De cybersecurity plannen van Opstelten

Op de valreep heeft Opstelten op 6 juli 2012 (de laatste dag voor het zomerreces) het tweede Cybersecurity Beeld Nederland aan de Tweede Kamer aangeboden. Daarnaast heeft de demissionaire minister een omvangrijke brief over de meldplicht en interventiemogelijkheden van de overheid bij ernstige cybersecurity incidenten gestuurd. Na enige bestudering  van deze stukken werd mij enigszins duidelijk wat nu de bedoeling is. Dat zal ik verder in dit blogbericht uitwerken.

Cybersecuritybeeld Nederland 2
In het nieuwe cybersecuritybeeld van Nederland wordt keurig een opsomming gegeven van grote incidenten die in de afgelopen tijd hebben plaatsgevonden. Voor degenen die het ICT beveiligingsnieuws volgen staat er niet zoveel nieuws in. In het rapport wordt ook opgemerkt dat er ‘geen grote verschuivingen in dreigingen waarneembaar zijn’. Het meest interessant vond ik nog de opmerking op p. 55 dat door de AVID (in samenspraak met de betrokken overheden of bedrijven) bij ‘specifieke organisaties ondersteuning levert bij het monitoren van informatiesystemen’. Inmiddels heeft Tweakers hier een artikeltje over geschreven. Persoonlijk vind ik monitoring van vitale infrastructuur een goede zaak, omdat ik geloof dat het een noodzakelijke maatregel is die daadwerkelijk het veiligheidsniveau verbetert.

Als kritiekpuntje op het rapport heb ik wel dat ik het her en der slordig vind. Er worden bijvoorbeeld  wel voetnoten worden geplaatst, maar vervolgens niet naar paginanummers verwezen. Af en toe heb ik ook mijn twijfels bij de veelvuldig aangehaalde statistieken uit onderzoeken, bijvoorbeeld op p. 38: “Uit analyses van beveiligingsincidenten en oefeningen waarin het NCSC heeft geparticipeerd,blijkt dat phishing een succesvolle manier blijft om toegangsgegevens te achterhalen. Een succesratio van 30 procent is haalbaar.” Tja.. dat zegt mij niet zoveel hoor! Daarbij vind ik dat wel veel op de eigen borst wordt geklopt m.b.t. alle inspanningen die het NCSC de afgelopen tijd heeft geleverd.

Opvallend vond ik verder ook de toevoeging van de ‘actor’ van ‘cyberonderzoeker’ bij cyberdreigingen. Ik vind dat een vaag begrip en begrijp de toegevoegde waarde daarvan niet helemaal. Tenslotte heb ik zelf sterk mijn twijfels over de noodzaak van het betrekken van de cookieproblematiek (op p. 39) in het cybersecurity beeld. Is dat echt relevant? Hierbij worden bijvoorbeeld nietszeggende ‘onderzoeksresultaten’ gepubliceerd als: “In lijn met eerdere bevindingen blijkt op 90 procent van de onderzochte websites tracking te worden toegepast” en vervolgens de opmerking: “Bijna 80 procent van de duizend onderzochte websites biedt een of meer cookies aan bij het bezoeken van de organisatie.”

Positief aan het cybersecuritybeeld is dat het een goed overzicht geeft van de beleidsinitiatieven op cybersecurity-gebied en van grote ICT beveiligingsincidenten van het afgelopen jaar. Het zal vooral nuttig zijn voor beleidsmakers en leken op het gebied van cybersecurity. Wellicht draagt het bij aan de ICT beveiligings awareness van mensen. Interessanter nog vond ik de brief over de meldplicht en interventiemogelijkheden die ook op 6 juli 2012 zijn gepubliceerd.

Meldplicht en inteventiemogelijkheden NCSC
In een brief van 25 pagina’s legt Opstelten uit dat het bij de meldplicht ‘Security Breaches’ gaat om “inbreuken op de veiligheid en/of integriteit van informatiesystemen die de continuïteit van de eigen of andermans dienstverlening in belangrijke mate kunnen verstoren en die leiden tot (potentieel) maatschappelijke ontwrichting”. De meldplicht is het resultaat van een aangenomen motie van Jeanine Hennis-Plasschaert.

Wie moet de meldplicht doen?
De meldplicht ‘security breaches’ zal gelden voor de volgende vitale infrastructuren: elektriciteit, gas, drinkwater, telecom, waterschappen, de financiële sector en de overheid. In 2012 zal een wettelijke regeling worden opgesteld waarbij de sectoren verplicht zijn om melding te doen aan de sectorale toezichthouder, dan wel het NCSC. Dit vind onduidelijk. Ik begrijp niet of nu of 1. standaard de meldplicht moet worden gedaan aan de sectorale toezichthouder, waarna het wordt doorgestuurd naar het NCSC, of 2. de betrokken instantie dit zelf moet doorsturen naar het NCSC naast de sectorale toezichthouder of 3. de betrokken instantie kan kiezen en direct een melding kan doen aan het NCSC i.p.v. de sectorale toezichthouder. Opstelten legt uit dat voor de meeste sectoren al een meldplicht van toepassing is en de meldplicht niet nog bovenop de meldplicht van een sectorale instantie komt. Gezien het bovenstaande vraag ik mij af of dit wel het geval is.

Wanneer moet een meldplicht worden gedaan?
Een meldplicht moet worden gedaan wanneer 1. ‘de continuïteit van de eigen of andermans dienstverlening in belangrijke mate wordt verstoord en 2. dat leidt tot (potentieel) maatschappelijke ontwrichting’. Als factoren voor de vraag wanneer een melding moet worden gedaan worden meegegeven: de duur van de uitval, grootschaligheid en publiek belang. Een voorbeeld van een incident die een maatschappelijke ontwrichting tot gevolg had wordt (impliciet) DigiNotar genoemd. Toch is het de vraag of DigiNotar een melding moet doen, omdat het juridisch gezien niet onder de telecomsector valt, althans, geen aanbieder van een openbare elektronische telecommuncatienetwerk of –dienst is. Dat zal wellicht nog verder uitgewerkt of toegelicht moeten worden. Expliciet wordt KPN als voorbeeld gegeven waarbij de meldplicht moet worden gedaan in de situatie als bij de KPN-inbraak. Een voorbeeld van een klein incident die wordt gegeven is ‘het openbaar worden van de mogelijkheid om in te loggen in de web interface van een verkeerslichtinstallatie in Rotterdam en het niet versleuteld zijn van de communicatie tussen een app voor internetbankieren en een bank’. Ik denk dat de meningen kunnen verschillen of dit nu een groot of klein incident is en dat kan tot conflicten leiden. Wel wordt door Opstelten aangegeven dat het ministerie van Veiligheid en Justitie de regie zal voeren en in samenspraak met sectorale toezichthouders richtsnoeren en ‘sectorale matrices’ zal opstellen zodat  het duidelijker wordt wanneer een melding moet worden gedaan.

Gerealiseerd moet worden dat de meldplicht geheel anders van aard is dan de algemene meldplicht van het conceptwetsvoorstel gebruik camerabeelden en meldplicht datalekken (die nog in concept is) of de meldplicht datalekken uit de Telecommunicatiewet (art. 11.3a Tw) waarvan de  laatste simpel gezegd alleen voor telefoniebedrijven en ISP’s geldt. Hier gaat het niet om het ‘empoweren’ van de burger die maatregelen kunnen nemen (zoals het veranderen van een wachtwoord) bij een ICT veiligheidsincident. Het doel is bij deze meldplicht dat het NCSC van ernstige incidenten wordt geïnformeerd en het centrum hulp kan verlenen door ‘het duiden van de aard en ernst van de melding’. Daarnaast worden vergelijkbare bedrijven/overheden in de sector ingelicht over de kwetsbaarheid of incident om verdere schade te voorkomen.

NCSC als effectieve nieuwe toezichthouder?
‘De overheid’ moet volgens Opstelten de bevoegdheid krijgen 1. informatie te verkrijgen tijdens een groot cybersecurity incident, 2. een aanwijzing met een last onder bestuursdwang te geven om te nemen maatregelen af te dwingen en 3. een functionaris aanwijzen die toezicht houdt op de uitvoering van de maatregelen. Het ministerie van Veiligheid en Justitie zou de regie moeten voeren ‘op het tot stand komen van een gelijkwaardig stelsel met departementale bevoegdheden, dat voorziet in de mogelijkheid om snel en adequaat te kunnen handelen tijdens een ICT-crisis met (potentieel) maatschappelijke ontwrichting tot gevolg’. Het lijkt er op dat we een bij elkaar geraapte club van mensen (beleidsmakers of techneuten?) van allerlei verschillende overheidsinstanties krijgen die ‘snel en adequaat’ moeten (kunnen) ingrijpen bij een crisis. Ik ben benieuwd naar de concrete uitwerking van dit plan! Ik kan mij overigens voorstellen dat het ingrijpen van de overheid conflicteert met de bedrijfsbelangen of met maatregelen die het desbetreffende bedrijf zelf al wilt nemen om verdere schade te voorkomen. Moet zo’n bedrijf dan afwachten totdat de overheid beslist welke maatregelen genomen moeten worden?

In het NCSC komen zogenaamde ‘liason officers’ van de AIVD, het OM, de OPTA, Defensie en KLPD te zitten. Het is ook de bedoeling dat private partijen zich aansluiten bij het centrum, maar daar staat geen vergoeding tegenover dus ik moet nog zien wat daar van terecht komt. Het plan is dat door publieke en private organisaties informeel in ‘de Information Sharing Analysis Centres (ISAC’s)’ kennis en informatie wordt gedeeld om risico’s en breaches beter te kunnen inschatten en daar naar te handelen. Voor de informatiedeling over incidenten (ook kleine) worden ‘niet-wettelijke interventieinstrumenten’ (woorden van Opstelten) ingezet, zoals informele afspraken en convenanten, zodat een algeheel ‘cyber dreigingsbeeld’ (p. 6) kan worden verkregen door het NCSC. Dit klinkt nogal ambitieus, maar ik kan mij voorstellen dat deze kennis op ICT-beveiligingsgebied vooral voor overheidsinstellingen nuttig zal zijn. ‘De vertrouwelijkheid van gegevens die vallen in het kader van de wettelijke regeling om security breaches te melden, zal worden beschermd’, aldus de minister. Wél kan de informatie later worden gevorderd door opsporingsdiensten. Ook vraag ik mij of stukken van het NCSC gewoon zijn op te vragen zijn via een WOB-onderzoek.

Ik zit nog wel met een aantal vragen. Is het soms de bedoeling dat de informatie op één hoop wordt gegooid (en wordt bewaard) en van daaruit cybersecurity ‘risico’s’ worden geïdentificeerd? Wordt door het NCSC ook aan netwerkmonitoring gedaan? Kunnen de betrokken opsporingsdiensten geen ‘misbruik’ van de aangeleverde informatie maken? En mogen inlichtingendiensten en de politie die informatie wel met elkaar delen en gebruiken? En als ze dat mogen of zelfs zouden moeten doen, zijn daar dan ook toe bereid? Zie in dit kader ook het interessante proefschrift van Vis, ‘Intelligence, politie en veiligheidsdienst: verenigbare grootheden?’, (diss. Universiteit Leiden 2012). Het is allemaal nog erg onduidelijk, maar het lijkt er op dat de Nederlandse cybersecurity strategie sommige elementen van strategieën uit het buitenland overneemt, zoals monitoring van vitale infrastructuur (of nog meer?) door inlichtingendiensten, zoals ook in het Verenigd Koninkrijk gebeurt en het in vertrouwen uitwisselen van informatie, zoals ze in de Verenigde Staten van plan zijn (een Republikeins plan). Ik hoop dat iemand een keer een goede analyse van de verschillende strategieën maakt (en literatuur of berichtgeving daarover) en deze met elkaar eens vergelijkt.

Conclusie
Het is duidelijk dat het DigiNotar-incident Kamerleden en beleidsmakers heeft wakker geschud. Mede naar aanleiding van de motie van Jeanine Hennis-Plasschaert zijn nu plannen gepresenteerd om cybersecurity te verbeteren. Het is goed dat Nederland cybersecurity serieus neemt en het is naar mijn mening noodzakelijk bepaalde (vergaande) maatregelen te nemen. Ik kan mij bijvoorbeeld goed voorstellen het monitoren van vitale infrastructuren noodzakelijk is en de overheid uiteindelijk moet kunnen ingrijpen bij een situatie op ICT-gebied waarbij sprake is van (potentiële) maatschappelijke ontwrichting.

De benodigde wetgeving wordt volgens Opstelten in 2012 opgesteld, dus ik ben benieuwd wat er gaat komen. Mogelijk wordt alles dan ook wat concreter. Het plan is met het NCSC een soort  toezichtinstantie op te richten waaraan partijen onder vage omstandigheden verplicht informatie moeten delen, waarbij die informatie vervolgens door opsporingsinstanties en inlichtingendiensten kunnen worden gebruikt. De organisatie zal vooral aan overheidsinstellingen nuttig advies kunnen verlenen, maar kan (nog) niet afdwingen dat die vervolgens wordt opgevolgd en zal waarschijnlijk bij een ernstig incident ook slechts advies verlenen. Sowieso wordt niet één instantie aangewezen die nu daadwerkelijk actie onderneemt bij een ernstig cybersecurity incident, maar is het de bedoeling dat verschillende overheidsinstanties in samenspraak maatregelen nemen. Of deze strategie nu de beste manier is om het ICT veiligheidsniveau in Nederland te verbeteren is een vraag waar we wellicht nog beter over na moeten denken.



Jan-Jaap Oerlemans
is als medewerker en buitenpromovendus verbonden aan het centrum eLaw@Leiden van de Universiteit Leiden. Hij doet onderzoek naar knelpunten in de bestrijding van computercriminaliteit. Meer specifiek op het terrein van bijzondere opsporingsbevoegdheden en jurisdictie op internet. Naast zijn onderzoek is Jan-Jaap werkzaam als juridisch adviseur bij het IT-beveilingsbedrijf Fox-IT.

Dit artikel verscheen op 13 juli 2012 op de blog van Jan-Jaap Oerlemans en is met toestemming overgenomen op deze website.

Over Jan-Jaap Oerlemans