Behalve met remlichten, een kreukelzone en airbags garandeert je auto jouw veiligheid op allerlei manieren waar je zelf niet eens aan zou denken en waar je ook niet specifiek om hoeft te vragen. Maar als je software laat ontwikkelen, dan ligt de verantwoordelijkheid voor digitale veiligheid te vaak en te veel bij jou. Hoog tijd voor een cybersecurity zorgplicht, vindt Bernold Nieuwesteeg.
‘Bij datalekken wijst de vinger vaak naar de het bedrijf of de overheidsinstantie waar het incident plaatsvond, met het verwijt dat zij hun zaakjes niet op orde hebben,’ zegt Bernold Nieuwesteeg, onderzoeker en directeur van het Centre for the Law and Economics of Cyber Security (CLECS) aan de Erasmus Universiteit Rotterdam. ‘Het is maar de vraag of dat terecht is. Je zou willen dat de meeste verantwoordelijkheid wordt gedragen door de partij die de meeste kennis in huis heeft. Vaak is dat niet de organisatie die de software gebruikt, maar de leverancier ervan.’
Rechtseconomie
Nieuwesteeg combineerde zijn afstuderen in Techniek, Bestuur en Management aan de TU Delft met zijn afstuderen in European Law aan Universiteit Utrecht. Het onderwerp? Cybersecurity! Dat was ook het onderwerp van zijn daaropvolgende promotie in de rechtseconomie aan de Erasmus Universiteit Rotterdam. ‘Als je cybersecurity als een economische markt ziet, dan zie je dat daar enkele problemen zijn,’ zegt hij.
‘Zo beschikken bedrijven over onvoldoende informatie om een onderbouwde beslissing te nemen over hoeveel zij in cybersecurity zouden moeten investeren. Dat kan je op heel veel manier proberen te corrigeren, bijvoorbeeld door verzekeringen af te sluiten of met het inzetten van een juridisch instrument. Dat kan dan een harde wet zijn, of iets als een duwtje in de goede richting zoals een opt-out systeem in plaats van opt-in voor cybersecurity. De rechtseconomie bestudeert de effectiviteit van die manieren om een economisch probleem op te lossen.’
Luis in de pels
Met het CLECS probeert Nieuwesteeg onder andere de luis in de pels te zijn wat betreft Europese en (daarop gebaseerde) nationale wetgeving op het gebied van cybersecurity, zoals de Wet meldplicht datalekken. Nieuwesteeg: ‘Werkt zo’n wet, hoe werkt die, en kan deze verbeterd worden? Heel vaak worden bij wetten van tevoren mooie bespiegelingen gehouden over hun uitwerking, maar achteraf meet niemand of dat wel is uitgekomen.’
Daarnaast kijkt het CLECS naar digitale autonomie – Nieuwesteeg: ‘nogal een cybersecurityprobleem als al onze data in Amerikaanse en Chinese handen is’ – en onderzoekt ze hoe je op een slimme manier verantwoordelijkheden op het gebied van cybersecurity zo kan beleggen dat degene met het grootste inzicht die kennis ook gaat delen. Dat laatste is waar de zorgplichtstandaard om de hoek komt kijken.
Zo’n Wet meldplicht datalekken, werkt die eigenlijk wel?
De zorgplichtstandaard
‘In de academische wereld is een schat aan informatie over hoe het beter kan met cybersecurity,’ zegt Nieuwesteeg. ‘Als wetenschapper vind ik het mijn taak om die kennis te vertalen naar het bedrijfsleven.’ Samen met Petra Oldengarm en Rutger Leukfeldt richtte hij daarvoor het Cyber Security Lab op. Een lab-sessie met tien mensen uit de wetenschap en het bedrijfsleven resulteerde in de oproep, in de vorm van een position paper, om een cybersecurity zorgplichtstandaard in te stellen.
Deze standaard schrijft een verdeling van verantwoordelijkheden op het gebied van cybersecurity voor waar contractpartijen aan móeten voldoen tenzij ze gezamenlijk, en onderbouwd, besluiten daarvan af te wijken. Nieuwesteeg: ‘De ongelijkheid in kennis, en daardoor in onderhandelingsmacht, zorgt er nu vaak voor dat de aansprakelijkheid naar de afnemer van software wordt afgeschoven. Met zo’n standaard zou een leverancier uiteindelijk reden hebben om meer open kaart te spelen over risico’s omdat ze daar zelf aansprakelijk voor zijn.’
Ongelijkheid in kennis van cybersecurity leidt tot het afschuiven van aansprakelijkheid.
Flexibiliteit gewenst, dus geen wet
Belangrijk is dat de zorgplichtstandaard eenvoudig aan te passen is al naar gelang de snel veranderende cybersecurityomstandigheden. ‘Ik ben er dan ook geen voorstander van om dit bijvoorbeeld via Europese wetgeving op te lossen,’ zegt Nieuwesteeg. ‘Veel te rigide. Wat de wetgever wel moet doen is de zorgplichtstandaard erkennen, maar het opstellen en aanpassen van de richtlijnen daarin moeten we overlaten aan wetenschappelijk experts en branchevertegenwoordigers.’
Nieuwesteeg heeft al goede contacten bij het ministerie van Economische Zaken, dat bovendien zelf werkt aan een Roadmap Digitaal Veilige Hard- en Software. ‘We zijn natuurlijk een ultiem polderland, dus ook softwareleveranciers die zo’n standaard liever kwijt dan rijk zijn, zullen gehoord moeten worden,’ zegt hij. ‘Maar ik hoop dat ze gaan inzien dat ze er zelf ook baat bij hebben als het algemene niveau van cybersecurity in Nederland hoger komt te liggen.’
Een bedrijfsindex voor cybersecurity
Een ander initiatief van Nieuwesteeg tot het aanmoedigen van kennisdeling op het gebied van cybersecurity is de CSAR-index (Cybersecurity Annual Report index). Deze meet hoe transparant beursgenoteerde bedrijven in Nederland zijn op het gebied van cybersecurity. ‘Tenzij je als bedrijf opereert op het gebied van computer- en netwerkbeveiliging is dit typisch iets waar je kennis over kan delen zonder dat het je concurrentiepositie beïnvloedt,’ zegt Nieuwesteeg. ‘Klanten veranderen niet van supermarkt omdat de cybersecurity niet op orde zou zijn.’
Klanten veranderen niet van supermarkt omdat de cybersecurity niet op orde zou zijn.
Bruggen slaan
Nieuwesteeg ziet cybersecurity bij uitstek als een onderwerp dat multidisciplinair dient te worden aangevlogen. ‘In Nederland doet elke universiteit wel wat op het gebied van cybersecurity, elk vanuit hun eigen invalshoek. We kunnen alle disciplines bij elkaar vegen in een groot instituut, maar dan denk ik dat het moeilijk wordt om voldoende diepgang te bereiken. Wat je daarom vaak ziet zijn tweezijdige dwarsverbanden.’
Zelf is hij bezig met het opstarten van een Digital Security Doctorate binnen Leiden-Delft-Erasmus. Het gaat daarbij niet zozeer om hardware-onveiligheden in computerchips, maar om onderzoek naar de economische, juridische, psychologische en governance aspecten van cybersecurity. ‘De ambitie is om de promovendi gelijktijdig te laten starten op een cybersecurity onderwerp dat aan elkaar raakt, zodat ze ook weer van elkaar kunnen leren,’ zegt Nieuwesteeg. ‘En dat we zo ook weer het LDE gedachtengoed versterken.’
Tekst: Merel Engelsman (bureau Simplifaai)