Ronald Prins, per 1 januari 2018 oud CEO van Fox-IT, slingerde in de NRC van 23 november 2017 de belangrijke discussie aan of internet wel of geen publieke ruimte is. Waarom kunt u bij een fysieke kraak rekenen op politie optreden, maar niet bij een cyber kraak ? Waarom zijn er tal van preventie systemen voor criminaliteit in de fysieke wereld, van camera’s in bedrijven en winkelbuurten, tot agenten op straat en een verbod om met wapens rond te sjouwen. En waarom bestaat dat allemaal niet voor internet ? De verklaring komt deels door de historie van het internet. In het begin was het meer dan voldoende om met eenvoudige firewalls vervelende indringers te weerstaan. Er was geen reden om het wereldwijde web (www) als zodanig onder een vorm van toezicht te plaatsen. Daarbij komt nog, in tegenstelling met allerlei nationale infrastructurele voorzieningen, dat er op wereld niveau geen logische overheids autoriteit bestaat om die taak op zich te nemen. Daar bovenop komt nog de argumentatie van verdedigers van het vrije internet, die net zoals destijds bij Veronica, pleiten voor een absoluut vrij internet, waar overheden geen zeggenschap over mogen uit oefenen. Voila, de situatie waarin we in 2017 zijn beland.
Kan Internet een vrije ruimte blijven ?
De hamvraag is echter of het zo door kan blijven gaan. Mijn opvatting is van niet. Het internet is inmiddels de veruit dominante infrastructuur geworden voor wereldwijde communicatie. Dat heeft heel veel voordelen opgeleverd, waar iedereen van profiteert. Social media, Skype, Apps, IoT, het zijn allemaal ontwikkelingen, die hun bestaansrecht en perspectieven ontlenen aan het vrije internet. We hebben er echter ook gratis een aantal minder wenselijke ontwikkelingen bijgekregen. Cybercrime in allerlei vormen, overheersing van tech giganten op delen van het internet, nep nieuws en subversieve handelingen van overheden zijn de gevolgen van een onbelemmerd, niet gereguleerd en wetteloos internet. De problemen op al deze terreinen exploderen welhaast en nog steeds zien we geen serieuze actie van overheden die werkelijk hout snijdt. Jazeker er is een GDPR uit Brussel, ter bescherming van persoonlijke data bij bedrijven. Er is in ieder land wel één of andere cyber security council en wat wetgeving om opsporingsdiensten meer bevoegdheden te geven. Zoals in Nederland de sleepwet discussie. Maar gaat dat echt helpen om de fundamentele problemen op te lossen ? Ik meen van niet. Er moet eerst iets geheel anders gebeuren. Er zal ingezien moeten worden dat internet de essentiële zenuwstreng is in de hyperconnected world waarin alles met alles is verbonden en wat uiteindelijk de digitale mondiale samenleving zal zijn. Met die digitale infrastructuur kan je op twee manieren omgaan. Het huidige model is: internet is helemaal vrij en iedereen moet zijn eigen private omgeving door middel van goede security zelf maar beschermen. Kortom: we bekommeren ons niet om de criminelen en andere malverserende groepen die zich op internet begeven, totdat ze in ons private domein binnendringen. Het grote risico van dit model is echter dat het uitlokt dat geraffineerde voorbereidende handelingen op het vrije internet plaatsvinden, die als doel hebben aanvallen te plegen op de prive domeinen. En naarmate die voorbereidingen slimmer, grootschaliger, krachtiger worden (DDoS, ransomware aanvallen, nep nieuws, lamleggen van infrastructuren), neemt het risico toe dat de bescherming van louter de prive domeinen niet voldoende is. Feitelijk zijn we op dit moment in zo’n situatie belandt. Het is inderdaad als met criminele bendes op straat: het resultaat in vele landen is dat niemand meer zijn huis uit durft en daarnaast wordt afgeperst voor ongewenste diensten. Het is tevens een grote belemmering voor de ontwikkeling van een vrije, digitale samenleving. Want hoe kan het verder gaan als steeds meer mensen of bedrijven vrezen gehackt te worden, hun data kwijt te raken of er geen zeggenschap over te hebben ?
Een veilig, open Internet, maar wel met regels.
Het toekomstige model waar we naar toe moeten dient het belang te erkennen van een vrij, open, veilig en wereldwijd internet. We benoemen internet tot een publieke ruimte waar bepaalde regels gelden én nemen de maatregelen die nodig zijn, opdat er veilig dataverkeer én databeheer mogelijk is. Kortom, er moet ook een handhavingsregime komen. De vergelijking die in beperkte mate op gaat is die met de vrije wereld zeeën. Die zeeën zijn weliswaar van niemand, maar er geldt wel het zeeverdrag van de Verenigde Naties. Zeerovers kunnen aangepakt worden, de zeeën mogen niet bevuild worden en er zijn communicatieafspraken tussen schepen in nood. Onherroepelijk moeten we iets dergelijks krijgen en bij voorkeur snel voor internet. Kortom: laten we de raad van Ronald Prins ter harte nemen en het digitale riool gaan schoonvegen.
Deze column is eerder geplaatst in CIO Magazine van ICT Media, nummer 1 van 2018