A silhouette of a man in a balaclava mask sitting at a laptop computer Sergei Konkov\TASS via Getty Images

Hoe zullen de nieuwe cyberveiligheidsnormen zich ontwikkelen?

CAMBRIDGE – Vorige maand heeft secretaris-generaal António Guterres van de Verenigde Naties opgeroepen tot mondiale actie om het risico te minimaliseren dat voor burgers uitgaat van elektronische oorlogvoering. Guterres beklaagde zich erover dat “er geen toezicht is voor dat soort oorlogvoering,” en merkte op dat “het niet duidelijk is hoe de Conventie van Genève of de internationale mensenrechtenverdragen er op van toepassing zijn.”

Tien jaar geleden kreeg de cyberveiligheid als internationaal probleem weinig aandacht. Maar sinds 2013 wordt het omschreven als de grootste dreiging waar de Verenigde Staten voor staan. Hoewel er te redetwisten valt over de exacte cijfers, boekstaaft de “Cyber Operations Tracker” van de Council on Foreign Relations bijna tweehonderd door staten gesponsorde aanvallen sinds 2005, waaronder twintig in 2016.

De term cyberveiligheid verwijst naar een breed scala aan problemen, die geen grote zorg waren onder de kleine gemeenschap van onderzoekers en programmeurs die het internet in de jaren zeventig en tachtig heeft ontwikkeld. In 1996 gebruikten slechts 36 miljoen mensen, ofwel ongeveer 1% van de wereldbevolking, het internet. Begin 2017 waren 3,7 miljard mensen, ofwel bijna de helft van de wereldbevolking, online.

Naarmate het aantal gebruikers na eind jaren negentig de pan uit rees, werd het internet een cruciale voedingsbodem voor economische, sociale en politieke interacties. Met de toenemende onderlinge afhankelijkheid en economische kansen namen echter ook de kwetsbaarheid en onveiligheid toe. Als gevolg van big data, machine learning en het “Internet of Things” verwachten sommige experts dat het aantal internetaansluitingen in 2035 naar bijna een biljoen zal zijn gegroeid. Het aantal mogelijke doelwitten voor aanslagen, zowel door private als door statelijke actoren, zal dramatisch toenemen, en alles omvatten, van industriële controlesystemen tot pacemakers en zelfsturende auto's.

Veel waarnemers hebben opgeroepen tot wetten en normen voor deze nieuwe omgeving. Maar het ontwikkelen van dergelijke standaarden in het cyberdomein stuit op een aantal problemen. Hoewel de wet van Moore, die stelt dat de computerkracht zich iedere twee jaar verdubbelt, betekent dat de cybertijd snel voortschrijdt, veranderen menselijke gewoonten, normen en staatspraktijken veel langzamer.

Om te beginnen spelen niet-statelijke actoren, gezien het feit dat het internet een transnationaal netwerk van netwerken is, een belangrijke rol. Cyberinstrumenten zijn bovendien multi-inzetbaar, snel, goedkoop en dikwijls moeilijk te herkennen, verificatie en toeschrijving zijn lastig, en de entreedrempels zijn laag.

What do you think?

Help us improve On Point by taking this short survey.

Take survey

Hoewel het internet transnationaal is, vallen de infrastructuur (en mensen) waarvan het afhankelijk is binnen de uiteenlopende jurisdicties van soevereine staten. En grote staten hebben verschillende doeleinden, waarbij Rusland en China het belang van soevereine controle onderstrepen, terwijl veel democratieën pleiten voor een opener internet.

Niettemin is de omschrijving van het “www” als het “wild west web” een karikatuur. Er bestaan wel degelijk normen in cyberspace. Het heeft staten zo'n twintig jaar gekost om de eerste samenwerkingsovereenkomsten ter beperking van conflicten in het nucleaire tijdperk te sluiten. Als je het internationale cyberveiligheidsprobleem niet dateert vanaf de start van het internet begin jaren zeventig, maar vanaf de periode dat het massaal in gebruik werd genomen eind jaren negentig, is de intergouvernementele samenwerking om cyberconflicten te beperken nu ongeveer twintig jaar oud.

In 1998 stelde Rusland als eerste een VN-verdrag voor om elektronische en informatiewapens te verbieden (inclusief voor propagandadoeleinden). Met China en andere leden van de Shanghai Cooperation Organization is het land blijven aandringen op een breed, op de VN gegrondvest verdrag. De VS blijven zo'n verdrag als onverifieerbaar beschouwen.

In plaats daarvan heeft de secretaris-generaal van de VN een Group of Governmental Experts (Groep van Regeringsdeskundigen, kortweg UNGGE) aangesteld, die in 2004 voor het eerst bijeenkwam, en in juli 2015 een serie normen heeft voorgesteld die later werd ondersteund door de G20. Groepen deskundigen zijn niet ongewoon in het VN-proces, maar slechts zelden reikt hun werk vanuit de basis van de organisatie tot erkenning op een topconferentie van de twintig machtigste staten. Het succes van UNGGE was buitengewoon, maar de groep slaagde er niet in het eens te worden over zijn volgende rapport in 2017.

In welke richting beweegt de wereld zich nu? Een verscheidenheid aan beleidsorganen kan normen suggereren en ontwikkelen. De nieuwe niet-gouvernementele Global Commission on Stability in Cyberspace, onder voorzitterschap van de vroegere Estlandse minister van Buitenlandse Zaken Marina Kaljurand, heeft bijvoorbeeld een oproep doen uitgaan om de publieke kern van het internet te beschermen (waartoe de routering, het domeinnamensysteem, trustcertificaten en cruciale infrastructuur behoren).

De Chinese regering heeft intussen, gebruikmakend van haar Wuzhen World Internet Conference-reeks, beginselen geformuleerd, ondersteund door de Shanghai Cooperation Organization, waarin wordt opgeroepen tot erkenning van het recht van soevereine staten om online-inhoud binnen hun territorium te controleren. Maar dat hoeft niet in strijd te zijn met de oproep om de publieke kern van het internet te beschermen, die eerder betrekking heeft op connectiviteit dan op inhoud.

Tot de andere organisaties die normen voorstellen behoort Microsoft, dat een oproep heeft doen uitgaan voor een nieuwe Conventie van Genève over het internet. Net zo belangrijk is de ontwikkeling van normen over privacy en veiligheid inzake encryptie, “back doors,” en de verwijdering van kinderporno, hate speech, desinformatie en terreurdreigingen.

Nu de lidstaten zich beraden over de volgende stappen in de ontwikkeling van normen aangaande cyberveiligheid, zou het antwoord kunnen liggen in het vermijden van het leggen van al te veel druk op instellingen als de UNGGE. Vooruitgang zou het gelijktijdig gebruik van meerdere arena's kunnen vergen. In sommige gevallen kan de ontwikkeling van principes en praktijken onder gelijkgestemde staten leiden tot normen waar anderen zich in een later stadium bij kunnen aansluiten. China en de VS hebben bijvoorbeeld een bilaterale overeenkomst gesloten over de beperking van cyberspionage voor commerciële doeleinden. In andere gevallen, zoals de ontwikkeling van veiligheidsnormen voor het Internet of Things, kunnen de particuliere sector, verzekeringsbedrijven en nonprofit-stakeholders het voortouw nemen.

Zeker is dat de ontwikkeling van cyberveiligheidsnormen een lang proces zal zijn. Vooruitgang op bepaalde gebieden hoeft niet afhankelijk te zijn van vooruitgang op andere gebieden.

Vertaling: Menno Grootveld

http://prosyn.org/LmXpHIF/nl;

Handpicked to read next

Cookies and Privacy

We use cookies to improve your experience on our website. To find out more, read our updated cookie policy and privacy policy.