We weten ondertussen allemaal dat onze digitale infrastructuur niet alleen nieuwe mogelijkheden en vrijheden met zich meebrengt – economisch, sociaal en in communicatie – maar ook nieuwe kwetsbaarheden. We begrijpen ook steeds beter dat dit niet een puur technische oplossing vergt. Maar hoe geven we organisaties nu werkelijk handvatten om dit ongelooflijk complexe thema van digitale veiligheid aan te vliegen? Welkom in de wereld van cybersecurity governance, de wereld van Bibi van den Berg.
Dijkbewaking, Schiphol, de haven van Rotterdam, ziekenhuizen, het hele wegverkeer, het elektriciteitsnet – in Nederland hangt heel veel kritieke infrastructuur aan het internet. Allemaal heel efficiënt en handig dat we op afstand een sluis kunnen openzetten of een tunnel kunnen afsluiten, maar het heeft ook implicaties voor wat kwaadwillenden daar dan mee kunnen doen.
‘Dit roept allerlei veiligheidsvraagstukken op die deels gaan over kwetsbaarheden in de techniek en deels over menselijk gedrag,’ zegt Bibi van den Berg, hoogleraar Cybersecurity Governance aan de Universiteit Leiden. ‘Cybersecurity governance gaat over het geheel aan beheersmaatregelen, regelgeving, en sturing op menselijk gedrag waarmee we ervoor kunnen zorgen dat het veilig blijft.’
Wat betreft cybersecurity bleef het op het terrein van openbaar bestuur en organisatiewetenschappen lang angstvallig stil
Oude methodes breken geen potten
‘Cybersecurity is een relatief nieuw onderwerp, waar in eerste instantie vooral met een technische bril naar gekeken werd, in combinatie met heel klassiek-juridische vragen,’ zegt Van den Berg. ‘Op het terrein van openbaar bestuur en organisatiewetenschappen bleef het lang angstvallig stil.’ Ook werden er in verschillende disciplines vooral oude methodes ingezet die zich elders hadden bewezen.
De belangrijkste daarvan was het risicomanagement dat goed werkte in bijvoorbeeld de luchtvaartindustrie, de auto-industrie en de gezondheidszorg. ‘Het probleem is dat die methodes door de complexiteit van cyberspace en de onvoorspelbaarheid ervan door de rol van menselijke actoren helemaal niet zo effectief blijken te zijn.’
Vanuit waarden
Met haar onderzoeksgroep ontwikkelt Van den Berg daarom nieuwe concepten, modellen en theorieën die daar meer recht aan doen. ‘Dat doen we op elke schaal van governance, van bedrijven en lokale overheden tot de rijksoverheid en het internationale toneel.’ Zo deden ze het afgelopen jaar een project met het CBS waarbij ze risico niet vanuit een klassiek risicomanagement-paradigma benaderden, maar vanuit het perspectief van waarden.
‘Dit is een heel mooi alternatief om toch te kunnen nadenken over het in kaart brengen van kwetsbaarheden,’ zegt ze. ‘Het is dan niet meer kwantificeerbaar – dit getalletje is groter dan dat dus krijgt dit meer prioriteit – maar je kan wel een duidelijk gesprek hebben over waar je voor staat als organisatie. Zo gaat de discussie over wat we beschermenswaardig vinden.’
Alfa, bèta en gamma
In haar eigen groep beschikt ze over mensen met een achtergrond als psycholoog, politicoloog, bestuurskundige, jurist, filosoof, socioloog – een hele batterij aan verschillende disciplines die ieder met een andere lens naar digitale veiligheid kijken en daar bijdragen aan proberen te leveren. Daarnaast hecht ze veel waarde aan samenwerken met mensen met een technische achtergrond. ‘Je kan alleen goed onderzoek doen als je de technische stand van zaken meeneemt, zodat het ook hout snijdt wat we publiceren.’ Daarvoor werkt ze veel samen met de faculteiten Techniek Bestuur en Management (TBM) en Electrotechniek, Wiskunde en Informatica (EWI) van de TU Delft, en met computerwetenschappers van het Leiden Institute of Advanced Computer Science (LIACS).
We dragen met een hele batterij aan verschillende disciplines bij aan digitale veiligheid
Cybersecurity-by-design
Met het LIACS en de Haagse Hogeschool heeft haar groep recent een groot NWO-project binnengehaald, gericht op een geïntegreerde benadering van Security-by-Design. ‘De gedachte achter dit project is dat Security-by-Design tot op heden vooral sterk technisch georiënteerd is,’ zegt Van den Berg. ‘We nemen in het ontwerp van een nieuw product of een nieuwe dienst de technische veiligheidsuitdagingen mee. Maar om producten of diensten nog veiliger te maken, zou je eigenlijk ook uitdrukkelijk het ethische, juridische, organisatiekundige, bestuurskundige en het politicologische perspectief al vanaf de ontwerpfase willen meenemen.’
Weerbaarheid
Mensen niet nodeloos bang maken of hun privacy inperken zouden wel eens de grootste uitdagingen in cybersecurity kunnen zijn. ‘Het heeft niet zoveel zin om telkens het beeld van een soort cyber-Tsjernobyl op te roepen, maar cybersecurity is wel degelijk een urgent vraagstuk,’ zegt Van den Berg. ‘We zijn kwetsbaar en we moeten ons beter beschermen tegen incidenten.’
Daarnaast groeit de realisatie dat zulke incidenten principieel onvermijdelijk zijn. Door aanvallen van buitenaf, maar ook door bijvoorbeeld natuurgeweld, menselijke fouten, slijtage en programmeerfouten. ‘There is no such thing as 100% security,’ zegt Van den Berg. ‘We zien dan ook een verschuiving van puur preventie naar incident respons. We kunnen onze weerbaarheid verhogen door ervoor te zorgen dat de middelen en de menskracht beschikbaar zijn om zo’n incident zo snel mogelijk weer op te lossen.’
We willen mensen opleiden die later in een organisatie de spin in het web zijn
Leiden ⇌ Delft ⇌ Erasmus
Volgens Van den Berg beschikken de drie LDE-universiteiten over alle benodigde specialismes voor uitstekend onderwijs en onderzoek op het terrein van cybersecurity. ‘We brengen techniek, gedrag, wetgeving en ethiek dicht bij elkaar. Op onderzoeksvlak halen we de komende tijd de bestaande samenwerkingen binnen LDE aan en initiëren we nieuwe. Op het gebied van onderwijs lopen er al meerdere gezamenlijke programma’s, en zijn er plannen voor een nieuwe gezamenlijk LDE-opleiding op bachelor-niveau op het gebied van cybersecurity en cybercrime.’
Het zwaartepunt zal bij governance en criminologie liggen, maar de studenten moeten ook een globaal begrip van het internet hebben, wat de veiligheidsrisico’s ervan zijn en de technische mogelijkheden om die te verminderen. ‘We willen mensen opleiden die later in een organisatie de spin in het web zijn,’ zegt Van den Berg, ‘die begrijpen welke specialismes je allemaal bij elkaar aan tafel moet zetten als de pleuris een keer uitbreekt.’
Tekst: Merel Engelsman (bureau Simplifaai)