Dit rapport, dat we schreven op verzoek van de Cyber Security Raad en dat past bij het thema Digitale Samenleving uit ons Werkprogramma, onderzoekt de kansen van nieuwe technologische ontwikkelingen voor de nabije toekomst, en hoe deze kunnen worden benut om de cyberweerbaarheid van Nederland te verhogen.
Samenvatting
De Cyber Security Raad (CSR) is een nationaal en onafhankelijk adviesorgaan van het kabinet en bestaat uit vertegenwoordigers van publieke en private organisaties en de wetenschap. De CSR zet zich in om de cyberweerbaarheid in Nederland te verhogen. De raad heeft het Rathenau Instituut verzocht onderzoek te doen naar de manier waarop nieuwe technologieën kunnen bijdragen aan het verhogen van de cyberweerbaarheid in Nederland. Het onderzoek moet bouwstenen aanleveren op grond waarvan de CSR een advies kan uitbrengen aan het kabinet.
Voor het onderzoek is ingegaan op:
- de technologische ontwikkelingen die Nederland op de middellange termijn (2-8 jaar) te wachten staan;
- de gevolgen daarvan voor bestaande cyberkwetsbaarheden;
- de kansen die nieuwe technologische mogelijkheden bieden om de cyberweerbaarheid te verhogen;
- de voorwaarden waaraan moet worden voldaan om die kansen te benutten; en
- de lessen die kunnen worden getrokken uit ervaringen in het buitenland.
Speciale aandacht gaat hierbij uit naar publieke organisaties en aanbieders van vitale diensten.
Het onderzoek richt zich op nieuwe technologische ontwikkelingen.Technologie krijgt echter pas betekenis door de manier waarop de mogelijkheden ervan worden benut in de maatschappelijke praktijk. Dat betekent ook dat technologische ontwikkelingen mede vorm krijgen door allerlei niet-technologisch aspecten, zoals cybervaardigheden van gebruikers, organisatorische processen en wet- en regelgeving. Het onderzoek naar het benutten van de kansen die nieuwe technologische ontwikkelingen bieden, besluit daarom met deze bredere voorwaarden.
Relevante technologische ontwikkelingen
Het onderzoek richt zich op de technologische ontwikkelingen die de komende jaren naar verwachting in de praktijk relevant zullen worden voor de cyberweerbaarheid van Nederland. Het richt zich niet op technologische ontwikkelingen die alleen in academische zin ‘nieuw’ zijn.
Ter verduidelijking hiervan twee voorbeelden. De kwantumcomputer zal de komende jaren onvoldoende ver ontwikkeld zijn om in de praktijk te kunnen worden gebruikt. Maar de verwachte komst ervan is voor deze studie relevant, omdat reeds de komende jaren maatregelen moeten worden genomen om IT-systemen te beschermen tegen het risico van een aanval met een kwantumcomputer. Omgekeerd is het Internet of Things (IoT) op zich geen nieuwe technologische ontwikkeling, maar dwingt de grote vlucht die het de komende jaren zal nemen, om opnieuw te doordenken hoe Nederland met de kwetsbaarheden ervan moet omgaan. De verdere ontwikkeling van IoT wordt daarmee relevant voor dit onderzoek.
Digitalisering maakt samenleving kwetsbaar
Dit onderzoek gaat tevens in op de kwetsbaarheden die gepaard gaan met de digitalisering van de samenleving. Maatregelen die de cyberweerbaarheid moeten versterken, kunnen namelijk niet los worden gezien van deze kwetsbaarheden en daarmee samenhangende cyberdreigingen.
Door de voortschrijdende digitalisering van de samenleving raken de online en de offline wereld steeds verder met elkaar verweven. Daardoor worden steeds meer data digitaal verwerkt, bevatten steeds meer apparaten digitale technologie en worden steeds meer diensten digitaal geleverd. De verdere uitrol van IoT jaagt deze ontwikkeling verder aan. Dat is problematisch, omdat de cyberweerbaarheid veelal niet op orde is. Dat maakt IT-systemen en -applicaties kwetsbaar voor uitval, storingen en aanvallen.
Groeiende afhankelijkheid van externe partijen
Een belangrijke ontwikkeling die ook gevolgen heeft voor de cyberweerbaarheid, is de groeiende afhankelijkheid van eindgebruikers voor het goed functioneren van digitale producten en diensten van buitenlandse technologiebedrijven. Zo worden steeds meer digitale diensten door verstrekkers van cloudtechnologie geleverd. Dit creëert nieuwe risico’s: uitval van functionaliteit bij verstoring, en verlies van controle en zeggenschap over data en dataverwerking.
Ook voor de (verdere) ontwikkeling en implementatie van nieuwe technologieën als machine learning, kwantumcomputing, satelliet- en 5G-netwerken geldt dat grote buitenlandse bedrijven vooroplopen. Nederland en de EU dreigen daardoor nog sterker afhankelijk te worden van buitenlandse partijen.
Verhoging cyberweerbaarheid met nieuwe technologie
Nieuwe technologieën als machine learning, post-kwantumcryptografie, LiFi, kwantumcommunicatie, 5G-netwerken en gedistribueerde systemen bieden kansen om de cyberweerbaarheid te verhogen. Zo maakt machine learning het naar verwachting mogelijk om automatisch kwetsbaarheden in software op te sporen en te herstellen. En post-kwantumcryptografie moet dataversleuteling mogelijk maken die bestand is tegen aanvallen waarbij gebruik wordt gemaakt van de rekenkracht van een kwantumcomputer. Deze technologieën zijn nog wel in ontwikkeling en worden nog maar beperkt toegepast.
Gebruik van automatische detectie en herstel van kwetsbaarheden of van post-kwantumcryptografie is overigens niet alleen een kans, maar ook een noodzaak. Zo zal, voordat de kwantumcomputer het mogelijk maakt om bestaande vormen van encryptie te breken, een grootschalige migratie naar post-kwantumcryptografie moeten hebben plaatsgevonden, om zeker te zijn van de veiligheid van data.
Nieuwe technologieën scheppen nieuwe kwetsbaarheden
Nieuwe technologische ontwikkelingen scheppen ook nieuwe kwetsbaarheden. Zo vergemakkelijkt machine learning het uitvoeren van cyberaanvallen, doordat bestaande kwetsbaarheden automatisch en op grote schaal kunnen worden ontdekt en uitgebuit. Nieuwe technologieën kunnen ook een bron zijn van nieuwe kwetsbaarheden. Zo kan machine learning worden ingezet voor de manipulatie van beeldmateriaal (deep fakes). Bovendien hebben nieuwe technologieën eigen kwetsbaarheden. Zo is machine learning gevoelig voor datavervuiling; kwaadwillende partijen kunnen die kwetsbaarheid misbruiken door een machine learning-systeem met opzet te voeden met verkeerde data.
Verhoging cyberweerbaarheid met bestaande technologie
Het heeft ook maar beperkt zin om in te zetten op nieuwe technologieën als niet tegelijkertijd op grotere schaal gebruik wordt gemaakt van reeds voorhanden zijnde technologieën om de cyberweerbaarheid te verhogen. Zo valt er nog veel winst te halen met het nemen van basisveiligheidsmaatregelen (sterke wachtwoorden, 2-factor-authenticatie), encryptie, het gebruik van Privacy Enhancing Technologies (PETs), opendatastandaarden, open source software en veiligere communicatieprotocollen.
Voorwaarden voor benutten technologische kansen
Voor het benutten van de kansen die bestaande en nieuwe technologieën bieden om de cyberweerbaarheid te verhogen, moet aan een aantal voorwaarden zijn voldaan. Allereerst veronderstelt de inzet van maatregelen om de cyberweerbaarheid te verhogen een adequate risicoanalyse, op bestuursniveau, van data en processen die voor een organisatie kritiek zijn: welke ‘kroonjuwelen’ behoeven maximale beveiliging; welke risico’s zijn acceptabel?
Daarnaast kan de overheid als grote afnemer van digitale producten en diensten een belangrijke voorbeeldfunctie vervullen, bijvoorbeeld door breed PETs toe te passen. Bovendien kan de overheid met behulp van wetgeving, certificering en standaardisatie leveranciers stimuleren om beter beveiligde digitale producten en diensten op de markt te brengen. De Nederlandse overheid – of: de EU – zou zich nadrukkelijk moeten mengen in de besluitvorming over internationale standaarden, die van groot belang zijn voor internationale maatregelen op het gebied van cyberweerbaarheid.
Versterken van digitale autonomie
Voor het tegengaan van de risico’s die samenhangen met de groeiende afhankelijkheid van buitenlandse technologiebedrijven, zijn er diverse opties.
- Door standaard gebruik te maken van maatregelen als sterke encryptie, opendatastandaarden of gedistribueerde systemen, kunnen risico’s worden tegengegaan, zoals ongewenste inzage in data, vendor lock-in en Single Points of Failure.
- Een tweede optie is het stellen van strengere eisen in de inkoopvoorwaarden aan leveranciers van digitale producten en diensten. Bijvoorbeeld door van clouddienstverleners te verlangen dat opgeslagen data standaard worden versleuteld, om ongewenste inzage te voorkomen. De Rijksoverheid en de aanbieders van vitale diensten zouden hierin een leidende rol kunnen – of: moeten – spelen.
- Een derde optie om te ontsnappen aan een te grote afhankelijkheid van buitenlandse partijen, is door meer eigen IT-bedrijvigheid in Nederland en Europa te creëren.
Stimuleren innovatieklimaat
De laatste optie veronderstelt een daadkrachtiger kennis- en innovatiebeleid, met meer focus in de Nederlandse Cyber Security Research Agenda (NCSRA) van de Rijksoverheid. Ook is een gunstiger innovatieklimaat nodig. De overheid kan bijvoorbeeld aanbestedingsprocedures aantrekkelijker maken voor innovatieve startups. De overheid en aanbieders van vitale diensten zouden zich daarnaast sterker kunnen opstellen als launching customer. De vooraanstaande, Nederlandse kennispositie op het gebied van post-kwantumcryptografie biedt ook kansen om eigen IT-bedrijvigheid te ontwikkelen. Zo kunnen producten en diensten worden ontwikkeld om de migratie naar kwantumbestendige versleuteling te ondersteunen.
Een extra reden om in ieder geval een minimum aan eigen IT-bedrijvigheid te ontwikkelen, is de behoefte aan maximale beveiliging van ‘kroonjuwelen’ als staats- en bedrijfsgeheimen – bijvoorbeeld door gebruik te maken van sterke vormen van post-kwantumcryptografie. De Rijksoverheid en aanbieders van vitale diensten moeten daarvoor producten en diensten kunnen afnemen van vertrouwde marktpartijen, die belangrijke waarden als privacy en autonomie onderschrijven.
Benutten kansen post-kwantumcryptografie en machine learning
De overheid kan op diverse manieren de toepassing van nieuwe technologieën als machine learning en post-kwantumcryptografie ondersteunen. Daarvoor is het nodig te blijven investeren in de kennisontwikkeling op deze gebieden. Daarnaast moet de samenwerking worden gefaciliteerd tussen kennisinstellingen en organisaties die werken aan de ontwikkeling van innovatieve oplossingen voor vraagstukken op het gebied van cyberweerbaarheid. Organisaties die niet over eigen onderzoekscapaciteit beschikken, en aangewezen zijn op het aanbod van marktpartijen, moeten desgewenst inhoudelijk worden ondersteund bij de beoordeling van een passend marktaanbod.
Succesvolle inzet van nieuwe technologie vereist beschikbare expertise
Het kunnen benutten van de kansen van bestaande en nieuwe technologieën voor verhoging van cyberweerbaarheid vereist de benodigde capaciteit en expertise. Vanwege het chronische tekort aan experts op dit gebied, is het nodig meer te investeren in IT-opleidingen.