Cyber-aanvallen, falende digitale beveiliging en kwaadaardige hacks zijn tegenwoordig aan de orde van de dag. Het lijkt niet onredelijk om van overheden en bedrijven te verwachten dat zij zich wapenen tegen dergelijke aanvallen en veiligheidslekken om op die manier hun eigen systemen en de digitale vrijheden van internetgebruikers te beschermen. Niets is echter minder waar. Europese overheden en bedrijven blijken een centrale rol te spelen in de handel van technologieën die kunnen worden gebruikt om computers of afstand te hacken, besturen en om informatie te vergaren.
Europese bedrijven zijn voorlopers op het gebied van het ontwikkelen van dit soort spionage en inbraak technologieën. En door het ontbreken van Europese regelgeving kunnen ze nagenoeg ongereguleerd vanuit Europa exporteren. De vrije handel in dit soort ‘digitale wapens’ heeft grote implicaties voor onze eigen veiligheid en voor mensenrechten in de rest van de wereld. Er zijn allerlei voorbeelden van Europese producten die door autoritaire regimes gebruikt worden om hun bevolkingen te onderdrukken.
Als liberaal ben ik geen voorstander van overregulering en al helemaal niet als het technologie of het internet betreft. In mijn rapport over digitale vrijheden benadruk ik de noodzaak van een vrije stroom van informatie op het internet en de enorme rol die technologie kan spelen bij het bevorderen van (digitale) mensenrechten. Maar het wetgevingsvacuüm waarbinnen de export van gevaarlijke technologie plaatsvindt, is juist uitermate schadelijk voor mensenrechten. Daarom maak ik me sterk voor een verscherping van exportcontrole wetgeving binnen de EU. Het is daarbij cruciaal dat we zorgen dat gevaarlijke technologie wel een vergunningplicht krijgt, maar dat we de handel en uitwisseling van ongevaarlijke producten niet belemmeren. Behalve duidelijkheid voor bedrijven moet onderzoek in het publieke belang door kunnen gaan.
De Europese lidstaten beginnen zich langzaam bewust te worden van de noodzaak om de problemen rondom dit soort technologie aan te pakken. De beslissing van de EU lidstaten om eind 2013 de export controle lijsten van het Wassenaar Arrangement te herzien is een stap in de goede richting, hierdoor wordt sommige technologie afgedekt. Het is ook goed om te zien dat het nieuwe richtsnoer voor vrijheid van meningsuiting,online en offline, van de Europese Dienst Extern Optreden begin dit jaarveel van de aanbevelingen uit mijn rapport uit 2012 heeft overgenomen. Maar dit zijn pas eerste stappen. De EU moet doorpakken om export controles coherent op EU niveau te implementeren, de reikwijdte uit te breiden en gebruikte definities te verduidelijken.
Naast exportcontrole wetgeving is er meer nodig om de vrije markt van zogenaamde zero-day exploits aan banden te leggen. Deze onontdekte kwetsbaarheden in software liggen aan de basis van de meeste infiltratie software en vormen als het ware de bouwstenen van cyberwapens. Stuxnet, het beruchte programma dat werd gebruikt om het Iraanse nucleaire programma aan te vallen, maakte waarschijnlijk gebruik van meerdere zero-days.
Voor software bedrijven is er echter bijna geen drijfveer om veiligheidslekken bekend te maken, want dat zou tot slechte publiciteit leiden en geeft criminelen juist de mogelijkheid om gebruik van zwakke plekken te maken. Een oplossing zou kunnen zijn om een vertrouwelijk meldpunt in het leven te roepen, bij de Europese instantie verantwoordelijk voor cybersecurity bijvoorbeeld. Op die manier kan een gezamenlijke evaluatie door overheden en bedrijven bijdragen aan het opbouwen van verdere expertise en oplossingen. Boetes voor nalatigheid op het gebied van cyber security zouden moeten worden verhoogd en bedrijven zouden harder hun best moeten doen om de juiste kennis in huis te halen om hun software veiliger te maken, in plaats van te wachten tot iemand een lek ontdekt en er misbruik van maakt.
In aanloop naar de volgende herziening van export controle wetten heeft de Europese Commissie inmiddels een communicatie aangenomen die de basis moet zijn voor een wetsvoorstel over export controle. Het is goed dat hierin de problemen rond gevaarlijke technologie en vrije handel daarin wordt erkend. Een aantal elementen moet echter worden verbeterd, op het gebied van inspraak door belangengroepen en transparantie om verantwoording door bedrijven en overheden af te dwingen. Het is cruciaal dat de EU werkt aan een coherente, alomvattende, aanpak van de handel in de schadelijke technologie en software die nu zo vrij is,dat Europese belangen en beloften op het gebied van mensenrechten steeds verder worden ondermijnd.
