Staatssecretaris Dijkhoff van Veiligheid en Justitie zei tijdens de opening van de jaarlijkse internationale cybersecurity conferentie van het Nationaal Cyber Security Centrum (NCSC) dat samenwerking tussen overheden, bedrijven en kennisinstellingen is noodzakelijk voor een veiliger en vrijer internet. Met ruim 900 bezoekers toehoorders ging de staatssecretaris in op het belang van een vrij en veilig internet: “een veilig en vrij internet is een harde voorwaarde voor welvaart. En dat kan alleen als we internationaal samenwerken met bedrijven, overheden en kennisinstellingen.”
Het thema van deze editie van de ONE conferentie is “Let’s get ready”. Het programma draait om het versterken van digitale weerbaarheid, zodat landen en organisaties klaar zijn om cyberdreigingen terug te dringen. Dijkhoff: “Digitale dreigingen trekken zich niets aan van landsgrenzen. Daarom moeten ook individuele landen elkaar helpen dreigingen samen terug te dringen. Dat kan bijvoorbeeld met specialistische responseteams.” Cruciaal daarbij is dat landen voldoende capaciteit, bijvoorbeeld in de vorm van Computer Emergency Response Teams (CERT’s) hebben en kennis delen. Cybercriminelen weten anders de kwetsbaarheden van verschillende landen te benutten, wat iedereen kan raken. “Capaciteitsopbouw en uitwisseling van kennis zijn twee van de belangrijkste onderwerpen op de internationale cyberagenda geworden. Tijdens de aanstaande Global Conference on Cyberspace en het Europees voorzitterschap van Nederland in 2016 is het dan ook een prominent thema,” aldus Dijkhoff.
Al eerder gaf het Centraal Planbureau in een CPB achtergronddocument aan dat de veiligheid van het internet afhankelijk is van het gedrag van zowel de ondernemingen die verantwoordelijk zijn voor de infrastructuur, als van dat van de eindgebruikers. Er kunnen verschillende redenen zijn waarom deze partijen onvoldoende prikkels hebben om te investeren in cyber security.
De vraag is onder welke voorwaarden markten oplossingen bieden voor veiligheidsproblemen en wat de rol van de overheid daarbij is als markten hierin falen? Er zijn ten minste drie redenen voor het falen van de markt waarom vrije marktwerking niet zorgt voor een optimaal niveau van veiligheid op het internet.
- Informatieasymmetrie treedt op in verschillende situaties. Zo zijn eindgebruikers niet in staat om na te gaan of een Internet Service Provider (ISP) zijn klanten correct informeert over zijn veiligheidprestaties. Deze onzekerheid maakt eindgebruikers terughoudend om te betalen voor de beveiliging. Voor ISP’s betekent dit dat hun investeringen in cyber security hun geen voordeel geven ten opzichte van concurrenten; extra veiligheid verhoogt de kosten alleen maar. Wanneer markten niet goed werken door informatieasymmetrie, kan de overheid ingrijpen door transparantie af te dwingen. Dit kan door bedrijven te verplichten om veiligheidsincidenten openbaar te maken, door verplichte certificering in te voeren of door minimumnormen voor veiligheid in te stellen.
- Externaliteiten kunnen ook een reden zijn voor onvoldoende investeringen in veiligheid. Vaak komen niet alle baten van investeringen in veiligheid terecht bij de investeerder. Zo hebben verbeteringen in de veiligheid van de diensten van een ISP ook voordelen voor klanten van andere ISP’s. Wanneer externaliteiten sterk zijn, kunnen overheden internetveiligheid bevorderen door het gebruik van veilige technologie te subsidiëren of door minimumnormen voor veiligheid in te stellen. Voor het bevorderen van het gebruik van veiligere communicatieprotocollen zijn tijdelijke beleidsmaatregelen voldoende.
- Marktmacht, een derde vorm van marktfalen, kan ook leiden tot suboptimale internetveiligheid. Grote internationale netwerkproviders met slechte veiligheidsprestaties voelen nauwelijks druk van ISP’s en andere peering partners om hun veiligheid te verbeteren, ze zijn ‘too-big-to-block’. Overheden kunnen in dit soort gevallen het niveau van veiligheid verhogen door minimum veiligheidsnormen op te leggen. Hiervoor is internationale samenwerking essentieel.
Een economisch perspectief op internetveiligheid is niet alleen nuttig voor het identificeren van zwakke plekken, maar ook voor het vinden van oplossingen voor veiligheidsproblemen. Inzichten uit de economie zouden best eens essentieel kunnen blijken voor een veiliger internet.
Aansluitend op de ONE-conferentie vindt deze week ook de Global Conference on Cyberspace plaats op 16 en 17 april. De GCCS bespreekt op een meer strategisch niveau het thema cyberspace. Cybersecurity is één van de thema’s op de GCCS. De NCSC ONE conferentie levert vanuit de actuele technische en beleidsmatige kennis een inhoudelijke bijdrage aan de discussies op de GCCS. Parallel aan beide conferenties wordt een “Cyberweek” georganiseerd op de campus van de HSD, in samenwerking met de Hague Security Delta (HSD) en de Gemeente Den Haag. Ook dit evenement biedt ruimte aan tal van initiatieven op het gebied van cybersecurity en innovatie.
Bron: Ministerie van Veiligheid en justitie
Centraal Planbureau