Promovendireeks #10: Verantwoording in een hybride (cyber-)netwerk. Cyberincidenten en publiek-private samenwerking: een verantwoord systeem?
Het digitale domein is niet meer weg te denken uit de huidige tijd. Een groot deel van ons bestaan vindt plaats in of via dit domein. Ook buiten het individuele bestaan van de homo digitalis is de groeiende omvang en invloed van cyberspace evident. Dit brengt ook risico’s met zich mee, denk bijvoorbeeld aan digitale oorlogsvoering, waarvan ik drie tekenende verschijningsvormen zal noemen. Een eerste vorm van cyberwarfare uit zich in zogenoemde beïnvloedingsoperaties, zoals de inmenging van statelijke actoren in buitenlandse verkiezingen. Ten tweede kunnen digitale middelen worden ingezet om spionage mogelijk te maken, bijvoorbeeld Chinese spionage bij onze eigen krijgsmacht. Ten derde kunnen statelijke actoren via het digitale domein fysieke doelen aanvallen, wat zichtbaar is in de oorlog tussen Oekraïne en Rusland. Deze laatste vorm resulteert meer dan eens in het frustreren van de vitale infrastructuur van een of meerdere landen. Wanneer we de focus op de aanvallende ‘actor’ loslaten en ons slechts richten op het perspectief van de maatschappelijke gevolgen van digitale aanvallen, belanden we in het thema: ‘cyberincidenten’. Mijn onderzoek richt zich op deze cyberincidenten.
Cyber-incidentenbestrijding: een publieke vraag, dus een publiek aanbod?
Uit recent onderzoek is gebleken dat Nederlanders zich grote zorgen maken over cyberincidenten. Een bekend voorbeeld van een dergelijk incident vond zijn oorsprong in de zogenoemde NotPetya-malware, waardoor mede de Rotterdamse haven meerdere dagen plat lag. Naast de Rotterdamse haven kampen ook de zorgsector en andere essentiële diensten veelvuldig met cyberincidenten. Helaas is er geen aanleiding om aan te nemen dat dergelijke incidenten op korte termijn niet meer zullen plaatsvinden. Het aantal cyberaanvallen neemt volgens verzekeraars juist ‘al jaren toe’. De oplossing voor het probleem van cyberincidenten zullen we zodoende niet alleen moeten zoeken in het voorkomen van die incidenten door middel van het opwerpen van ‘veilige’ digitale muren, maar ook in een weerbare wijze van cyber-incidentenbestrijding.
In de fysieke wereld is het gangbaar dat een respons op incidenten binnen de ‘publieke’ veiligheidsfunctie van de overheid valt. Zo vinden wij burgers het heel gewoon dat we het geweldsmonopolie hebben gegeven aan de overheid en dat derhalve niet van een burger of een bedrijf verlangd wordt om op de barricades te springen gedurende een (dreigend) incident. In de digitale wereld ligt dit anders. Private actoren spelen een significante rol in onze cyber-incidentenbestrijding. Dit wordt ook actief gestimuleerd vanuit het landsbestuur. Afhankelijkheid van commerciële technologie, de informatieverzamelingscapaciteiten van (vrijwillige) beveiligingsonderzoekers en het feit dat zo’n 80% van de (digitale) vitale processen in handen is van private actoren, maken dat de overheid op korte termijn wellicht ook niet veel andere keuzes heeft. Dit laat onverlet dat men vanuit rechtsstatelijk perspectief grote vraagtekens kan plaatsen bij deze situatie.
Publieke actoren dienen zich te schikken naar de op hun publieke taak toegesneden wet- en regelgeving en ongeschreven publieke normen, wat hen (democratische) legitimatie biedt om te handelen. Daarnaast kennen we verschillende verantwoordingsmechanismen om misbruik van macht te voorkomen. Denk hierbij bijvoorbeeld aan de Commissie van toezicht op de inlichtingen- en veiligheidsdiensten (CTIVD) en de Toetsingscommissie inzet bevoegdheden (TIB) die waken voor een rechtmatige inzet van bevoegdheden door de beide inlichtingen- en veiligheidsdiensten. Maar denk uiteraard ook aan de bredere politieke verantwoording die door bewindspersonen wordt afgelegd aan het parlement.
Een hybride netwerk en verantwoording
Als vastgesteld zou worden dat private actoren een sleutelrol in de cyber-incidentenbestrijding hebben, moet de vraag gesteld worden in hoeverre dergelijke verantwoordingsmechanismen ook voor die actoren gebruikelijk c.q. voorgeschreven zijn. Deze onduidelijkheid leidt tot vragen omtrent waarborgen rondom privaat optreden, zelfs als (onmisbaar) privaat handelen uit goede intenties voortkomt. De centrale vraag is zodoende of het traditionele, publieke systeem van verantwoording adequate waarborgen biedt omtrent privaat handelen in de digitale ruimte.
Ter beantwoording van deze vraag moet er in eerste instantie worden bekeken welke actoren een bijdrage leveren aan cyber-incidentenbestrijding in Nederland. Aansluitend kan worden beoordeeld of bepaalde private actoren gelijksoortige, publieke rollen vervullen als publieke actoren, terwijl mogelijk uit het onderzoek naar voren komt dat een gelijksoortige wijze van verantwoording ontbreekt. Een mogelijke conclusie zou een vaststelling van een discrepantie in de balans van rol-verantwoording tussen de twee categorieën van actoren kunnen zijn. Hoe is deze mogelijke discrepantie te herstellen? Gezien de afhankelijkheid van de private sector ligt het wat betreft de cyber-incidentenbestrijding waarschijnlijk niet voor de hand om deze discrepantie te herstellen aan de ‘rol’-zijde van de genoemde balans. Met andere woorden: het lijkt niet vanzelfsprekend om te snoeien in privaat optreden. Een afwijzing van deze private bijdrage aan de cyber-incidentenbestrijding draagt naar verwachting op dit moment niet bij aan het wenselijke niveau van de (digitale) veiligheid. Is het in dat geval wellicht beter om over te gaan tot een herziening aan de verantwoordingszijde van de balans? Oftewel: een herziening van het traditionele kader dat gericht is op verantwoording rondom publiek optreden. Aan de hand van een analyse van fundamentele theoretisch-rechtsstatelijke beschouwingen rondom verantwoording zal worden bezien welke ruimte er bestaat voor deze herziening en welke componenten een dergelijk verantwoordingskader zou kunnen bevatten om adequaat te zijn in de gegeven context, teneinde een passend, eigentijds systeem van verantwoording vorm te geven.
Reacties