Om het algemeen overleg over cybersecurity op 28 juni 2018 zo goed mogelijk voor te bereiden hebben de thematische netwerken J&V en EZI op 13 juni een expertsessie cybersecurity georganiseerd. Door het gesprek met professionals aan te gaan kan ik met een andere blik kijken naar de informatie die ik vanuit het ministerie krijg. Dit stelt mij in staat om belangrijke punten te brengen die ik anders gemist zou hebben. De expertsessie was voor mij een geweldig moment om feedback te krijgen op mijn ideeën en om de informatie van het ministerie te toetsen. Bij een algemeen overleg hebben woordvoerders vier minuten spreektijd. In die vier minuten heb ik drie punten gemaakt die ik bij de minister onder de aandacht wilde brengen.
Ten eerste heb ik aandacht gevraagd voor het probleem dat bedrijven (en ook particulieren) veel geld betalen voor cyberbeveiliging die in de praktijk niet of nauwelijks blijkt te werken. Bedrijven verkopen pakketten en services voor beveiliging, maar geven bij een aanval die grote schade aanricht, zoals bijvoorbeeld een Wannacry-aanval waarbij alle computers in een bedrijf versleuteld worden en pas na het betalen van een bedrag aan Bitcoins ontgrendeld worden, niet thuis. Deze situatie moet snel verbeteren. Wie producten en diensten aanbiedt om bedrijven en particulieren veilig te houden, kan zich niet beperken tot ‘best effort’, maar zal ook een fatsoenlijk niveau van veiligheid moeten bieden. Bedrijven die dat niet doen, moeten wat mij betreft aansprakelijk gehouden kunnen worden voor de geleden schade. Ik wil van de minister weten of en hoe hij deze aansprakelijk snel en adequaat gaat regelen.
In verschillende gesprekken die ik heb gevoerd kwam dit punt naar voren en ook tijdens de expertsessie hebben we hier over gesproken. Zoals we tijdens de expertsessie hebben besproken gaat aansprakelijkheid of een verzekering niet helpen bij spionage, maar het kan wel degelijk helpen tegen criminaliteit. In de fysieke wereld is aansprakelijkheid heel normaal, hier kunnen we ook in de online wereld van leren.
Ten tweede heb ik een opmerking gemaakt over het besluit van het Kabinet om te stoppen met het gebruiken van Kaspersky. Tijdens de expertsessie is hier een goede discussie over geweest, dit heeft er toe geleid dat ik de minister heb gevraagd of er wel adequate vervangers voor Kaspersky zijn, of we die wel voldoende geïmplementeerd krijgen en of belangrijke toeleveranciers van de overheid Kaspersky nog wel mogen gebruiken. Ook heb ik gevraagd naar de Amerikaanse Cloud Act, hoe verhoudt zich dat tot het beschermen van de nationale veiligheid?
Ten slotte heb ik nogmaals aandacht gevraagd voor mijn oproep om politie-vrijwilligers met cyberexpertise aan te trekken, zodat de politie ook daadwerkelijk cybercriminaliteit kan aanpakken.
Tijdens de expertsessie zijn naast bovenstaande punten ook veel andere relevante, goede punten gemaakt. Helaas was de tijd er niet om al deze punten in de bijdrage te verwerken, maar voor komende overleggen lenen deze punten zich ook uitstekend, zoals bijvoorbeeld de enorme economische kansen die er in het cyberdomein te vinden zijn of de rol van het ministerie van OCW.
Ik wil jullie nogmaals hartelijk danken voor jullie aanwezigheid tijdens de expertsessie. Schroom niet om me te mailen met interessante informatie!
Met vriendelijke groet,
Arno Rutte
NB. Op 3 oktober 2018 organiseren we in de CyberSecurity Week een bijeenkomst met o.a. drs. Inge Philips-Byron en prof. dr. Paul Duchaine. Arno Rutte zal op hun inleidingen en op input van de zaal reflecteren. Ook Tweede Kamerleden Martin Wörsdörfer en Sven Koopmans zullen hierbij aanwezig zijn. Ook deze bijeenkomst is open voor alle geïnteresseerden! Dit betreft echter een meer laagdrempelige sessie dan bovenstaande expertsessie. Meer info & aanmelden: EZI Activiteiten