Universiteit Leiden

nl en

Cybersecurity

Voor veiliger digitaal verkeer is aanscherping van de wettelijke kaders noodzakelijk. Bovendien moeten de grootste cyberdreigingen geïdentificeerd worden.

Digitale technologie speelt een steeds grotere rol in het leven van burgers en consumenten, en in het functioneren van bedrijven en de overheid. Cybersecurity, het waarborgen van veiligheid in het gebruik van digitale technologieën, is daarom steeds belangrijker. Daarbij spelen zowel technische, maar ook organisatorische, economische, juridische en bestuurlijke aspecten een belangrijke rol. Je moet er niet aan denken wat er kan gebeuren als het kwaadwillende hackers lukt om systemen van kritische infrastructuren, zoals Schiphol of havengebied Rotterdam, te kraken. De Leidse universitair hoofddocent Bibi van den Berg doet onderzoek naar de veiligheid van het (Nederlandse en internationale) digitale verkeer en de mogelijkheden om die veiligheid te vergroten.

Eén van de belangrijkste aandachtspunten in haar onderzoek is de verdeling in verantwoordelijkheden op het gebied van cybersecurity tussen overheden, (internationale) instituties, bedrijven en eindgebruikers zelf. Daartoe herijkt Van den Berg bestaande theorieën op het gebied van regulering en ICT door ze toe te passen op dit nieuwe domein. Daarnaast evalueert ze bestaande reguleringsstrategieën, bijvoorbeeld de inzet van wet- en regelgeving of het gebruik van economische prikkels, in het licht van opkomende problemen rondom cybersecurity.

Wat gebeurt er als de systemen van het Havenbedrijf Rotterdam worden gehackt?

Wat is cybersecurity?

Van den Berg doet ten eerste onderzoek naar fundamentele vragen: wat is cybersecurity precies, en hoe groot is het probleem als digitale beveiliging zou worden doorbroken? “We hebben nog veel te weinig zicht op het concept”, vertelt ze. “Dat komt ten eerste omdat de aandachtspunten van spelers van elkaar verschillen.  Particulieren denken bij cybersecurity aan bescherming van bankgegevens. Vraag je het aan politie, dan zullen ze zeggen dat hun cybersecurity zich richt op hackers en terroristen. Vraag je het aan het leger, dan zeggen ze dat het gaat over cyber warfare (oorlogvoering met digitale middelen). Politici denken bij het onderwerp aan privacy-problemen, maar ook aan nationale veiligheid. Daarmee is het voor overheden ook erg moeilijk om te bepalen waarop beleid rond cybersecurity zich moet richten.”

Cyber-Pearl Harbor

Als Schiphol wordt 'gekraakt' heeft dat grote gevolgen voor de economie en veiligheid van burgers
Als Schiphol wordt 'gekraakt' heeft dat
grote gevolgen voor de economie en
eiligheid van burgers.

Naast onduidelijkheid over de definitie is er ook weinig te zeggen over de daadwerkelijke dreiging op gebied van cybersecurity. “Curt Weldon, de voorzitter van één van de subcommissies van het Nationale Veiligheids Committee in de Verenigde Staten zei een paar jaar geleden dat het een kwestie van tijd is voor er (in Amerika) een cyber-Pearl Harbor zou plaatsvinden, maar er is feitelijk nog niets gebeurd. Er zijn geen cyber-aanslagen geweest die op grote schaal tot ontwrichting hebben geleid, en we hebben nauwelijks cijfers om te interpreteren.”

Eén van de sectoren waarbinnen cyberincidenten de grootste impact zouden kunnen hebben, zegt Van den Berg, is het domein van zogenaamde kritieke infrastructuren – denk aan havens, elektriciteitscentrales, dijken, vliegvelden etcera. Als onderdelen van die kritieke infrastructuren gekraakt worden kan dat grote consequenties hebben, niet alleen in termen van economische schade, maar ook in termen van de fysieke veiligheid van burgers. Beveiliging van die systemen is niet alleen een kwestie van puur technisch onderhoud, maar ook het in de gaten houden van samenspel tussen gebruikers en technieken. “Hackers kijken naar manieren om systemen te gebruiken voor hun eigen doeleinden, naar manieren om technologische mogelijkheden uit te buiten en technologische onmogelijkheden te omzeilen. Soms wordt een systeem kwetsbaar omdat het ‘per ongeluk’ door mensen op een verkeerde manier gebruikt. Denk aan gebruikers die per ongeluk enorme hoeveelheden gevoelige data delen, of een met malware besmette USB stick in een computer steken waarop bedrijfsgevoelige informatie staat.”

Digitale verkeersborden

Een ander deel van het onderzoek van Van den Berg richt zich op bewustwording van het publiek rond het gebruik van digitale media. “Weet jij wat er precies allemaal gebeurt als je een website opent of een foto uploadt? Veel mensen realiseren zich niet wat ze doen als ze op het internet zitten, terwijl ze zich daarvan wel bewust moeten zijn. Tegelijkertijd hebben organisaties natuurlijk ook een verantwoordelijkheid om het publiek goed te helpen en voor te lichten bij het gebruik van sites. Ik onderzoek hoe burgers het beste geholpen kunnen worden in het internetverkeer, en hoe hun gedrag gereguleerd wordt, zowel met behulp van wettelijke middelen als door middel van digitale verkeersborden en -drempels.”

Wat zijn concrete voorbeeld van zulke digitale drempels? Denk aan de inzet van het filteren en blokkeren van kinderporno op internet. Of het ontoegankelijk maken van peer-to-peer netwerken voor file sharing. Maar ook het instellen van parental controls voor ouders die niet willen dat hun kinderen content te zien krijgen op YouTube waarvoor ze nog te jong zijn. Allemaal maatregelen die ervoor zorgen dat het technisch gezien onmogelijk wordt (of in elk geval heel lastig) om bepaalde gedragingen op internet te vertonen. Dit soort middelen worden grootschalig ingezet, zowel door het bedrijfsleven als door de overheid, zonder dat daarover veel kennis is, laat staan maatschappelijk debat. Bijvoorbeeld over de ethische en juridische grenzen ervan.”

Een voorbeeld van 'parental control'

Tekort aan professionals

Samen met experts uit het onderzoeksveld en het bedrijfsleven vormt Bibi van den Berg de Cyber Security Raad, die de overheid adviseert over beleid op het gebied van cyber security. Een recente aanbeveling was het investeren in onderwijs van cyber security. “Nederland heeft maar een handjevol experts die te weinig tijd hebben om mensen op te leiden. Er is een tekort aan docenten, terwijl bedrijven en overheden nu al zitten te springen om professionals die kunnen helpen bij digitale beveiliging.”

Deze website maakt gebruik van cookies. Meer informatie