Foto De Beeldunie
Met 92% van de Europese data in Amerikaanse clouds, is het herstel van de digitale soevereiniteit van de Europese Unie (EU) inmiddels een kernambitie van de Europese Commissie voor de komende vijf jaar. "We zijn in Europa te afhankelijk van technologie van China en de Verenigde Staten en moeten in onze eigen behoeften kunnen voorzien" aldus Ursula von der Leyen in haar State of the Union dit jaar. De Europese digitale innovatiestrategie en agenda is inmiddels vol onderweg.
Lokke Moerel, lid van de Cyber Security Raad (CSR) namens de wetenschap: "In Europa is de urgentie echt doorgedrongen en dat zien we ook in de landen om ons heen. Zo is digitale soevereiniteit in Duitsland inmiddels Chefsache. Als we in Europa een gesprekspartner willen zijn, zullen we op nationaal niveau een aantal stappen moeten zetten. Uitgangspunt daarbij dient te zijn: sterk in eigen huis, sterk in Europa, sterk in de rest van de wereld.” Gerrit van der Burg, lid van de CSR namens de publieke sector: “In Nederland staat dit onderwerp nog onvoldoende op de politieke agenda en wordt cybersecurity tot nog toe vooral reactief aangepakt. We reageren in crisismode en vrijwel niet vanuit het bredere perspectief van strategische autonomie. Dat moet echt anders."
Tip
Lees ook het CSR Advies 'Nederlandse Digitale Autonomie en Cybersecurity'.
Volgens Moerel en Van der Burg is Nederland een van de meest gedigitaliseerde landen. De coronacrisis heeft dit proces verder versneld. “Er ontstaan daardoor steeds meer nieuwe afhankelijkheden en kwetsbaarheden”, stelt Van der Burg. “De cyberdreigingen nemen toe en we worden steeds afhankelijker van de digitale infrastructuur die in handen is van een beperkt aantal grote buitenlandse marktspelers. Dit kan grote gevolgen hebben voor onze nationale en economische veiligheid en daarmee het verdienvermogen van Nederland.” Moerel: “De hamvraag is hoe behouden we als Nederland ook in de digitale wereld controle over onze essentiële economische ecosystemen en democratische processen. “
Controle over democratische processen
- Hier gaat het vooral over het functioneren van en vertrouwen in de rechtsstaat. Wanneer de staat geen controle heeft over het verkiezingsproces, omdat dit is geïnfiltreerd en wordt gemanipuleerd door vreemde mogendheden (fake news), staat onze digitale soevereiniteit onder druk. Tijdens de coronacrisis hebben we gezien dat Rusland en China stelselmatig de COVID-response van de EU en de lidstaten probeerden te ondermijnen met gerichte campagnes met misinformatie.
Controle over essentiële economische ecosystemen
- Economische spionage: Door systematische diefstal van onze kennis uit de topsectoren en universiteiten komt ons toekomstig verdien-vermogen onder druk te staan
- Soevereiniteit-respecterende cloud: Voor innovatie met artificiële intelligentie (AI) is enorme rekenkracht vereist (hetgeen cloud computing vergt) en verder grote hoeveelheden geharmoniseerde data. Hiervoor is het nodig dat de data in een bepaalde industriesector wordt gecombineerd. Dat is op dit moment lastig, omdat de data van onze bedrijven in silo’s in de clouds van de grote techbedrijven staat, waardoor deze data niet beschikbaar is voor Nederlandse en Europese innovatie. Toegang tot geharmoniseerde data en de cloud-infrastructuur wordt het fundament voor de Nederlandse en Europese innovatie- en kennisinfrastructuur. Daarover, zeggenschap houden, is een wezenlijk onderdeel van de Nederlandse strategische autonomie.
Veilige digitale communicatienetwerken: we zijn in toenemende mate afhankelijk van digitale communicatie voor het welzijn van burgers en voor een sterke economie. Denk aan video-vergaderen, en smart homes, maar ook aan nieuwe veiligheids-kritische diensten zoals smart energy grids, intelligente mobiliteitssystemen en op afstand bedienbare zorgrobots. Doordat de ontwikkeling en het beheer van de onderliggende technische systemen en -netwerken (zoals routers, switches, DNS-servers) steeds vaker worden gedomineerd door buitenlandse partijen, hebben organisaties en individuen slechts een beperkt inzicht in hun afhankelijkheden van deze partijen en hun systemen, laat staan dat ze daar controle over hebben. Dit beperkt onze mogelijkheden om autonoom te beslissen en te handelen over hoe we onze digitale infrastructuur inrichten en aan welke van die partijen we het transport van onze data toe willen vertrouwen.
Nieuwe technologieën zetten onze digitale soevereiniteit onder druk
Gebrek aan controle over kritische technologieën resulteert in nieuwe afhankelijkheden. Zo is de huidige encryptie niet bestand tegen de rekenkracht van de toekomstige kwantumcomputers. Moerel en Van der Burg vinden dat we nu moeten innoveren om onze kritische informatie ook in de toekomst te kunnen beschermen. Dat is niet alleen relevant voor toekomstige informatie, maar ook voor onze huidige informatie. Moerel: “Vergeet niet dat sommige vreemde staten stelselmatig onze versleutelde communicatie onderscheppen in de verwachting die later met kwantumcomputers te kunnen ontsleutelen en te analyseren met behulp van kunstmatige intelligentie, ofwel AI.” Van der Burg: “We zien criminelen op grote schaal automatisch kwetsbaarheden in software opsporen en exploiteren. We zullen echt moeten innoveren om de cybercriminelen een stap voor te blijven.”
“Inmiddels staat nagenoeg alle data van Nederlandse overheden, bedrijven en personen in de cloud van een handjevol buitenlandse aanbieders”, vervolgt Moerel. “Als we onszelf tien jaar geleden hadden gevraagd of dit in principe een goed idee zou zijn, zou je geen voorstanders vinden. Als een van deze bedrijven uitvalt, is het net alsof de elektriciteit uitvalt, dan liggen hele sectoren van onze economie stil. We zouden nooit de switch van ons elektriciteitsnetwerk in handen van een buitenlandse partij geven. Van der Burg: “De situatie op het gebied van opsporing van digitale criminaliteit is net zo fragiel. We zijn voor strafrechtelijk onderzoek deels afhankelijk van de medewerking van enkele buitenlandse spelers. Als deze geen medewerking geven of dit te lang duurt, omdat het hoofdkantoor eerst goedkeuring moet geven, leidt dat ertoe dat wij ons werk niet goed kunnen doen. We zien in de praktijk dat dit ons te afhankelijk kan maken, hetgeen gevolgen heeft voor onze rechtsstaat en de positie van slachtoffers.”
Data als wapen: Ook TikTok is een kwestie van nationale veiligheid
Moerel stelt dat het niet alleen gaat over de afhankelijkheden voor de bedrijfsvoering en publieke taken. “Het gaat ook over wat andere staten met de informatie over onze burgers en bedrijven kunnen. Inmiddels beschouwen China en de Verenigde Staten toegang tot elkaars data als een kwestie van nationale veiligheid. Er werd lacherig over gedaan toen voormalig president Trump de TikTok-app had verbannen uit de Amerikaanse app stores, maar inmiddels heeft ook President Biden een Executive Order uitgevaardigd die het mogelijk maakt om doorgifte van gevoelige gegevens van Amerikaanse burgers naar China te voorkomen. China heeft inmiddels ook een export verbod op important data, waaronder ook data valt die het leven, wonen en werken van Chinese burgers in kaart kan brengen. Ook verbood China onlangs de DiDi-app (de Chinese Uber) uit de Chinese app stores toen dit bedrijf een beursnotering in de Verenigde Staten kreeg. We moeten hier echt naar kijken. Onze privacy-wetten beschermen wel de individuele privacy van burgers maar niet onze collectieve data. Ik durf inmiddels de stelling wel aan dat de TikTok-app inderdaad een kwestie van nationale veiligheid is.”
De CSR heeft onlangs adviezen uitgebracht over een ‘Integrale aanpak cyberweerbaarheid’ en ‘Nederlandse Digitale Autonomie en Cybersecurity’. Belangrijkste constatering van de raad is dat cybersecurity tot nog toe vooral technisch en reactief wordt aangepakt en vrijwel niet vanuit het bredere perspectief van strategische autonomie. Moerel: “Doordat de soevereiniteitsvraag steeds meer gebieden van economie, maatschappij en democratie raakt, dient aansturing centraal plaats te vinden, maar als raad zien we dat de benodigde integratie van beleid ontbreekt. In een eerder advies constateerden we al dat we als Nederland op dit moment onvoldoende inzicht hebben in onze nieuwe afhankelijkheden en daardoor niet in staat zijn om voldoende proactief gecoördineerd technologiebeleid te kunnen voeren op het gebied van onderzoek, valoratie en industriële capaciteiten. Kortom, het huidige reactief handelen dient te worden gecombineerd met proactief monitoren en anticiperen. Dit vergt sturing vanaf het hoogste niveau.”
Digitale autonomie chefsache
Volgens Van der Burg en Moerel moet de verantwoordelijkheid voor digitale autonomie dus op het hoogste politieke- en ambtelijke niveau worden belegd. Van der Burg: “Het moet in feite permanent onderwerp van gesprek zijn op het hoogste niveau: in de politiek, bijvoorbeeld de ministerraad, en ook in het bedrijfsleven. We moeten dagelijks bezig zijn om voor Nederland grenzen te trekken en onze onafhankelijkheid te bewaken.” Moerel: “Op dit moment heeft digitale autonomie wel de aandacht van de ministeries van Binnenlandse Zaken en Koninkrijksrelaties, Economische Zaken en Klimaat en Justitie en Veiligheid, maar er wordt te veel in silo’s gewerkt. We moeten een eenduidig beleid hebben, alleen dan kunnen we ook als Nederland een bijdrage leveren in Europa. Als je niks meebrengt aan tafel ben je ook geen volwaardige gesprekspartner.” Op de vraag wat digitale autonomie kost en welk land vooroploopt, antwoordt Van der Burg: “Het is lastig om de situatie in verschillende landen met elkaar te vergelijken. Daarvoor lopen onder meer uitgangsposities te ver uiteen. We zouden wel een voorbeeld kunnen nemen aan het Verenigd Koninkrijk, waar structureel budget wordt gereserveerd voor het bewaken van de digitale autonomie. Een vast percentage van het bruto binnenlands product (bbp) zou ook in Nederland verstandig zijn.”
Europese tech
Hoewel de afhankelijkheden van buitenlandse aanbieders op dit moment groot zijn, ziet de CSR geen reden tot fatalisme. Moerel: “Techinnovaties gaan altijd in golven en er is altijd weer een nieuwe golf. Er is veel mogelijk als we goed investeren. Het besef groeit dat we alternatieven nodig hebben. Laten we vooral gericht innoveren en samenwerken on dit te bereiken, waardoor tevens een gericht beroep kan worden gedaan op Europese cofinanciering.” Van der Burg: “Daarmee samenhangend moeten we ook zorgen dat we voldoende zicht hebben op wat er allemaal in onze eigen techscene gebeurt. Het mag eigenlijk niet gebeuren dat we min of meer verrast worden door de verkoop van bijvoorbeeld een kritisch internetbeveiligingsbedrijf. Kroonjuwelen moet je zien te behouden voor Nederland. Ook moeten we de ontwikkeling van startups goed monitoren en ervoor waken dat nieuwe technologieën worden misbruikt door criminelen.”
GAIA-X
In het CSR-advies ‘Nederlandse Digitale Autonomie en Cybersecurity’ wordt onder andere gesproken over het GAIA-X-project, dat is geïnitieerd door Duitsland en Frankrijk. Moerel: ik zie dat vaak wordt gedacht dat de bedoeling van GAIA-X is om onze eigen Europese cloudspeler op te zetten. Dit is echter niet het doel van GAIA-X. Het doel is tot schaalbaarheid van de cloudinfrastructuur in Europa te komen door interoperabiliteit tussen de verschillende clouddiensten te realiseren. Dit wordt bereikt door het stellen van gemeenschappelijke technische standaarden en juridische kaders voor de digitale infrastructuur. Deze vorm van interoperabiliteit gaat dus verder dan portabiliteit van data en applicaties van de ene naar de andere leverancier ter voorkoming van vendor lock-in; het betreft echt het creëren van open API’s, interoperabiliteit van sleutel beheer bij encryptie, eenduidig identity & access management, etc. Na aanvankelijke aarzeling, zien we dat inmiddels een Nederlandse coalitie actief aan dit project bijdraagt. Ik ben zelf betrokken bij een interessante Europese use case op het gebied van energie. Het begint echt te komen in Europa.” Van der Burg: “Ik zie GAIA-X ook wel als voorbeeld voor betere interoperabiliteit van andere producten en processen. Ook op het gebied van opsporingsmogelijkheden en technieken. Nederland is al behoorlijk goed op het gebied van hightech opsporing, maar het helpt natuurlijk als we heel Europa meekrijgen. We moeten meer Europese slagkracht ontwikkelen en komen tot uniforme aanpakken.”
Digitale autonomie blijft op agenda CSR
Van der Burg: “Digitale autonomie blijft nog wel even op de agenda van de CSR. De technische en geopolitieke ontwikkelingen gaan zo snel dat we hier de vinger aan de pols houden. Digitale autonomie dient ook – evenals cybercrimebestrijding - een aparte plek te krijgen in het jaarlijks gepubliceerde Cybersecuritybeeld Nederland.” Moerel vult aan: “De raad verdiept zich de komende tijd in het vraagstuk hoe onze collectieve data door vreemde mogendheden kan worden ingezet als wapen en hoe we ons daar beter tegen kunnen beschermen. Ander onderwerp op de agenda is hoe we burgers meer controle over hun data kunnen geven door een betrouwbare universele Nederlandse digitale identiteit. Op een aantal onderdelen van ons advies inzake digitale autonomie zijn inmiddels de eerste stappen gezet, zoals het verhogen van de bewustwording van strategische autonomie in cybersecurity en het verbeteren van het Nederlandse valorisatie en innovatieklimaat. Onderdeel van het advies van de CSR was een handreiking 'Toetsingskader digitale autonomie en cybersecurity', dat inmiddels door het ministerie van Economische Zaken en Klimaat wordt geoperationaliseerd.”
Wat moet er gebeuren?
Vooruitlopend op nationale strategie- en beleidsvorming dient volgens de CSR een vijftal concrete zaken in gang te worden gezet:
- Borgen van drie basisvoorzieningen (soevereiniteit-respecterende cloud voor veilige opslag van data en data-analyse, veilige digitale communicatienetwerken en post-kwantumcryptografie);
- Implementatie van een toetsingskader digitale autonomie cybersecurity;
- Verhogen van bewustwording van het belang van strategische autonomie in cybersecurity;
- Verbeteren van het Nederlandse valorisatie- en innovatieklimaat;
- Een actieve inzet op aansluiting bij EU-beleid dat een relatie met digitale autonomie heeft en waarbij Nederland ook gebruikmaakt van de beschikbare EU-financiering hiervoor.
Deze acties zijn noodzakelijk om op korte termijn onze positie te versterken zodat de digitale autonomie voor cyberweerbaarheid ook in de toekomst kan worden gegarandeerd, cybercrime kan worden bestreden en de Nederlandse samenleving kan blijven vertrouwen op de veiligheid en continuïteit van onze digitale maatschappij.