“Gooien jullie het bestand na gebruik wel weg?”, wil Bibi van den Berg weten als Secondant het interview wil opnemen voor audiofragmenten. Deze reactie is in lijn met haar positie als nieuwbakken hoogleraar Cybersecurity Governance aan de Universiteit van Leiden. Van den Berg noemt zichzelf een ‘wetenschappelijke nomade’, ze promoveerde in de filosofie, werkte op rechtenfaculteiten en nu is ze actief bij het Institute of Security and Global Affairs. “Mijn toegevoegde waarde ligt vooral op het filosofische vlak”, vindt Van den Berg.
Leg eens uit?
“Toen ik aan deze faculteit kwam werken, vroeg ik iedereen: ‘Wat is veiligheid nu precies?’ Daarop kreeg ik heel verschillende antwoorden, waaronder: ‘Daar heb ik nog niet zo over nagedacht.’ In de literatuur vind ik veel onderzoek over het thema veiligheid, maar betrekkelijk weinig over het concept veiligheid. Binnen de politieke filosofie is wel onderzoek naar dat laatste, maar dan uitsluitend vanuit het idee dat de staat de veiligheid moet waarborgen. Onderzoek naar de existentiële of antropologische betekenis van veiligheid – dat veiligheid voor mensen een voorwaarde is om uit bed te komen en dingen te gaan doen – is er niet. Dat fascineert mij. Mijn sterke punt is dat ik altijd terugga naar die basisvragen.”
‘Wat wij hier als strafbaar beschouwen, vinden ze in andere landen misschien wel prima’
Aanvankelijk had Van den Berg weinig interesse in cybersecurity. “Cybersecurity leek me heel saai”, zegt ze. “Ik had het klassieke beeld dat het heel technisch is en alleen maar gaat over het beveiligen van data, communicatielijnen en zorgen dat netwerken altijd beschikbaar zijn.”
Audio: Bibi van den Berg over wat cybersecurity inhoudt
Wat wekte uiteindelijk toch uw interesse?
“Cybersecurity is zoveel meer. Het gaat ook over juridische vraagstukken. Cyberspace is wereldwijd, maar de wet- en regelgeving is georganiseerd langs nationale lijnen. Cyberspace gaat over grenzen heen. Iemand uit België doet iets tegen iemand in IJsland, die informatie staat op een server in Amerika en het gaat ook nog via een netwerk in Zuid-Afrika. Welk rechtssysteem is daar nou op van toepassing? Hoe organiseer je dat internationaal met al die grote cultuurverschillen en met al die verschillende perspectieven op waar internet voor bedoeld is? Wat wij hier als strafbaar beschouwen, vinden ze in andere landen misschien wel prima. Je moet van nul af bedenken wat de spelregels zijn en ondertussen is de economische waarde en de maatschappelijke impact ervan gigantisch.”
Waar staan we nu in die ontwikkeling?
“Op subterreinen zijn er al heel wat stappen gezet. Op gebied van cybercrime bijvoorbeeld, is er al een internationale conventie die ondertekend is door 56 landen. Het doel van die conventie is dat landen hun eigen nationale wet- en regelgeving aanpassen, zodat deze internationaal geharmoniseerd wordt. Maar op veel terreinen hebben we nog niks. We doen nu een groot onderzoeksprogramma naar normen voor statelijke actoren in cyberspace.”
‘We zetten generatie na generatie producten bij mensen in huis met wifi’
“Landen doen van alles ten opzichte van elkaar, waaronder spionage. Het gevaar bestaat dat er oorlog uitbreekt over of in cyberspace, dus tijd voor afspraken over wat wel of niet wenselijk gedrag is. Daarover zijn zo’n 15 landen nu al 15 jaar met elkaar in gesprek en dat moet zich uiteindelijk, op de lange termijn, vertalen naar internationale wet- en regelgeving. Het stellen van die normen blijkt ongelooflijk moeilijk, het loopt spaak omdat Rusland en China totaal andere opvattingen en belangen hebben dan de VS en Europese landen.”
Eigenlijk is internet nog het Wilde Westen?
“Jazeker, ontwikkelingen gaan vele malen sneller dan het besef van de consequenties ervan en dan de wet- en regelgeving om de veiligheid beter op orde te krijgen. Veiligheid is duur voor producenten, want goed testen van producten kost veel tijd en geld. Dus zij blijven onveilige producten op de markt brengen. Met de komst van het internet of things zit tegenwoordig zelfs in je koffiezetapparaat wifi. Deels voor het gemak van de consument, maar vooral producenten hebben hier zelf ook enorm baat bij. Niet alleen voor de data die ze kunnen verzamelen over de consument. Maar ook vanwege veiligheid: wanneer het product in het huis van de consument staat, kan de producent het alsnog patchen, softwarematige fouten oplossen of updaten. Het argument daarbij is dat de innovatiecyclus zo kort is, dat de producten heel snel op de markt moeten komen.”
Audio: Bibi van den Berg over de gebrekkige veiligheid van internet
“Daar zijn een paar kleine probleempjes mee: het product staat dan al een tijd in huis met allerlei veiligheidsgaten erin en door die korte innovatiecyclus gaan producenten het helemaal niet upgraden, want ze moeten alweer het volgende product maken. Kortom, we zetten generatie na generatie producten bij mensen in huis met wifi, waardoor de producent het voordeel heeft dat hij allerlei data over de consument kan onttrekken en daar dan ook nog eens geld mee kan verdienen. Andersom krijgt de consument daar amper wat voor terug. Hij kan vanuit de trein zijn koffiezetapparaat aanzetten, maar dat is 2 dagen leuk. Het risico ligt helemaal de consument.”
Wat kan er misgaan met wifi-huisraad?
“Om te beginnen verdwijnen er allerlei data. Als het gaat om je robotstofzuiger, zul je denken ‘lekker belangrijk’. Maar het is een stroom: je koffiezetapparaat én je televisie én je thermostaat én je fiets. Al die dingen zenden gebruiksdata uit. Wanneer je thuis bent, wat je doet. Een combinatie van die datastroom biedt een heel rijk inkijkje in het leefpatroon van mensen. Al die technologie valt te hacken en bevat allerlei sensoren, microfoons en camera’s. Je kunt mensen afluisteren via de microfoon in de televisie.”
“We wisten dat actoren kunnen rommelen met content in andere landen”
We hebben een kwestie gehad in Nederland rondom babyfoons. De beelden vanuit de kinderslaapkamer werden live gestreamd op dubieuze websites voor mensen met een voorliefde voor kindertjes. Dat kwam uit en de importeur verwees naar de handleiding, daarin staat dat je het wachtwoord moet veranderen. Een van de installatiestappen was het koppelen aan wifi, maar de consumenten hadden er onvoldoende bij nagedacht dat ze daarmee op het internet waren aangesloten.”
Lees ook: Het internet der onveilige dingen? |
Ten slotte hebben we een vraag van een lezer: Een van uw onderzoeksthema’s is fake news. Hoe valt dat onder cybersecurity?
Onderzoek naar cybersecurity gaat momenteel vooral over het beschermen van netwerken, systemen en data. Data is wat anders dan content. Data beveiligen hebben we al decennialang onderzocht, zoals encryptie en beveiligingsprotocollen. Content gaat over een talige inhoud van data. De misinformatie rondom de Amerikaanse verkiezingen is een nieuw fenomeen. We wisten dat valse berichten op Facebook er bijna niet uit te filteren zijn. We waren bekend met het sneeuwbaleffect als mensen iets gaan liken. We wisten ook dat actoren kunnen rommelen met content in andere landen. Maar dat je Facebook op deze manier kon gebruiken en dat je als natiestaat een andere natiestaat en individuele burgers kon targeten met valse berichten, op die schaal en met die impact, dat wisten we niet.”
Audio: Bibi van den Berg over misinformatie
“Nu is misinformatie al zo oud als de weg naar Rome. Is er ergens oorlog, dan gooien we flyers uit vliegtuigen om de geesten te beïnvloeden. Niks nieuws. Maar de reden dat ik misinformatie een cybersecurityprobleem noem, is omdat de technische architectuur hier een kritieke rol in speelt. Ook de reikwijdte waarmee dat nu gebeurd is, hebben we nog nooit eerder gezien. Dat krijg je met nog geen honderden vliegtuigen voor elkaar. Bovendien, op Facebook kan een gewone burger op geen enkele manier achterhalen of het een echt bericht is of niet. De cybersecurity-community is nu nog geneigd om zich alleen te richten op data- en systeemgerelateerde zaken, maar niet op content. Ik vind dat dit een machine-gegenereerde issue is. Hadden we cyberspace niet gehad, dan hadden we dit probleem niet op deze schaal gekend.” <<