Een nieuwe wet

Afgelopen 8 november 2018 is de Wet beveiliging netwerk- en informatiesystemen (Wbni) gepubliceerd en daarmee dus officieel van kracht. Dit is een Europese richtlijn die in nationale wetgeving is omgezet, en vult daarmee voor een groot deel de Algemene Verordening Gegevensbescherming (AVG) aan die afgelopen 25 mei 2018 van kracht is gegaan. En natuurlijk niet de Cookie-wet te vergeten…

Hoewel de Wbni niet voor alle bedrijven geldt, doen de AVG en de Cookie-wet dat al wel snel. Het bos lijkt bijna door de bomen niet meer te zien, en de vraag “Waarom al die wetten nou toch?” zal vast snel gesteld worden.

In dit bericht gaan we daar lekker diep op in.

Cyber, Cyber, en nog eens Cyber

Cyber is elke vorm van interactie van een entiteit (mensen, apparaten, dieren, steden, enzovoorts) met het Internet. Althans dat vinden wij van Digicy.Cloud. Er kan uiteraard uren gedebatteerd worden of dat de correcte beschrijving is, maar wij nemen dit als vertrekpunt bij ons werk.

Cyber is in ieder geval door de NAVO de vijfde erkende domein van oorlogsvoering. Dit naast land, water, lucht en de ruimte. Maar in tegenstelling tot de andere vier domeinen, laat Cyber zich een stuk minder eenvoudig temmen. En dit komt doordat de dynamiek op het gebied van verandering en bescherming fundamenteel anders zijn dan bij de andere domeinen.

Cyber kent geen grenzen

Op het gebied van land, water, lucht, en de ruimte kennen we grenzen. Hoewel de ruimte als internationaal gebied wordt gezien, zijn er verdragen vanuit de VN gesloten om het bewapenen van de ruimte te voorkomen. Reeds zijn er nu wel ontwikkelingen door onder andere de activiteiten van SpaceX van Elon Musk die dergelijke verdragen onder druk zetten.

Dat gezegd hebbende, de andere drie domeinen staan onder strikte controle van overheden. Zo is er een politie-macht dat een land beschermd tegen interne gevaren, en is er een defensie-macht dat een land beschermd tegen externe gevaren. De grenzen zijn duidelijk, want dat zijn de lands- en zee-grenzen en natuurlijk het luchtruim.

Maar Cyber is digitaal. Een berichtje schiet de wereld over in enkele seconden via totaal onvoorspelbare wegen. Jouw whatsapp-berichtje die je stuurt naar een vriend of familielid gaat eerst naar de Verenigde Staten toe. Maar voordat het daar aankomt zou het even via een Internet-knooppunt in China kunnen gaan. En voor de terugweg geldt het exact hetzelfde.

En stel je nu eens voor dat het geen whatsapp-berichtje betreft, maar online criminele activiteiten. In welk land is dan de overtreding begaan? De computer vanwaaruit de hacker werkt? De computer waarop de hacker inbreekt, of alles daar tussen in?

Dit is één van de primaire redenen dat de overheden meer grip op die hele online wereld willen hebben.

Maar waarom is er dan niet een internationale Cyber-politie en -defensie?

Wanneer we een Type-I beschaving zijn zal dit waarschijnlijk een heel ander antwoord hebben. Echter, dat duurt nog wel zo’n honderd jaar (of langer/korter), dus we moeten het nog even met onze huidige realiteit doen.

Nee, we hebben geen internationale Cyber-politie en -defensie. De grote online chaotische wereld moet elk land maar zelf zien te beheersen. Maar dat is niet de enige reden. Een andere reden hiervoor is dat de verantwoordelijkheid voor de bescherming ervan nog niet eens op nationaal niveau is ingeregeld, maar op individueel niveau.

Elk persoon, organisatie, bedrijf en overheidsinstelling is uiteindelijk zelf verantwoordelijk voor de Cybersecurity ervan. Hoewel we nu wat meer wetten hebben (hier kom ik nog op terug hoor), is het eigenlijk nog steeds wel een beetje het Wilde Westen van vroeger. Want of ik wel of niet mijn laptop bescherm is mijn eigen verantwoordelijkheid, zelfs als de fabrikant van het besturingssysteem tekort schiet.

Maar er is toch wel degelijk een Cyber-politie in verscheidene landen, net als een Cyber-defensie? In zekere mate ja, maar dat is eerder gevolgbestrijding dan voorkoming van criminaliteit. In mijn straat kan de politie af en toe langsrijden om veiligheid te creëren, maar dat kan de op de digitale weg echter niet. Evenals dat ik weet dat het luchtruim waar ik onder woon beschermd wordt door de luchtmacht tegen externe indringers, kan ik er niet vanuit gaan dat het digitale ruim op dezelfde wijze beschermd wordt.

Wat doen de lokale Cyber-politie en -defensie dan wel?

De National High Tech Crime Unit (zoals de Nederlandse Cyber-politie heet) doet ontzettend goed werk in het opsporen van kinderporno-netwerken, terrorisme dat zicht online manifesteert, koop- en verkoopfraude en nog heel wat zaken meer. Bijna een ‘voorwaarde’ is wel dat het allemaal binnen onze eigen nationale landsgrenzen moet afspelen, wat overigens al snel niet zo is in de wereld van Cyber. Zo snel het een landsgrens overspringt, dan is men gelijk al afhankelijk van internationale samenwerkingen met andere politionele organisaties. En hoewel die samenwerking voor kinderporno en terrorisme vast snel genoeg te realiseren is, is dat een stuk minder voor fraude met online bestelde pakketjes. En van dat laatste hebben we als bevolking ook maar al te vaak last van.

Het Defensie Cyber Commando (DCC) van Nederland is verantwoordelijk voor de verdediging, inlichtingen en aanval op het gebied van Cyber. Zelf zet ik wat vraagtekens bij verdediging en wat dat inhoudt. Dit is namelijk (ook) een taakgebied van het Nationaal Cyber Security Centrum (NCSC), maar dat rust vooral op voorlichting en samenwerking met, jawel, weer die individu. Ofwel, bedrijven en andere overheidsinstellingen.

Maar het is niet zo dat het DCC een online-raket-installatie kan bouwen dat automatisch alle criminele pakketjes de Cyber-wereld uitschiet. In zekere zin, was dat maar waar.

Nee, ook al is er een National High Tech Crime Unit en een Defensie Cyber Commando, een bedrijf of persoon is zelf verantwoordelijk voor het adequaat beschermen van haar digitale kroonjuwelen. Verwacht niet zomaar dat een ander dat voor je doet.

Dus daarom al die wetten!

Over het algemeen gesproken, en uitzonderingen daar gelaten, hebben bedrijven niet van hun beste kant laten zien wanneer het aankomt op het beschermen van hunzelf, en de klanten die ze bedienen. Maar al te vaak kwamen en komen bedrijven in het nieuws terecht met wederom weer een data-lek of een hack. En de klant is daarvan altijd de dupe.

De overheid weet heel goed dat ze niet een Cyber-politie-auto over de digitale snelweg kunnen laten rijden. Maar dat betekent niet dat er niks gedaan kan worden. Om die reden is dus recent onze Wet bescherming persoonsgegevens (Wbp) van een update voorzien naar de AVG, en kunnen we nu ook de Wbni verwelkomen. Het zijn wetten die de burger moeten beschermen tegen nalatig gedrag van het bedrijfsleven.

Ik ben er van overtuigd dat wanneer bedrijven hun verantwoordelijkheid serieus hadden genomen, al die wetten niet in het leven waren geroepen. Jezelf online beschermen is kennelijk niet zo vanzelfsprekend als elke Security Officer wellicht zou willen.

De Cyber-politie en de Cyber-defensie kunnen ons niet actief beschermen, dus we zijn afhankelijk van bedrijven en van onszelf. Alleen al om deze reden moeten wij als burger blij zijn met de AVG en de Wbni.

Niemand is blij met de Cookie-wet, dus laten we die maar liggen voor nu.

Daarom dus Digicy.Cloud

Zonder al die wetten waren wij nog steeds zo security-minded als nu. Wij hebben strikt beleid voor het veilig houden van onze digitale omgevingen. En wanneer wij iets nieuws bouwen gaat het eerder niet live voordat het veilig is.

Ook wanneer wij opdrachten bij onze klanten uitvoeren of diensten leveren nemen we dit mee. Ons werk en advies maken we niet mooier, maar ook niet lelijker. Je krijgt van ons te horen of wij vinden dat je voldoende hebt gedaan (of niet) om jezelf voldoende te beschermen in de grote boze Cyber-wereld.

Want als wij het niet voor je doen, wie dan wel?