Met onze toenemende afhankelijkheid van technologie, groeit ook het belang van cybersecurity. Professor Bibi van den Berg stelt dat we nog onvoldoende in staat zijn om de reikwijdte en impact van cybersecurity vraagstukken te zien. Het gaat bij cybersecurity te veel over het beschermen van systemen, en nog te weinig over het beschermen van ideeën en waarden. Ook nepnieuws is een cyberdreiging.
Toenemende aandacht voor cybersecurity
Cybersecurity – veiligheid in, op en van cyberspace – heeft de laatste jaren steeds meer aandacht gekregen. Dat past binnen de brede, sterk toegenomen interesse voor veiligheid en veiligheidsgevoelens in het algemeen, maar ook bij terechte zorgen. We zijn steeds afhankelijker van allerlei complexe technologische systemen, die vanwege hun verwevenheid niet alleen kwetsbaar zijn, maar die wanneer zij falen bovendien een grote, zo niet ontwrichtende impact kunnen hebben op ons alledaagse leven.
Naast deze maatschappelijke risico’s zijn er ook significante economische risico’s voor bedrijven, organisaties en overheden en leiden kwetsbaarheden in cyberspace tot reële risico’s voor onze fysieke en ideële integriteit.
Tot op heden houdt cybersecurity zich bijna uitsluitend bezig met intentionele dreigingen, dat wil zeggen met aanvallen, inbraken, verstoringen, spionageactiviteiten en misbruik van systemen die bewust, willens en wetens zijn uitgevoerd door individuen, groepen of statelijke actoren. De veiligheidsrisico’s voor systemen – de infrastructuur van en de data in cyberspace – worden in kaart gebracht en behandeld.
Bescherming van mensen
Het gaat overduidelijk niet om de bescherming van mensen. Risicomanagement is nog altijd de voornaamste benaderingswijze voor cybersecurity vraagstukken.
Gezien de snelheid en omvang van veranderingen in cyberspace is het echter maar de vraag of deze afbakening van cybersecurity als domein – gericht op de bescherming van systemen tegen intentionele dreigingen met risicomanagement als belangrijkste methode – de juiste is. Ik ben van mening dat er meer nodig is om de volledige reikwijdte en impact te zien van de cybersecurity vraagstukken die op ons afkomen.
Cybersecurity gaat ook over vrijheid van meningsuiting
Risicomanagement heeft ons op vele terreinen veel gebracht – vliegtuigen en auto’s zijn er veiliger door en het risico op bijvoorbeeld industriële of natuurrampen kan er beter mee in kaart worden gebracht –, maar er zitten ook tekortkomingen aan.
Zo werkt het het beste bij systemen met een beperkte complexiteit. Cyberspace is echter een buitengewoon complex systeem en men kan zich dus afvragen of dit wel de beste methode is om risico’s in cyberspace in kaart te brengen en te behandelen. Een andere tekortkoming betreft de wijze waarop beslismakers de uitkomsten van risicoanalyses gebruiken, namelijk als harde, objectieve cijfers op basis waarvan zij prioriteren. In werkelijkheid dragen deze cijfers de nodige marges in zich.
Bovendien kunnen beslissingen ook genomen worden op grond van debatten over fundamenteel botsende waarden, zoals de spanning tussen transparantie en privacy of de spanning tussen veiligheid en vrijheid van meningsuiting.
Geen ruimte voor menselijke fouten en natuurrampen
De cybersecurity-vraagstukken die op ons afkomen passen ook niet meer helemaal in de focus op intentionele dreigingen voor systemen en communicatie. Gezien de toenemende complexiteit van technische systemen wordt de kans op accidentele fouten, zoals de gevolgen van menselijke fouten, systeemstoringen of natuurrampen, met de jaren groter en vanwege de verwevenheid van systemen neemt de potentiële impact ervan eveneens toe.
We hebben allemaal nog vers in het geheugen wat de impact was van de storingen op Schiphol dit voorjaar. De economische en maatschappelijke schade daarvan is niet gering. Tot op heden wordt accidentele schade bijna volledig uitgesloten binnen cybersecurity onderzoek. Dat is zorgwekkend, omdat de consequenties van uitval even groot kunnen zijn als die van een aanval.
Cybercrime en de fysieke werkelijkheid
Maar aan de exclusieve focus op systemen – op hard en software, op de digitale infrastructuur waarop cyberspace drijft – valt eveneens te tornen. Binnen cybersecurity hebben twee thema’s in de afgelopen decennia veel aandacht gekregen: de bestrijding van cybercriminaliteit – diefstal, phishing of fraude – en de bescherming van kritieke infrastructuren – tegen hacken, het verspreiden van malware en het plegen van DDoS aanvallen.
Dat is begrijpelijk, want de economische en maatschappelijke impact van cybercriminaliteit is niet gering en bovendien schadelijk voor het vertrouwen in cyberspace. Kritieke infrastructuren moeten beschermd worden omdat precies daar manipulaties in cyberspace gevolgen kunnen hebben in de fysieke werkelijkheid. Als aanvallers een dam hacken en de sluizen openzetten, kunnen overstromingen veel slachtoffers eisen.
De nieuwe dreiging van nepnieuws en misinformatie
De laatste twee jaar zien we echter een nieuwe cyberdreiging van een geheel andere orde opkomen, die niet past binnen deze huidige onderzoeksfocus, namelijk misinformatie en fake news. Met name de mogelijkheid om sociale media te gebruiken voor het beïnvloeden en manipuleren van meningen en ideeën is een zorgwekkende ontwikkeling.
Cyberspace maakt inmenging mogelijk in de democratische processen van andere landen op een schaal en met een reikwijdte die geen precedent heeft. Via sociale netwerken heeft men direct en op zeer onopvallende wijze toegang tot burgers in andere landen. Die burgers zijn, door de keuze van het kanaal en het gebrek aan poortwachters op dat kanaal, niet of onvoldoende in staat ‘echte’ van ‘onechte’ berichten te onderscheiden.
De maatregelen die we binnen de cybersecurity hebben ontwikkeld, schieten hier tekort. Het gaat hierbij immers ineens niet meer om de bescherming van systemen maar om de bescherming van ideeën en waarden. Dat betekent dat we nieuwe vormen van bescherming moeten ontwikkelen voor de ‘contentlaag’, de focus op hard- en software alleen is te smal geworden. We zullen ons nu ook moeten buigen over contentgerelateerde veiligheidsrisico’s.
Een roep om kritische reflectie
Tien jaar geleden zagen we cyberspace anders dan we dat nu doen. Theorieën kunnen ons helpen een voortschrijdende duiding van cyberspace en cybersecurity te ontwikkelen. Beleid, wet- en regelgeving en ontwerpkeuzes kunnen niet zonder.
Kritische reflectie op de ontwikkeling van en rondom cyberspace, alsmede op de governance en regelgevende systemen die we ten aanzien van cyberspace ontwikkelen, is daarom onontbeerlijk. Juist de sociale en de geesteswetenschappen dienen een rol te pakken naast de technische wetenschappen om zo’n verbeterde conceptualisering te realiseren.
Dit artikel verscheen eerder in Sociale Vraagstukken onder de titel ‘Cybersecurity moet niet alleen over systemen gaan maar ook over mensen‘ en is gebaseerd op de oratie ‘De cyberrevolutie: pak me dan als je kan’, uitgesproken door Bibi van den Berg op 8 juni 2018.
Reacties worden eerst goedgekeurd door de redactie.