De nieuwe Europese Cyber Security Strategie die vandaag in Brussel is gelanceerd, is vooral een analyse en geen strategie, aldus D66-Europarlementariër Marietje Schaake. In de lange uiteenzetting van uiteenlopende internetgerelateerde misdrijven ontbreken antwoorden op essentiële strategische vragen in de wereldwijde context van defensie en digitale vrijheden.
“Onduidelijkheid laat ruimte voor onwenselijke neveneffecten,” zo stelt Schaake, rapporteur van de eerste, onlangs aangenomen, strategie voor Digitale Vrijheden in het EU-buitenlandbeleid. “Ik vind het goed dat de Commissie dit initiatief heeft genomen, als een eerste stap in een breder debat, maar we kunnen het ons niet veroorloven tijd te verliezen om een antwoord te vinden op de moeilijkst vragen. De EU moet duidelijke veiligheid- en defensieplannen opstellen, inclusief de vragen over het al dan niet opbouwen van offensieve capaciteit, aansprakelijkheden, bevelstructuren, het inbedden van democratische controle en vergaande privatisering van publieke defensietaken. Private spelers zijn steeds vaker verantwoordelijk voor kritieke infrastructuur en online diensten, maar uiteindelijk is het de staat die verantwoordelijkheid draagt voor vrijheid en veiligheid.”
Volgens Schaake is netwerk en informatiebeveiliging (NIB) een essentieel onderdeel van de veiligheidsketen, maar is er op dat vlak al veel beleid. De nieuwe concept NIB-Richtlijn, die de kern vormt van de nieuwe strategie, dwingt lidstaten tot meer samenwerking, coördinatie van risicoanalyses en gezamenlijk optreden. “Een telefoonboom gaat Europa niet voldoende beschermen. Het gaat al lang niet meer om het tegenhouden van virussen, maar of we de knoop doorhakken en de offensieve capaciteit van de EU moet ontwikkelen, en hoe bestaande militaire principes gelden bij cyber security. Een meldingsplicht voor inbreuken en kwetsbaarheden van systemen is belangrijk maar daarmee lopen we nog steeds niet voor de troepen uit,” aldus Schaake.
Defensie
Deze week lekten details uit van een geheime studie door de Verenigde Staten naar de inzet van digitale wapens. Daaruit bleek dat President Obama over ruime bevoegdheden beschikt om een preventieve aanval uit te voeren wanneer er een reële dreiging is van een cyberaanval van buitenaf. Tegelijkertijd zijn aansprakelijkheid en proportionaliteit in reactie op cyberaanvallen zeer gecompliceerd. Schaake: “We zien steeds meer tekenen en voorbeelden van offensieve acties, dat leidt tot zorgen over een digitale wapenwedloop. Ik wijs het idee dat cyber security exclusief thuishoort in militaire hoofdkwartieren af, maar dat neemt niet weg dat de EU een nauwkeurige cyber defensie doctrine moet ontwikkelen. De strategie haalt de solidariteitsclausule uit de Europese verdragen aan en spreekt van NAVO samenwerking, maar geeft geen verdere duiding. Topprioriteit is het bouwen van een geïntegreerde weerbare samenleving, dat vraagt ons ook om te bepalen hoe we de rechtsstaat toepassen in een wereldwijd digitaal verbonden wereld.”
Publiek belang
Schaake benadrukt de noodzaak van een richtlijn voor gedeelde publiek-private defensietaken of verantwoordelijkheden, net als het misbruik van zero-day kwetsbaarheden. “We moeten digitale vrijheden en veiligheid niet tegen elkaar uitruilen. Belangen van overheden en bedrijven zijn niet gelijk. Bedrijven zijn verantwoording schuldig aan hun aandeelhouders en hebben een winstoogmerk. Dat kan haaks staan op het publieke belang dat overheden moeten dienen.“
