De manier waarop in Nederland met publiek-private samenwerkingen cybersecurity wordt benaderd trekt internationaal de aandacht. Dat bleek tijdens het Global Forum on Digital Security for Prosperity van de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO) dat vorige week werd gehouden in Parijs. DINL directeur Michiel Steltman mocht namens de sector en het ministerie van EZK een bijdrage geven over de stand van zaken van het project Partnering Trust. Nelly Ghaoui van het ministerie van EZK, projectleider van de roadmap veilige hard- en software, sprak over de aanpak van veiligheid bij het IoT.
Vrijwel alle aanwezige landen herkennen het belang van privaat-publieke samenwerking voor het regelen van online veiligheid. Het Nederlandse poldermodel blijkt daarbij een uitstekende basis. Zo bleek dat Nederland van alle 36 landen die lid zijn van de OESO het enige land is dat een programma heeft voor responsible disclosure. Andere voorbeelden van succesvolle privaat-publieke samenwerking zijn de diverse initiatieven rond abuse bestrijding, de gedragscode NTD en veilige e-mail standaarden. Steltman schetste in zijn bijdrage ook het belang van cybersecurity als een belangrijke waarde voor de Nederlandse economie. Het is nodig voor beschermen van bedrijven en burgers, maar ook voor behoud van onze sterke reputatie als digitale gateway en ‘safe place to do business’.
Binnen de EU is momenteel de Cybersecurity act in voorbereiding, waarmee voor alle EU landen dezelfde regimes gaan gelden ten aanzien van maatregelen die moeten worden genomen voor online veiligheid. Door dit op EU niveau te regelen wordt protectionisme voorkomen en wordt het vertrouwen in de Europese digitale eengeworden markt versterkt. ENISA, het Europese agentschap voor netwerk- en informatiebeveiliging, dat eveneens aanwezig was op het Forum en uitleg gaf over deze ontwikkeling, heeft het mandaat gekregen om de Cyber Security Act in te vullen.
Het project Partnering Trust loopt op dit beleid vooruit met het stimuleren van voor bedrijven en consumenten herkenbare certificeringen en veiligheidskenmerken, die de gehele keten bestrijken, en erkend worden in andere lidstaten.
De Amerikaanse cryptograaf en security deskundige Bruce Schneier wees er tijdens het forum op dat reponsible disclosure (het rapporteren van beveiligingslekken aan softwaremakers en hardwarefabrikanten) het enige effectieve middel is om kwetsbaarheden te vinden, zodat leveranciers vervolgens veiligheidslekken en achterdeurtjes kunnen dichten. Het is volgens hem daarom belangrijk dat de manier waarop dit in Nederland wordt benaderd, met een breed draagvlak bij zowel de overheid als het bedrijfsleven, gezien wordt als best practice die internationaal gevolgd moet worden.
Terughacken, duurzame veiligheid en Europese maatregelen
Tijdens het forum werd ook gesproken over het terughacken door bedrijven die slachtoffer zijn van cybercriminelen. Hoewel een enkel land de voordelen ziet van zo’n private aanpak vinden de meeste vertegenwoordigers van OESO-leden dat deze praktijk te riskant is. Het kan het leiden tot juridische kwesties op het gebied van soevereiniteit, proportionaliteit, subsidiariteit en rechtsstatelijkheid.
Ook de verantwoordelijkheid van leveranciers van apparatuur die op het internet kan worden aangesloten kwam ter sprake. Zo zullen zij hun producten moeten blijven updaten tegen beveiligingsrisico’s gedurende de verwachte levensduur en het liefst ook daarna. Nelly Ghaoui merkte terecht op dat de ‘smart’ koelkast of wasmachine niet iedere twee jaar kan worden vervangen omdat er geen beveiligingsupdates meer zijn, zoals nu bijvoorbeeld bij veel smartphones wel het geval is. Dan gaat het niet alleen om veiligheid, maar ook om duurzaamheid. Ook dat punt werd door de diverse experts meermaals aangehaald.
Het OESO Forum krijgt een vervolg in de tweede helft van 2019.