‘Overheid en universiteit moeten leiding pakken in tegengaan cybercrime’
Van ransomware tot Citrixfile: de afgelopen maanden werden Nederlandse instellingen regelmatig lamgelegd door zware cyberaanvallen. We kunnen deze dreigingen alleen gezamenlijk het hoofd bieden, met universiteit en overheid samen in de hoofdrol. Dat zeggen de Leidse hoogleraren Bibi van den Berg en Aske Plaat tijdens de dies natalis van de Universiteit Leiden op 7 februari.
Het Nederlands heeft er een nieuw woord bij: Citrixfile. Toen halverwege januari een groot lek werd ontdekt in de populaire thuiswerksoftware van het bedrijf Citrix, konden werknemers van talloze Nederlandse bedrijven en instellingen niet meer achter de keukentafel werken. Het gevolg: extra drukte op de wegen en in het openbaar vervoer, want iedereen moest naar kantoor. Én een nieuw woord dus.
Cyberspace als kritieke infrastructuur
De Citrixfile en vergelijkbare incidenten maken duidelijk hoe kwetsbaar digitale systemen zijn, zeggen de Leidse hoogleraren Bibi van den Berg (Cybersecurity Governance) en Aske Plaat (Artificial Intelligence). In hun duo-oratie tijdens de dies natalis van de Universiteit Leiden laten ze zien dat het internet een zogeheten ‘kritieke infrastructuur’ is geworden. Nu ziekenhuizen, vliegvelden en waterwerken steeds vaker digitaal worden aangestuurd, maakt ze dat ook kwetsbaarder voor storingen en cybercrime. Het kan het openbare leven flink ontwrichten. In het ergste geval brengt dat zelfs mensenlevens in gevaar, zoals bijvoorbeeld tijdens de landelijke 112-storing die Nederland in juni 2019 trof.
Alleen met gezamenlijke inspanningen kunnen we dit soort dreigingen het hoofd bieden, betogen de beide hoogleraren. Daarbij zijn zowel burgers, bedrijven als overheden aan zet. Burgers zijn als het ware de voetgangers van het internet, zegt Van den Berg. ‘Net zoals we van voetgangers verwachten dat ze de verkeersregels kennen […] zo mogen we van eindgebruikers op het internet verwachten dat zij een basisset aan vaardigheden hebben die ervoor zorgen dat ze gebruik kunnen maken van genetwerkte technologieën.’ Een centrale rol is weggelegd voor universiteiten om die digitale weerbaarheid te vergroten. Zo kondigden de universiteiten en medische centra in Leiden, Delft en Rotterdam recent aan een stevige impuls te geven aan het gezamenlijke onderwijs over en onderzoek naar kunstmatige intelligentie.
Overheid moet leiding nemen
Toch kunnen we onze cyberveiligheid niet overlaten aan burgers en bedrijven alleen, zeggen Van den Berg en Plaat. Want het is overduidelijk dat burgers zich ook op internet begeven als zij de ‘verkeersregels’ niet goed genoeg kennen, met alle gevaren van dien. En ook van grote technologiebedrijven moeten we het meestal niet hebben, want strenge (privacy-)regels brengen hun verdienmodel in gevaar. Zij leven immers van de data die wij genereren zodra we ons op Instagram, Facebook of Snapchat begeven. Zo blijft er eigenlijk maar één partij over de leiding kan nemen in het complexe dossier: de overheid.
‘Nu het internet in feite een basisvoorziening is geworden, moeten burgers en consumenten erop kunnen vertrouwen dat het internet veilig is,’ zegt Van den Berg. ‘Vergelijk het met de voedselveiligheid. Als ik in Nederland naar de supermarkt ga, dan mag ik er vanuit gaan dat het eten […] veilig is, dat ik er niet ziek van wordt. De overheid speelt een sleutelrol door regels te maken, te handhaven en regie te voeren.’ Het is als het ware de voedsel- en warenautoriteit van het wereldwijde web.
Met name de Europese Unie maakt volgens de hoogleraren de laatste jaren ‘meters’ als het aankomt op cybersecurity en privacy. Een lichtend voorbeeld is de Europese AVG-wetgeving, die bijdraagt aan een veiliger gebruik van cyberspace door consumenten en burgers. De reikwijdte van die nieuwe wetgeving is ver over de EU-grenzen voelbaar. Van den Berg: ‘Zodra bedrijven als Google, Microsoft en Facebook hun spelregels hebben aangepast aan de Europese vereisten, gelden die vanzelf ook voor consumenten in andere delen van de wereld. Facebook gaat immers niet twee platforms aanbieden: eentje voor Europa, en eentje voor de rest van de wereld.’ Zo heeft Europese wetgeving een wereldwijde uitstraling.
Brede universiteit in het voordeel
Aan de Universiteit Leiden wordt cybersecurity vanuit verschillende vakgebieden bestudeerd. Het is namelijk veel meer dan alleen een technisch vraagstuk. Een goede kennis van informatica is natuurlijk onontbeerlijk, maar dat geldt ook voor inzicht in maatschappelijke, juridische, organisatorische en ethische aspecten, zegt Plaat. ‘Alleen wanneer we een multidisciplinaire blik op dit probleem hebben, valt het in zijn volle rijkdom te begrijpen.’
Cybersecurity wordt dan ook het best bestudeerd aan een brede universiteit als die in Leiden, willen de hoogleraren maar zeggen. Zo staat een multidisciplinaire aanpak centraal in de Executive Master Cyber Security, waarin niet alleen twee Leidse faculteiten, maar ook de TU Delft en de Haagse Hogeschool samenwerken. Plaat: ‘En aan onze eigen universiteit wordt op verschillende plekken onderzoek gedaan naar propaganda in cyberspace. Zo factchecken de journalistiekstudenten van Nieuwscheckers uitspraken in het nieuws en op social media.’