Gonsalveslezing 2017: de dreigingen van cybercrime

Dames en heren,

Wat een eer om voor dit publiek de Gonsalveslezing te mogen verzorgen. Straks gaat de prijs naar de beste innovatie voor de rechtshandhaving. De drie genomineerden hebben alle drie prachtige oplossingen bedacht voor criminele fenomenen die pas met de komst van het internet ontstaan zijn. De wereld verandert en daarom hebben we innovaties nodig. Dat geldt niet alleen voor operationele problemen op het terrein van de rechtshandhaving, maar evenzeer voor de nationale aanpak van deze problematiek.

Ik wil in mijn betoog graag twee thema’s bespreken. De eerste gaat over het sociale contract tussen burgers en overheid en de tweede over de inrichting van ons nationaal veiligheidsapparaat waar het gaat om de bescherming van onze belangen die via de digitale weg worden aangevallen.

als eerste: Het sociale contract

We hebben als burgers een deel van onze individuele vrijheid ingeleverd in ruil voor meer bescherming door een autoriteit. Met elkaar hebben we vastgesteld dat de samenlevingsvorm waarbij we bijvoorbeeld de politie bijzondere bevoegdheden geven (zoals het dragen van wapens) en burgers diezelfde bevoegdheden verbieden een stuk stabieler, rustiger, en veiliger is. Dit is onderdeel van het sociale contract dat we ongemerkt bij onze geboorte al sluiten met de Staat.
In het fysieke domein werkt dit efficiënt. Behalve dat het voorkomt dat we elkaar allemaal de kop inslaan, hebben we ook een collectief zodat we bijvoorbeeld in staat zijn om een leger op te bouwen en daarmee aanvallen van andere legers af te weren.

Dit is allemaal ontstaan nadat we door een oertijd heen gingen waarin we dit op de harde manier hebben geleerd. Ik stel me zo voor dat het een tijd was, waarbij iedereen met een knuppel rondliep. Je kon niet veilig in je grot slapen want er kon altijd iemand binnenkomen die het eten dat jij net verzameld had wilde stelen. Je moest altijd bang zijn voor iemand die sterker of slimmer was dan jij.

Zij die gingen samenwerken waren opeens de sterkste. De een slaapt en de ander houdt de wacht. Overdag trok je samen op. Niet om zelf op eten te jagen, maar om het stelen van iemand anders.

U snapt dit is snel door te trekken naar samenwerkingsvormen van gezinnen, kleine dorpjes, grote steden, landen en op nog hoger niveau allianties zoals NAVO. Volgens mij heeft dit mechanisme ons, in ieder geval de laatste 50 jaar, een redelijk veilige, stabiele en rustige samenleving geboden.

Laat ik u nu meenemen naar de online wereld. Cyberspace. Het is echt een andere plek. Mensen die daar leven, hanteren andere spelregels. Je kan elkaar volledig uitschelden zonder gevolgen. We lopen daar continu rond met een foto boek waar iedereen in mag kijken en we worden verliefd op chatrobots. Cyberspace heeft zelfs zijn eigen geld stromen, met cryptografisch virtueel geld zoals de Bitcoin en Monero.

De online-wereld is een wereld waar ik nog steeds graag ben en velen van u met mij. Het internet is op een organische manier geworden wat het is. Er was geen groter plan waarin van te voren beschreven stond hoe het Internet er uit moest zien. Het is organisch gegroeid, en afgezien van wat instituten die de techniek regelen, kan je niet echt spreken van een governance structuur voor het leven op of in het Internet.

Dat heeft er weer toe geleid dat voor velen het internet is verwoorden tot iets wat we kunnen herkennen van de prehistorie. Het is een gebied waar het recht van de sterkste of slimste geldt. Sterk of slim zijn kan je in deze context vertalen met hacken. De hackers bepalen wat er op het internet gebeurt. Zij zijn het sterkst en maken de dienst uit. Hackers zijn soms criminelen die uit zijn op geld, en bijvoorbeeld in staat zijn geld van onze bankrekeningen af te halen of wat we tegenwoordig meer zien met afpers software onze computers te gijzelen. Pas na betaling van 400 euro (via virtueel, ontraceerbaar geld) krijg je weer toegang tot je eigen computer. En als u nu denkt, ik heb geen idee hoe ik ooit 400 euro in virtueel geld moet overmaken, hoeft u zich gelukkig geen zorgen te maken: de afpersers hebben keurige helpdesks in uw eigen taal en helpen u daar graag bij.

Naast criminele misbruikers van het internet kennen we nog een aantal groepen zoals spionnen, terroristen, vijandige legers en activisten. Door het effectief ontbreken van de sterke arm, veiligheidsdiensten, en legers online leeft het internet nog alsof we in de prehistorie leven. Het recht van de sterkste geldt er. Dat ligt trouwens niet aan de mensen die in de operatie werken bij deze instituten. Zowel bij de politie, defensie en de inlichtingendiensten werken echt top hackers. Doordat wetten niet snel genoeg mee groeiden met het internet, kunnen ze echter vooral toezien met de handen gebonden op de rug.

Ik stel vast dat het sociaal contract nog niet werkt in cyberspace! De staat is aan de ene kant terughoudend in het nemen van verantwoordelijkheid, en de burgers zijn angstig voor een staat die in de online wereld voor ons zorgt.

Laat ik dat proberen uit te leggen met wat voorbeelden: Toen in 2013 de banken massaal werden aangevallen waardoor ze dagen niet online bereikbaar waren, was de reactie van de toenmalige minister van justitie dat dat niet acceptabel was en het de volledige verantwoordelijkheid was van de banken om voor een goed netwerk te zorgen.

Of een recenter voorbeeld rondom de afgelopen kamerverkiezingen: Het was iedereen (behalve Trump) wel duidelijk dat Rusland heeft geprobeerd de verkiezingen in de Verenigde Staten te beïnvloeden door gehackte emails van Mevrouw Clinton publiek te maken. Dit wetende hebben diverse kamerleden om steun gevraagd bij de Minister van Binnenlandse Zaken om hun digitale omgeving te beschermen uit angst dat hun hetzelfde zou overkomen. Ik vond dat een logische vraag.

De reactie van de Minister was afwijzend: Hij gaf aan dat politieke partijen zelf verantwoordelijk zijn voor het organiseren van hun informatiebeveiliging. Hij maakte nog wel de opmerking dat het kabinet permanent werkt aan het vergroten aan het bewustzijn rondom cybersecurity. (…)

Uiteindelijk heeft een aantal private security bedrijven zo goed en zo kwaad als dat kon, hun best gedaan om te helpen. Maar ik ben er van overtuigd dat het inzetten van bijzondere bevoegdheden van de diensten een meer adequate beveiliging had opgeleverd.

De redenatie van de overheid ten aanzien van het internet is natuurlijk juridisch, technisch gezien helemaal juist. Die redenatie luidt als volgt:
Het internet is van private partijen. De glasvezel-kabels, de routers, de servers, de pc’s zijn allemaal van bedrijven en individuen, en daarmee is het ook hun eerste zorg om te zorgen dat hackers buiten de deur blijven.

KEUZE?
Dit is dezelfde benadering die ook gehanteerd wordt op de veiligheidssituatie ten aanzien van onze woonhuizen. Ook dan zijn we zelf als burger verantwoordelijk voor de beveiliging daarvan. De overheid geeft hoogstens advies over het type sloten.

Toch gaat de vergelijking mijns inziens niet helemaal op. Het zijn namelijk niet de sloten die de inbrekers buiten de deur houden. Het is het totale systeem van surveillance voertuigen, oppassende buurvrouwen, de optie om 112 te bellen en een “inbraak-heterdaad” te melden bij de meldkamer wat binnen 3 minuten 2 politieauto’s en een hondenwagen oplevert. Samengevat: een effectief detectie en response systeem. Dat zorgt er voor dat er op straat een gerede pakkans is. En dat is wat er voor zorgt dat een inbreker wel drie keer nadenkt voordat hij inbreekt. Probeer dat maar eens voor elkaar te krijgen als je computer
gegijzeld wordt door een hacker!

Waarom wil dit model online niet werken? De eigenaar is verantwoordelijk. Dat lijkt het uitgangspunt voor de overheid. De eigenaar moet zelf voor bescherming zorgen. De staat voelt zich eigenaar van het luchtruim, en daarom monitort 24 uur per dag de luchtmacht het luchtruim om tijdig te kunnen detecteren dat Russische jachtvliegtuigen onze kant op komen en te reageren met F-16’s die vanuit Leeuwarden de lucht in worden gestuurd. Als diezelfde Russische piloten worden omgeschoold tot hackers en ons via het digitale luchtruim proberen aan te vallen, moet de systeembeheerder van de Socialistische Partij het zelf maar uitzoeken….

De overheid maakt een duidelijk onderscheid tussen de openbare ruimte en private eigendommen. Voor de openbare ruimte voelt het zich wel degelijk verantwoordelijk. Maar waarom zouden we, als we eenmaal in die kabels en daarmee op het internet zitten, dat niet als openbare ruimte willen zien? Het heeft namelijk heel wat elementen in zich die daarbij horen. Het is een plek waar we leven. Het is ook een plek waarbij we als burger niet de keuze kunnen maken om er niet meer te komen.

Als je onderdeel bent van de samenleving zal je je op het internet moeten begeven. Dan moeten we ook zorgen dat je dat zonder angst kan doen. En als tweede argument: De andere dorpen (denk aan de oertijd), en lees criminele bendes of statelijke actoren, hebben zich al verenigd en zijn daarmee sterker en slimmer dan de individuele burgers die nu op het internet leven. De burgers hebben een autoriteit of een collectief nodig om zich te beschermen. Op straat doen we dat immers ook met surveillance auto’s die rondkijken en snel kunnen reageren en in de lucht doet de overheid dat voor ons met radar systemen en F16’s.
Maar wat willen de burgers nu eigenlijk zelf? Daar zie ik iets vreemds.

Waar we het prima vinden dat de politie op straat rondloopt met een vuurwapen om ons te verdedigen, zijn we doodsbang om dezelfde politieagent online een wapen te geven om sterker en slimmer te zijn.

Het wapen op internet heet hacken en is een nieuwe bevoegdheid in de wet Computer Criminaliteit 3. De wet is door de Tweede Kamer heen maar nog niet door de Eerste Kamer. Iets vergelijkbaars is aan de hand met de nieuwe Wet op de Inlichtingen en Veiligheidsdiensten, door sommigen de sleepwet genoemd. Ik vind zelf de Parelvissers-wet een betere naam er voor…

In mijn ogen bieden beide wetten de politie en inlichtingendiensten de mogelijkheid om eindelijk digitaal eens sterker te zijn, dan al die misbruikers van het Internet. Voor mij een hele logische keuze, maar voor de gemiddelde burger blijkbaar niet. Persoonlijk denk ik dat een deel van het probleem in acceptatie er in zit, dat het te complex is om te doorgronden waar deze wetten nou precies overgaan. Dat is de burger niet kwalijk te nemen. Uit de vele debatten die over deze wetten in de kamers gevoerd zijn, blijkt dat zelfs professionals, zoals kamerleden, niet altijd de strekking van de wet
kunnen overzien.

De wetgever hoeft niet meer uit te leggen waarom de wetten nodig zijn. Zelfs de felste tegenstanders vinden dat de huidige wetgeving niet meer afdoende is. Wat er wel nodig is, is een veel betere uitleg wat de wetten nu precies betekenen. Ik heb al wat pogingen gezien zoals bijvoorbeeld een factsheet over de Wiv, te downloaden op de website van de AIVD. De inhoud is prima, maar het bereik is minimaal. Ik kijk graag uit naar een Arjen Lubach-achtig filmpje waarin de betrokken ministers nog even de wetten toelichten.

En uitleggen en er over praten met mensen die de wetten op een toegankelijke manier uitleggen werkt echt: Afgelopen week hebben we een intern debat over de nieuwe Wiv georganiseerd voor alle medewerkers van Fox-IT. Vooraf bleek dat zelfs bij ons slechts een magere 55% van de techneuten die dagelijks te maken hebben met hackende spionnen voorstander zijn van de wet. Na het debat met onder andere D66 kamerlid Kees Verhoeven en ondergetekende, was dat opgelopen naar 75%! U ziet: Er is hoop.

Ter afronding: Onze Engelse buren hebben als missie voor hun land gedefinieerd Making the UK the safest place to live and do business online. Ik denk dat hun overheid goed begrepen heeft dat het land met niet alleen de snelste maar ook de veiligste online omgeving de beste economische kansen heeft. Zij nemen hun verantwoordelijkheid serieus en ze zijn er van overtuigd dat een veilig internet een belangrijk onderdeel is van een vestigingsklimaat. Om dat te bereiken geven ze niet alleen vreselijk veel geld uit, maar hebben ze ook op kabinetsniveau serieuze regie op het cyber security thema genomen.

Voor ons in Nederland is dit nog belangrijker want onze samenleving is echt digitaler dan die van het Verenigd Koninkrijk. Ik kijk uit naar een Cyber Delta Plan met bijpassende cyber commissaris en budget om er voor te zorgen dat zowel burgers als overheid ook on-line het sociale contract willen sluiten.

Ik dank u wel.