsgegevens en wachtwoorden, die ze vervolgens kunnen gebruiken om elders toegang te krijgen en informatie te stelen.

Als we dat op zijn beloop laten, en dat is gebeurd, dan zie je dat bedrijven er zelf niet zoveel aan doen. Als ze het slachtoffer worden van zo’n aanval, dan is dat een beetje pijnlijk, maar het zijn uiteindelijk niet hun gegevens. Je ziet dat daar waar de markt faalt, er beweging komt in de regelgeving. In Californië begonnen ze vijftien jaar geleden. Daar hebben ze gezegd: als je het slachtoffer bent van zo’n aanval, dan ben je verplicht om dat te melden, ook aan de betrokkenen. In Nederland is die wetgeving sinds een jaar ook van toepassing en zijn er hoge boetes aan verbonden. Ook in Europa wordt er over nieuwe regelgeving gesproken. Daarnaast bestaat er een speciale situatie bij kritieke infrastructuren als telecommunicatie, energie en water. Als die verstoord raken dan kan dat sociale ontwrichting veroorzaken. Dergelijke infrastructuur is in handen van marktpartijen, maar de overheid neemt daarbij een aparte rol in om bescherming te bieden. Bijvoorbeeld door het delen van informatie.

Pepijn Vuister, financiële sector:

Ze hebben allemaal een verantwoordelijkheid gegevens goed te beveiligen. De overheid zou daaraan kunnen bijdragen door meer bewustzijn te creëren, voornamelijk bij het mkb. Bedrijven zouden ook meer samen kunnen werken om cyber security aan te pakken; ik denk namelijk dat veel bedrijven ook niet beseffen dat ze onderdeel zijn van het probleem. Grote bedrijven zoals Target of Sony hebben bijvoorbeeld problemen gehad omdat ze hun cyber security niet op orde hadden. Bedrijven moeten zich er bewust van worden dat dit de risico’s zijn van vergaande digitalisering.

In de financiële sector is security nog belangrijker. Als er bij een financiële instantie een incident plaatsvindt, dan kunnen daar potentieel enorme bedragen mee gemoeid zijn. Kijk maar naar de hack bij de Bangladesh Bank. Daar is een cyber inbraak geweest waar ongeveer 80 miljoen Amerikaanse dollar weggesluisd is. In deze sector zit het bewustzijn omtrent cyber security dan ook een stuk dieper in de cultuur verankerd.

John Sinteur, Radically Open Security:

Het vakgebied ontwikkelt zich in zo’n hoog tempo dat het voor overheden moeilijk is om specifieke cyber security regelgeving op te stellen die voldoende geldigheidsduur heeft. De overheid heeft dus een lastige klus, maar ik denk dat het goed is om vooral te denken richting compliance: van het bedrijfsleven eisen dat ze hun zaken redelijkerwijze op orde hebben. Het liefste wil je dat bedrijven dat uit zichzelf doen – en sommige zijn daar ook wel mee bezig, maar helaas overheerst vaak nog de Angelsaksische gedachte: ‘Het kost mij toch geen geld als het misgaat.’

Het is trouwens mooi om te zien dat in plaats van overheid of bedrijfsleven, juist het onderwijs een van de voornaamste bewegers is ten aanzien van cyber security. Daar is het een serieus onderdeel van het curriculum aan het worden en dat is een geweldige ontwikkeling die ik ook bij mijn eigen werkzaamheden zie plaatsvinden.

"Het gaat allemaal om het nemen van morele verantwoordelijkheid."

5. Microsoft heeft in februari als reactie op aanvallen van landen op private partijen (denk aan de hacks van Sony door Noord-Korea, of de aantijgingen van Russische hacks in verschillende verkiezingen) het volgende voorgesteld:

a. Een Digitale Conventie van Genève waarin landen afspreken geen digitale aanvallen uit te voeren op civiele doelen.
b. Een Tech Akkoord waarin de industrie afspreekt zich als ‘digitaal Zwitserland’ neutraal op te stellen, en afspreekt hoe zij burgers gaan beschermen.
c. Het instellen van een onafhankelijke internationale waakhond, een soort digitaal ‘internationaal atoomagentschap’, dat onderzoek doet naar aanvallen, en de daders bekend maakt.

Wat is uw visie op dit voorstel?

Muel Kaptein, RSM & KPMG Nederland:

De oorlogen in de toekomst zullen niet worden uitgevochten op het land, in de lucht of op het water, maar via informatietechnologie. Dat is in toenemende mate ons zenuwstelsel en daar zitten onze afhankelijkheden. Naar mijn idee is het goed om daar monitoring op te zetten. Dit betekend dat defensie heel anders ingericht moet worden, en daar moeten we wereldwijde afspraken over maken om elkaar te versterken. Want één ding is zeker: het zal niet de laatste keer zijn dat landen op deze manier proberen elkaar te infiltreren.

Ik waak er wel voor dat een dergelijke conventie wordt ingezet voor politieke doeleinden. Tegelijkertijd moet het ook niet doorslaan naar een situatie waarbij marktpartijen zich aan hun verantwoordelijkheden kunnen onttrekken. Als je dat kunt realiseren, dan denk ik dat er veel steun voor zal zijn. In zekere zin gaat het dan allemaal om het nemen van morele verantwoordelijkheid.

Erik de Jong, Fox-IT:

Een aantal voorstellen bestond al langer, maar het klinkt als een goed idee. Eigenlijk heb je het over een soort oorlogsrecht. Daar is de oorspronkelijke Conventie van Gèneve ook op van toepassingen, en hoewel die echt niet alle problemen oplost, gaat dat wel in de goede richting. Het lijkt mij ook bij cyber security nuttig dat een onafhankelijke derde partij onderzoek doet naar aanvallen.

Daarbij vind ik het heel belangrijk dat we gaan kijken naar wat wel en niet acceptabel is in het kader van technologie en veiligheid. Daar kunnen inderdaad internationaal afspraken over worden gemaakt - ook al weet je dat die geschonden zullen worden. Het helpt om de richtlijnen helder te maken en om als internationale gemeenschap op te treden. In welke mate dat precies zal werken is alleen moeilijk te voorspellen. In het algemeen denk ik dat het belangrijk is dat er meer data beschikbaar is ten aanzien van cyber security. Als je bijvoorbeeld vragen hebt over verkeersveiligheid dan heb je via het CBS veel data tot je beschiking. Of denk aan een vliegtuigongeluk. Daarbij moet er verplicht een onderzoek worden ingesteld en moet altijd duidelijk worden wat er is gebeurd. Denk aan de zwarte doos, en dat soort zaken. Het gevolg daarvan is dat het nu heel duidelijk is waar de risico’s van vliegen liggen. Bij cyber security weten we dat eigenlijk maar heel beperkt, en bedrijven praten ook niet graag over incidenten. Vaak weet je daarom niet precies wat er is gebeurd en waar de zwakke plekken zaten. Door het gebrek aan statistisch verantwoorde data ten aanzien van cyber security, is het heel moeilijk om de inschatting te maken waar we genoeg doen, waar we genoeg investeren en waar we nog te weinig doen. Dus ik denk dat het boven water halen van die data grote prioriteit moet hebben binnen de sector.

Pepijn Vuister, financiële sector:

Het zijn goede voorstellen, maar wel heel ambitieus en lastig te realiseren. Er zijn wereldwijd nogal wat cultuurverschillen. Probeer maar eens een gemeenschappelijk beeld te krijgen van wat een cyberaanval nou precies is. Wat valt er wel onder, en wat dan weer niet? Inmiddels wordt onze hele samenleving cyber, waardoor elke aanval die je voert wel een cybercomponent heeft. De implicatie van een digitale conventie is dan dat je afspreekt om geen oorlog meer te voeren. Dat is wel heel idealistisch, maar ik denk niet erg realistisch.

Overigens, is de beveiliging in de financiële sector natuurlijk al gericht op geavanceerde aanvallen, ook omdat georganiseerde criminaliteit steeds meer geavanceerde aanvallen uitvoert. Desalniettemin, denk ik dat het goed is als er in ieder geval onderzoek wordt gedaan naar de mogelijkheden van een digitale conventie.

John Sinteur, Radically Open Security:

Het idee heeft z’n charme. Echter, als ik kijk naar Den Haag, dan hebben we daar een internationaal gerechtshof dat geweldige dingen doet, maar waaraan uiteindelijk niet iedereen zich laat binden. Het grootste probleem zit dan dus in de handhaving en de sancties. Ik vermoed ook dat een land als de VS zo’n verdrag nooit gaat tekenen. Met cyber security is het overigens nog een stukje lastiger, omdat het internet nu juist ontworpen is om langs censuur heen te bewegen.

Neem nu een Russische hacker ergens op een afgelegen boerderijtje in Rusland: die beschikt gewoon over internet. Zelfs in Noord-Korea kunnen mensen online. Denk je dat een individuele hacker in zo’n land zich aan een internationale conventie gebonden zal voelen? Dan was die ransomware van afgelopen week eigenlijk nog behoorlijk makkelijk. Dat is veroorzaakt door een lek dat een overheidsorganisatie geheim heeft gehouden. In dat geval kun je met verdragen wellicht nog redelijk ver komen. Uiteindelijk zijn veel soorten cyber criminaliteit trouwens niet zoveel anders dan vroeger, alleen is de computers een krachtenvermenigvuldiger. Een hele vervelende zelfs. Daarom moeten er wel dingen veranderen. Dus hoe ga je daar mee om? Ik heb daar geen kant en klaar antwoord op. Ik weet niet eens of de wereld er klaar voor is om die dingen te bediscussiëren. We zullen moeten beginnen om met z’n allen te verzinnen hoe we tot een situatie komen die voor iedereen acceptabel is.
Redactie: Freek Spierenburg, Han van Nieuwaal.

Vond je dit een interessant artikel? Deel het via Facebook of LinkedIn