Foto Jeroen de Bakker
De Cyber Security Raad (CSR) vierde afgelopen jaar zijn tienjarig-jubileum. De raad brengt vanuit het publieke, private en wetenschappelijke perspectief advies uit over de maatschappelijke vraagstukken die de digitalisering met zich meebrengt, waaronder het CSR Adviesrapport ‘Integrale aanpak cyberweerbaarheid’, een belangrijk advies voor het nieuwe kabinet voor een open, (digitaal) veilige en welvarende samenleving. In dit gesprek blikken covoorzitters Pieter-Jaap Aalbersberg en Sylvia van Es samen met wetenschapper Michel van Eeten terug op het afgelopen decennium en kijken ze samen vooruit naar welke rol de raad in de toekomst moet spelen.
Kracht en toegevoegde waarde CSR
In de afgelopen tien jaar heeft de raad verschillende adviezen en producten uitgebracht. Wat is het belang van de raad en de adviezen die jullie hebben uitgebracht volgens u?
Pieter-Jaap: “Over het geheel genomen is tien jaar kort, maar de digitalisering van de samenleving zit midden in een enorme versnelling. Als raad zijn we hier onderdeel van. En terwijl in het umfeld van alles verandert en in beweging is, zie ik binnen de raad een constante: we kijken al tien jaar lang vanuit een meervoudig perspectief en vanuit een bepaalde gelijkwaardigheid naar digitalisering. Privaat, wetenschap en publiek zit met elkaar aan tafel en vanuit ieders eigen verantwoordelijkheid proberen de leden tot een gezamenlijke duiding en tot goede adviezen te komen. Die samenwerking werkt, omdat partijen zien dat ze vanuit hun expertise iets toevoegen aan het geheel. Die werkwijze is internationaal uniek en van grote waarde.”
Michel: “De CSR is inderdaad uniek. Dat komt inderdaad door de samenstelling publiek, privaat en wetenschap. De overheid zit zelf ook in de raad en adviseert daarmee in feite zichzelf. Dat is ongebruikelijk, maar het is tegelijkertijd onze kracht. We moeten samen tot een advies komen en kunnen bepaalde zaken niet doorschuiven naar een andere partij. Dan kom je tot een ander resultaat dan wanneer de overheid bijvoorbeeld zelf een advies schrijft op basis van extern opgehaalde kennis en expertise. De leden schrijven de adviezen echt samen en zelf, wat uniek is voor mensen in deze posities. Ook de openheid van de gesprekken in de raad is bijzonder. De kracht daarvan zie je terug in de adviezen.”
Sylvia: “Absoluut, de kracht van de raad zit in de verschillende perspectieven, visies en invalshoeken. Onderlinge discussies leiden tot nieuwe inzichten en verrijken onze adviezen. Waarbij iedereen hetzelfde doel voor ogen heeft: verbetering van de digitale veiligheid.”
Pieter-Jaap: “Alle leden zitten in de raad om Nederland digitaal veilig te maken. We dienen dus ons algemene belang. Door de unieke samenstelling van de raad (publiek-privaat-wetenschap) is het mogelijk om prioriteiten, knelpunten en incidenten vanuit diverse invalshoeken strategisch te benaderen en een integrale visie op kansen en bedreigingen te ontwikkelen en advies uit te brengen.”
Speerpunten advies & plannen kabinet
Een van de meest recente adviezen die de raad heeft uitgebracht is het CSR Adviesrapport ‘Integrale aanpak cyberweerbaarheid’. Wat is de belangrijkste kernboodschap uit dit adviesrapport voor het huidige kabinet?
Pieter-Jaap: “De titel van het adviesrapport zegt het al: we moeten toe naar een integrale aanpak. Ons advies is fundamenteel, want met de toevoeging en doorontwikkeling van het digitale element staan we voor een totale nieuwe infrastructuur van onze samenleving. Die infrastructuur moet goed en veilig zijn en de zwakkeren beschermen. We leren steeds meer over de combinatie online en offline. Het belang ervan is de afgelopen jaren door de coronacrisis alleen maar toegenomen. Dat maakt dat je vanuit een breder perspectief naar digitalisering moet kijken. Het gaat niet alleen over cybersecurity, maar over de vraag hoe we onze samenleving met deze digitale infrastructuur op een veilige manier gaan inrichten. Het digitale landschap is nu nog te erg versnipperd.”
Michel: “Dat klopt, al is versnipperd misschien niet helemaal het juiste woord: het suggereert dat er ooit een geheel was. Als je de digitale wereld zou vergelijken met individuele bomen in een jong bos, is het nu zaak de bomen er bewust van te maken dat ze samen een bos vormen. Opleiden van experts is onderdeel van de integrale aanpak waar we voor staan. Ook daar is een flinke investering nodig: er is een schreeuwend tekort aan gekwalificeerde mensen. Ze worden door andere landen zo’n beetje bij ons uit de schoolbanken weggerukt. Er is extra inspanning nodig om de tekorten niet verder op te laten lopen en onze kennispositie en digitale autonomie te behouden. Want als we zelf niet over de nodige kennis beschikken, zijn we overgeleverd aan het buitenland. De afgelopen jaren is er het een en ander aan middelen vrijgekomen. Dat heeft geleid tot relevant en goed onderzoek, maar de organisatie is nog erg ad hoc. Hoe gaat het verder als straks al die PhD’s zijn afgerond?”
Sylvia: “Cybersecurity moet topprioriteit zijn. Digitalisering is pas een succes als we niet alleen de veiligheid kunnen garanderen voor bedrijven en organisaties, maar ook voor individuen. Een integrale benadering en eenduidig beleid is inderdaad noodzakelijk, echter is daarvoor wel een forse investering nodig: minimaal 833 miljoen euro, zoals terug te lezen is in ons adviesrapport ‘Integrale aanpak cyberweerbaarheid’. Ik zie in het coalitieakkoord hoopvol stemmende zinnen over een centraal gecoördineerde en structurele samenwerking tussen overheid, bedrijfsleven en wetenschap. Tegelijkertijd zie ik nog een groot gat tussen de investeringen die wij adviseren en de investeringen die worden voorgesteld. Om Nederland ook in de toekomst een open, vrije en welvarende samenleving te laten zijn moet het nieuwe kabinet hiermee aan de slag.”
Pieter-Jaap: “Digitalisering komt inderdaad veel naar voren in het akkoord. De aanstelling van een staatssecretaris Digitalisering en de instelling van een vaste Kamercommissie voor Digitale Zaken zijn een stap in de goede richting. Op financiën is er helaas geen apart blokje voor digitalisering. Daar kunnen we nog een stap in zetten.”
Tip
Lees ook het CSR Adviesrapport 'Integrale aanpak cyberweerbaarheid'.
Blik in de toekomst
Wat zijn, naast de hiervoor genoemde aandachtspunten, de belangrijkste toekomstige uitdagingen op gebied van digitalisering en digitale veiligheid? En welke rol zien jullie daarbij voor de CSR weggelegd?
Michel: “Ik denk dat onze agenda de eerste paar jaar te veel werd bepaald door wie er naar ons toekwam. We kregen pas in een laat stadium de beleidsplannen te zien en werden dan als een soort stempelpost gevraagd om goedkeuring. Inmiddels worden we eerder in het proces betrokken. De raad is nu meer sturend en autonomer geworden en er is meer ruimte om vooruit te denken over de grote vragen waar het beleid nog niet op voorgesorteerd is. Nu is dat bijvoorbeeld: encryptie. Een heet hangijzer waar publiek en privaat uiteenlopende meningen over hebben. Terwijl buiten de raad het debat daardoor totaal vastligt, gaan we binnen de raad het gesprek aan. Juist omdat de raad een van de weinige plekken is waar je zulke gevoelige gesprekken kan voeren. Iedereen voelt de urgentie van het gesprek en we moeten kijken hoever we samen komen.”
Sylvia: “Het feit dat we in Nederland koploper op het gebied van digitalisering zijn, is een mooie basis. Maar ik zie nog wel uitdagingen, bijvoorbeeld in het ontsluiten van data op een verantwoorde manier. Voor technologieën als kunstmatige intelligentie zijn nu eenmaal grote hoeveelheden ontsloten data nodig. De wetgeving zou op Europees niveau geharmoniseerd moeten zijn, maar is in de praktijk op uitvoeringsniveau nog versnipperd. Ook is een verdere verheldering van een aantal dataprotectie- concepten, zoals anonimisering, noodzakelijk. Ik maak me in dat kader zorgen over een level-playing field, zowel binnen Europa als ten opzichte van de rest van de wereld. We moeten voorkomen dat we op achterstand komen te staan. Onderaan de streep geldt dat digitale veiligheid van het grootste belang is, alle kansen en mogelijkheden om innovaties te bereiken hangen daarvan af.”
Pieter-Jaap: “De ontwikkelingen gaan zo snel, dat we als raad pro-actiever moeten zijn. We moeten meer vooruitkijken naar wat er op ons afkomt en nagaan of we daar goed op zijn voorbereid. Nieuwe technologieën brengen ook nieuwe dilemma's met zich mee. De CSR kan die in kaart brengen en oplossingsrichtingen meegeven, zonder direct een oplossing te benoemen. Cybersecurity gaat niet meer puur over hardware en software. Het gaat ook over anders kijken naar data en wat het grootschalig gebruik daarvan voor de samenleving betekent. Hoe bescherm je als overheid je burgers? Dit moet samen met de wetenschap en private sector worden opgepakt. Al die samengestelde issues, daar moet de CSR de komende jaren uit zichzelf stappen in gaan zetten.”