jaargang 11 | nummer 6 | december 2013 nationale veiligheid en … · 2014. 1. 9. · periode april...

56
Magazine nationale veiligheid en crisisbeheersing jaargang 11 | nummer 6 | december 2013 Thema: Cyber security Veiligheid en de Grondwet Mondiale strategie voor terrorismebestrijding onmogelijk Wie heeſt de leiding bij voedselbesmeing?

Transcript of jaargang 11 | nummer 6 | december 2013 nationale veiligheid en … · 2014. 1. 9. · periode april...

  • Magazine

    nationale veiligheid en crisisbeheersing

    jaargang 11 | nummer 6 | december 2013

    Thema: Cyber securityVeiligheid en de GrondwetMondiale strategie voor terrorismebestrijding onmogelijkWie heeft de leiding bij voedselbesmetting?

  • InhoudHet Magazine nationale veiligheid en crisisbeheersing is een tweemaandelijkse uitgave van de Nationaal Coördinator Terrorisme-bestrijding en Veiligheid van het Ministerie van Veiligheid en Justitie. Het blad informeert, signaleert en biedt een platform aan bestuurders en professionals over beleidsontwikkeling, innovatie, uitvoering en evaluatie ten aanzien van nationale veiligheid en crisisbeheersing. De uitgever is het niet noodzakelijkerwijs eens met de inhoud van gepubliceerde bijdragen.De verantwoordelijkheid en aansprakelijkheid voor de inhoud van de artikelen berust bij de auteurs.

    Magazine nationale veiligheid en crisisbeheersing december 20132

    THEMA: CYBER SECURITY

    03 | Van bewust naar bekwaam (voorwoord Dick Schoof, NCTV)04 | Een beeld zegt meer dan duizend woorden06 | De Nationale Cyber Security Strategie 209 | AIVD en MIVD starten Joint Sigint Cyber Unit10 | Cyber security onderzoek12 | ICT-crisisbeheersing: nieuwe loot aan de stam binnen de NCTV14 | “We hebben hackers nodig”16 | Op het hoogste niveau aandacht voor Cyber Resilience17 | Digitale veiligheid krijgt topprioriteit 56 | Vier vragen aan: Ben Voorhorst, lid Raad van Bestuur TenneT, lid Cyber Security Raad namens de vitale infrastructuur

    OVERIGE ONDERWERPEN

    18 | Veiligheid als sociaal contract (Beatrice de Graaf en Marjolein van Asselt)21 | Veiligheid moet in Grondwet (Erwin Muller)22 | Waarom een grondrecht op veiligheid onwenselijk is (Rik Peeters)24 | De onmogelijkheid van een mondiale strategie voor terrorismebestrijding27 | Twitter aan de basis van aardbevingsalarm28 | Verbeteringen veiligheidsregio’s binnen huidige stelsel30 | Wie heeft de leiding in geval van voedselbesmetting?32 | Welke risico’s vragen onze aandacht?34 | Kabinet versterkt capaciteiten ten behoeve van de nationale veiligheid?35 | Ingrijpende gebeurtenissen, bestuurlijke ervaringen bij crises met lokale impact36 | Een veilige nucleaire top voor een veilige wereld38 | Nuchter omgaan met risico’s of Bewust omgaan met veiligheid?42 | ISADE43 | XXplosive 201344 | Zelfredzaamheid, veiligheid en de Doe-democratie45 | Toolbox extremisme46 | Crisismanagement en de EU – een boekbespreking48 | Engagement bezorgde burgers bij plaatsen zendmasten voor mobiele telefonie50 | Praktische BHV-voorbeelden gebundeld51 | Vijfde druk Bestuurlijke Netwerkkaarten Crisisbeheersing verschenen52 | Twintig jaar na dato: overstromingscultuur in het Maasgebied54 | [Veilig] door innovatie

  • Magazine nationale veiligheid en crisisbeheersing december 2013 3

    bekwaamVan bewust naar

    Sinds maart dit jaar mag ik de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) leiden. Één organisatie op rijksniveau verantwoordelijk voor terrorismebestrijding, nationale veiligheid, crisisbeheersing en cyber security. Al gauw werd duidelijk dat het digitale domein steeds meer aandacht opeist. Nederlanders zijn ‘digitale dieren’: vrijwel nergens is internetbankieren zo populair. In 2012 winkelden tien miljoen mensen online. En we hebben het op één na hoogste aantal computers per huishouden (94%). En ook de overheid, bedrijven en vitale sectoren als energie-, transport- en informatievoorzieningen zijn ervan afhankelijk. Alles is verbonden aan het internet. Alles is verbonden met elkaar. Daar profiteren we dag in dag uit van en het schept enorme kansen als belangrijke drijfveer voor innovatie en economische groei.

    Tegelijkertijd zijn onze samenleving en economie kwetsbaar door de toenemende afhankelijkheid van ICT. Halverwege dit jaar verscheen het derde Cyber securitybeeld Nederland (CSBN-3). Hoofdboodschap daarvan is dat de kwetsbaarheid van ICT onverminderd hoog blijft. De verschillende DDoS-aanvallen dit jaar hebben dat nadruk-kelijk zichtbaar gemaakt. Voor de overheid en banken relevante cyberdreigingen, voor de burger overlast. Bij DDoS-aanvallen ging het om verminderde beschikbaarheid, maar wat doen we bij grootschalige digitale aan-vallen die in de vitale sectoren leiden tot ontwrichting van de dienstverlening? Een nieuwe trend uit het CSBN-3 is de ontwik-keling van Cybercrime-as-a-Service. Cyber crime op bestelling dus. Dat vraagt om gepaste antwoorden. Zijn we al klaar voor Cyber security-as-a-Service?

    Omdat alles met elkaar verbonden is, vraagt dit beleidsterrein om een brede benadering als antwoord op de complexiteit en dyna-miek van cyber security. De NCTV werkt daarbij aan versterking en bundeling van krachten van burgers, bedrijfsleven en overheid. Nationaal en internationaal.

    Op de rand van 2014 is het goed om even terug te blikken. 2013 was dan ook een druk cyberjaar. De Tweede Nationale Cyber Security Strategie is onlangs verschenen. Erg snel na de vorige (2011), zult u misschien

    denken. Ja, maar de ontwikkelingen in de digitale wereld gaan razendsnel. Het is van belang alert te blijven en in te spelen op die nieuwe ontwikkelingen die tenslotte ook weer nieuwe bedreigingen kunnen inhou-den. De Cyber Security Raad – vertegen-woordigers van bedrijfsleven, overheid en wetenschap – adviseerde over deze strate-gie. Met als visie een balans tussen veilig-heid, vrijheid en maatschappelijke groei. De ambitie die hieruit spreekt is hoog: Nederland leidend maken op het gebied van cyber security. Hoe we dat gaan doen? In de Strategie staan tien speerpunten benoemd. Bijvoorbeeld investeren in ICT-onderwijs, onderzoek, versterkte aanpak cyberspionage en versterking civiel-militaire samenwer-king. U leest er meer over in dit magazine. Dat kunnen we uiteraard niet alleen als overheid. Dat doen we samen met onze private partners. Waarbij we een stap verder gaan dan de vorige strategie. We gaan van publiek-private samenwerking naar privaat-publieke participatie. We mogen niet alleen meer van elkaar verwachten, maar elkaar ook aanspreken op het behalen van concrete resultaten.

    Aandacht voor cyber security blijft hard nodig, maar is niet vanzelfsprekend. Het heeft iets vreemds. Fysieke veiligheid krijgt veel aandacht van overheid en bedrijfsleven. Bij een grote brand of een vliegtuigongeluk kunnen mensen zich een beeld vormen.

    Maar van de onzichtbare en ongrijpbare risico’s die we lopen in het digitale domein zijn we ons soms onvoldoende bewust. “Dat is zoiets als op vakantie gaan en de voordeur zorgvuldig afsluiten met drie sloten, terwijl je de achterdeur gewoon op een kier laat staan”, aldus minister Opstelten van Veilig-heid en Justitie onlangs bij de start van de bewustwordingscampagne Alert Online.We weten inmiddels meer van Cyber secu-rity. We zijn van “onbewust naar bewust” gegaan, zo bleek uit het recente Awareness onderzoek onder gemeenten, bedrijven, rijksoverheid en burgers. Nu is het zaak om niet alleen te weten, maar ook te handelen. “Van bewust naar bekwaam”. De recente campagne Alert Online helpt daarbij. Met praktische tips aan bedrijven, overheid en burgers voor een betere “cyberhygiëne”.

    2014 is het jaar dat we verder uitvoering geven aan de Cyber Strategie. Van bewust naar bekwaam. Dat betekent dat we bewustheid moeten vertalen naar actie, naar doen dus. Eén van die acties die ik u al met gepaste trots wil noemen is het starten van de voorbereidingen voor een wereldtop over cyber security die in 2015 in Nederland wordt gehouden. Daarmee geven we invul-ling aan onze ambitie: Nederland leidend laten zijn op het gebied van cyber security.

    Ik wens u heel bewust een bekwaam 2014. En veel leesplezier in dit offline magazine.

    Cyber security

    Dick Schoof, Nationaal Coördinator Terrorisme-bestrijding en Veiligheid

  • Cyber security

    Koen Sandbrink, Nationaal Cyber Security Centrum, NCTV

    duizend woordenEen beeld zegt meer dan

    Een beeldIn juni 2013 werd het derde CSBN voltooid. Het CSBN is niet alleen een belofte van de Minister van Veiligheid en Justitie aan de Tweede Kamer, het vervult ook een behoefte. Organisaties in heel Nederland willen hun belangen beschermen tegen de dreigingen die er bestaan. Daarvoor hebben zij inzicht nodig in de dreigingen, en om maatregelen te kunnen rechtvaardi-gen willen zij zichzelf kunnen meten met de geldende maatstaven voor weerbaarheid. Het CSBN speelt in op die behoefte en hanteert daarbij een driehoekig model: de belangen, dreigingen en weerbaarheid worden tegenover elkaar gesteld, en middenin de driehoek bevinden zich de manifestaties.

    Maar niet alle relevante informatie laat zich ophangen aan die driehoek. De wereld van ICT is continu in beweging en cyber security evolueert navenant. De nieuwste trends en technieken verdienen aparte aandacht en krijgen die ook in de vorm van verdiepings-katernen. Zo is er een katern over denial-of-service - (DDoS-)aanvallen, zoals die het afgelopen jaar herhaal-delijk in het nieuws zijn geweest.Toch speelt er beduidend meer dan alleen de grote incidenten waar de media verslag van doen. Uit eigen ervaringen, maar ook talloze externe bronnen wordt een zo nauwkeurig mogelijke analyse gegeven van de stand van zaken. De belangrijkste conclusie is dat de afhankelijkheid van ICT steeds verder toeneemt, terwijl de weerbaarheid daar niet gelijk mee opgaat. Maar voordat die conclusie getrokken is, is er een aantal uitdagingen te overwinnen.

    De cijfersDe grootste uitdaging die zich ieder jaar herhaalt bij het samenstellen van het CSBN is het verzamelen van cijfermateriaal. Het NCSC onderhoudt hiervoor contact met een groot aantal partijen. De academische wereld, brancheorganisaties en de antivirusindustrie hebben

    De totstandkoming van het Cyber Security Beeld Nederland

    Magazine nationale veiligheid en crisisbeheersing december 20134

    Het Nationaal Cyber Security Centrum (NCSC) werkt samen met publieke en private partijen aan het verbeteren van de digitale weerbaarheid van Nederland. Om te weten waar die verbetering nodig is, is het belangrijk een beeld te hebben van de toestand van cyber security in Nederland. Daartoe geeft het NCSC jaarlijks het Cyber securitybeeld Nederland (CSBN) uit. Dat is geen sinecure; cyber security is niet zo eenvoudig meetbaar te maken. Hoe komt het CSBN ieder jaar tot stand? En hoe zorgt het NCSC ervoor dat het beeld gedragen wordt door andere deskundigen in Nederland?

  • Magazine nationale veiligheid en crisisbeheersing december 2013 5

    Belangrijkste bevindingen Cyber securitybeeld Nederland 3

    1. De afhankelijkheid van ICT neemt toe door ontwikkelingen als cloudcomputing en alles wordt met het internet verbonden.

    2. Digitale spionage en cybercriminaliteit blijven de grootste dreigingen voor overheid en bedrijfsleven.3. Hulpmiddelen voor criminelen worden steeds professioneler en beter beschikbaar binnen een criminele

    cyberdienstensector.4. Malware weet antivirussoftware steeds beter te omzeilen; computers raken besmet met ransomware en maken

    deel uit van botnets.5. ICT-producten blijven onverminderd kwetsbaar; ze kunnen gehackt worden of met malware besmet raken.6. Gebruikers krijgen steeds meer verantwoordelijkheid, maar weinig mogelijkheden om hun ICT veilig te

    beheren.7. Er zijn diverse publieke en private initiatieven om de weerbaarheid te vergroten.8. Verstoringen in ICT zijn nadrukkelijk zichtbaar geweest, bijvoorbeeld door DDoS-aanvallen.9. Veel organisaties hebben basismaatregelen zoals patchmanagement nog steeds niet op orde.10. De dynamische wereld van cyber security vereist een nieuwe aanpak.

    gegevens die van toegevoegde waarde kunnen zijn voor het CSBN.Niet alles is echter bruikbaar. Over de economische schade als gevolg van een gebrek aan cyber security bijvoorbeeld is al veel gepubliceerd, maar de schattin-gen lopen uiteen van enkele tientallen miljoenen tot vele miljarden euro per jaar, terwijl dergelijke onder-zoeken soms een solide fundament ontberen. Aan het NCSC de taak om het kaf van het koren te scheiden.

    Wanneer de bronnen zijn geselecteerd en alle gegevens zijn verzameld, kan het beeld worden samengesteld. Ook daarbij houdt het NCSC contact met de vele publieke en private partijen waarmee het structureel overlegt. Dit heeft een tweeledig doel. Door partijen enerzijds vroeg in het proces te betrekken kunnen zij hun visie geven op de actualiteit, wat de kwaliteit van het document ten goede komt. Anderzijds gaan zij zich sterker betrokken voelen bij de boodschap, wat ervoor zorgt dat ten tijde van de publicatie, zij de conclusies ook onderschrijven.

    ManifestatiesDe derde editie van het CSBN rapporteert over de periode april 2012 tot en met maart 2013. Relevante ontwikkelingen tot en met mei 2013 zijn ook meegeno-men, daarbij hoofdzakelijk doelend op de media-aan-dacht rondom verscheidene DDoS-aanvallen in april. Dergelijke gebeurtenissen manifesteren zich wanneer er een dreiging bestaat waartegen de weerbaarheid onvoldoende is. Het NCSC analyseert de laatste trends om juist die zwakke plekken te kunnen benoemen.

    De trend dat steeds meer apparaten verbinding maken met het internet – niet alleen telefoons maar ook auto’s en koffiezetapparaten – wordt ook wel hyperconnecti-viteit genoemd, en leidt ertoe dat er ook steeds meer plaatsen zijn waarop de samenleving kwetsbaar is voor cyberaanvallen. De gevolgen van verstoring van dergelijke systemen zijn niet altijd in te schatten: het kan beperkt blijven tot enig ongemak, of organisaties geheel platleggen. Maar wie verantwoordelijk is voor de beveiliging ervan is vaak niet van tevoren duidelijk.

    En dan is er ook nog de verandering in het dreigings-landschap. Computervirussen zijn geen eenvoudige ziekmakers meer, ze proberen onopvallend te blijven om de besmette computer te misbruiken voor het versturen van spam-e-mail, of blokkeren de toegang en eisen losgeld. Gebruikers, bedrijven en overheden staan voor steeds nieuwe uitdagingen en moeten daarop toebereid zijn. Met het CSBN hoopt het NCSC het daarvoor zo broodnodige inzicht te kunnen bieden.

    Het volledige Cyber securitybeeld Nederland 3 is te downloaden via www.ncsc.nl.

  • Cyber security

    David van Duren en Esther van Beurden, Nationaal Coördinator Terrorismebestrijding en Veiligheid

    De Nationale Cyber security Strategie 2: Nederland zet in op wereldtop met cyber security

    daarbij dat verantwoordelijkheden zoals die in het fysieke domein gelden ook in het digitale domein genomen moeten worden.

    - De noodzaak voor een nieuw actieprogramma.

    Het proces van de totstandkoming van de NCSS1 is in december 2012 gestart met een kerngroep van vertegen-woordigers van de meest betrokken ministeries, Nederland-ICT, VNO-NCW en het CIO-platform. Deze kerngroep heeft de bouwstenen aangeleverd voor de NCSS2 die vervolgens zijn voorgelegd aan zo’n 130 partijen (publieke en private partijen, kennisinstellin-gen en maatschappelijke organisaties) en met behulp van onder andere twee brede werksessies meer handen en voeten zijn gegeven. Nadrukkelijk is in het proces de dialoog met de bredere ICT-community gevoerd. Op verzoek van het kabinet heeft daarnaast de Cyber Security Raad, bestaande uit vertegenwoordigers van publieke en private partijen en wetenschap, geadviseerd over de koers van de nieuwe strategie. Met de NCSS2 wordt ingezet op een brede kabinetsvisie op cyber-security, gericht op het verder versterken en bundelen van de krachten van betrokken publieke en private partijen, zowel nationaal als internationaal.

    Binnen Europa loopt Nederland voorop in de wijze waarop wordt ingespeeld op technologische trends en het effectief gebruik van ICT-middelen en -vaardig-heden. Nederland is een internationaal internetknoop-punt, heeft de meest competitieve internetmarkt ter wereld en één van de hoogste online gebruikers-dichtheden. Voor het goed kunnen functioneren van de Nederlandse samenleving is het waarborgen van de digitale veilig-heid en vrijheid en het behouden van een open en innovatief cyberdomein een belangrijke randvoor-waarde. Daarom is begin 2011 de eerste Nationale Cyber security Strategie (NCSS1) verschenen. Doel van de NCSS1 was om een integrale cyber security-aanpak te realiseren met als kern publiek-private samenwerking. De NCSS1 was voornamelijk een actieprogramma.

    Eind 2012 heeft de overheid besloten om tot een ‘update’ van de nationale cyber security strategie te komen. Hieronder de belangrijkste redenen hiervoor.- Een steeds verdere verbreding van de context van

    cyber security. Cyber security is steeds meer verweven met thema’s op het terrein van cyber space, zoals mensenrechten, internetvrijheid, internet regel-geving, privacy, innovatie en maatschappelijke groei (zowel de economische als sociale voordelen die digitalisering biedt).

    - Een steeds groter wordende internationalisering van cyber security. Op het niveau van de VN, NAVO en de EU zijn er steeds meer initiatieven die werken aan normen, regelgeving en wetgeving op het terrein van cyber security. In het bijzonder is voor Nederland daarbij belangrijk de EU cyber security strategie en richtlijn.

    - Het verder invulling geven aan rollen en verantwoor-delijkheden van de overheid, bedrijfsleven en burgers op het terrein van cyber security. Het uitgangspunt is

    Op 28 oktober 2013 bij de start van de Alert Onlinecampagne, lanceerde Minister Ivo Opstelten van Veiligheid en Justitie de Nationale Cyber security Strategie 2 (NCSS2). Nu structuren staan zoals het Nationaal Cyber Security Centrum, is het zaak om verder te bouwen aan netwerken en strategische coalities (publiek – privaat, nationaal – internationaal). Nederland zet samen met partners in op een veilig digitaal domein waarin kansen van digitalisering worden benut, dreigingen het hoofd worden geboden en fundamentele rechten beschermd. Daarbij zal er worden gezocht naar een goede wisselwerking tussen veiligheid, vrijheid en maatschappelijke groei met de ambitie dat Nederland tot de wereldtop behoort op het terrein van cyber security. Bij de totstandkoming van de NCSS2 zijn circa 130 publieke en private partijen betrokken.

    Magazine nationale veiligheid en crisisbeheersing december 20136

  • Magazine nationale veiligheid en crisisbeheersing december 2013 7

    Facts & figures- In 2012 telde Nederland 12,3 miljoen internet- gebruikers.- Nederland heeft ‘s werelds meest competitieve

    internetmarkt en het op één na hoogste percentage computers per huishouden (94% van de huis-

    houdens).- Nederlanders lopen voorop in het gebruik van

    innovatieve digitale diensten: 95% procent van de Nederlandse jongeren gebruikt sociale media; Nederland is koploper op het gebruik van internet-bankieren in Europa en in 2012 winkelden circa 10 miljoen Nederlanders online.

    - De omzet van de Nederlandse ICT-sector in Nederland was 29,8 miljard euro in 2011 (5% van

    het BBP).- De ICT-sector is de meest innovatieve sector van

    Nederland. Meer dan twee/derde van de ICT-bedrijven had onderzoeks- of innovatieve activi-teiten in de periode 2008–2010.

    - Nederland functioneert als Digital Gateway to Europe. Nederland staat samen met Duitsland en het Verenigd Koninkrijk in voor 18% van het wereldwijde internetverkeer door de aanwezigheid van drie grote internetknooppunten (Amsterdam, Berlijn en Londen).

    De NCSS2 gaat achtereenvolgens in op de kansen, dreigingen en uitdagingen in het digitale domein en beschrijft hoe Nederland hiermee wil omgaan. Deze visie is vertaald in een aanpak met daarbij een actie-programma voor de periode 2014-2016. Hieronder het kader met facts en figures.

    In de afgelopen jaren is meer zicht gekomen op de dreigingen en kwetsbaarheden in het cyber domein. Volgens het Cyber Security Beeld Nederland 3 gaat de grootste dreiging uit van staten en van criminelen. Staten vormen vooral een dreiging in de vorm van diefstal van vertrouwelijke of concurrentiegevoelige informatie (cyberspionage), criminelen richten zich met name op digitale fraude en diefstal van informatie. Door de toegenomen complexiteit, afhankelijkheid en kwetsbaarheid van ICT-gebaseerde producten en diensten is onze digitale weerbaarheid tegen deze, en andere cyberdreigingen nog onvoldoende.Naast deze dreigingen hebben we ook te maken met nieuwe ontwikkelingen in het cyberdomein. Zo zijn bijvoorbeeld grote internationale private spelers een belangrijke factor geworden bij het bepalen van de spelregels in het cyberdomein en is er een grotere verwevenheid van de civiele en militaire domeinen.

    Daarnaast stevenen we af op ‘het internet der dingen’ (alles is verbonden aan het internet) en hyperconnecti-viteit (alles wordt met elkaar verbonden). Daarbij geldt een steeds toenemende hoeveelheid in digitale vorm beschikbare data en de interesse in het verkrijgen van die data.

    Deze ontwikkelingen maken een volgende stap in de aanpak van cyber security nodig. Dit op basis van de volgende visie.Nederland zet samen met zijn internationale partners in op een veilig en open cyberdomein, waarin de kansen die digitalisering onze samenleving biedt volop worden benut, dreigingen het hoofd worden geboden en fundamentele rechten en waarden worden beschermd. De NCSS2 geeft daartoe de aanzet voor een nieuw governancemodel. Het uitgangspunt is daarbij dat verantwoordelijkheden zoals die in het fysieke domein gelden ook in het digitale domein genomen moeten worden. (Zelf )regulering, transparantie en kennis-ontwikkeling zijn belangrijke sturingsmechanismen om de interactie tussen de betrokken partijen overheid, bedrijfsleven en burger te laten leiden tot een hoger niveau van cyber security. Deze concepten zijn in verschillende vormen verweven in de strategie.De overheid zal een nadrukkelijker rol gaan spelen in het cyberdomein. Enerzijds door zelf te investeren in de veiligheid van de eigen netwerken en diensten. Anderzijds door partijen bij elkaar te brengen en beschermend op te treden als de veiligheid van bedrijven en burgers of de privacy van die laatste wordt bedreigd. Waar nodig zal de overheid kader- en normstellend optreden, bijvoorbeeld waar het gaat om veiligheidsvereisten aan vitale diensten en processen. Van burgers wordt een zekere mate van cyberhygiëne (het toepassen van basis-veiligheidsvereisten) en eigen verantwoordelijkheid verwacht. De overheid faciliteert dit samen met het bedrijfsleven door het verbeteren van de digitale vaardigheden en het benadrukken van de zorgplicht van bedrijven en overheden richting hun klanten. Ook ICT-producten en -diensten moeten veilig zijn. Bedrijven en overheden moeten aanspreekbaar zijn op hun verantwoordelijkheid. Ook moeten zij transparant zijn over wat ze in het kader van cyber security aan maatregelen nemen en hoe ze omgaan met de gegevens van gebruikers. Het kabinet stelt zich ten doel dat burgers en bedrijven in 2017 hun zaken met de overheid digitaal en veilig kunnen afhandelen.De geschetste integrale benadering (met betrokkenheid van alle partijen), gericht op de samenhang tussen veiligheid, vrijheid en maatschappelijke groei zal Nederland ook internationaal uitdragen.

  • Cyber security

    Magazine nationale veiligheid en crisisbeheersing december 20138

    1 Voor bedrijven, overheid en burger worden de volgende rollen/verantwoordelijkheden onderscheiden.

    - De interveniërende overheid: faciliteren, beschermen en sturen.

    - De bekwame burger: cyberhygiëne en eigen verantwoordelijkheid.

    - Verantwoordelijke bedrijven: zorgplicht en aanspreekbaar op verantwoordelijkheid.2 Niet alle partijen in de Nederlandse samenleving zijn zich voldoende bewust van cyber security. Aandacht hiervoor blijft nodig.

    NCSS1

    Publiek-Privaat partnership

    Focus op structuren

    Benoemen multi-stakeholder-model

    Capaciteitsopbouw nationaal gericht

    Generieke benadering: breed inzetten op weerstand verhogende maatregelen

    Uitgangspunten benoemen

    Van onbewust naar bewust

    NCSS2

    Privaat-Publieke participatie

    Focus op netwerken/strategische coalities

    Verduidelijken onderlinge verhoudingen stakeholders1

    Capaciteitsopbouw zowel nationaal als internationaal gericht

    Risico gebaseerde benadering: balans tussen bescherming belangen, dreiging belangen en geaccepteerd risico voor de samenleving

    (Beleids)visie weergeven

    Van bewust naar bekwaam2

    In bovenstaande tabel wordt in hoofdlijnen de stap weergegeven die met de NCSS2 wordt gemaakt.Om bovenstaande beweging mogelijk te maken omvat de NCSS2 ook een concreet actieprogramma 2014-2016. Belangrijke prioriteiten binnen het actieprogramma zijn als volgt.

    1. Inzet op vitaalIn het kader van de aanpak voor de bescherming van de vitale infrastructuur zal de overheid samen met vitale partijen in beeld brengen welke ICT-afhankelijke systemen, diensten en processen vitaal zijn. Daarnaast zal er een verkenning worden uitgevoerd in hoeverre het realiseren van een gescheiden ICT-netwerk voor (publieke en private) vitale processen op technisch en organisatorisch vlak mogelijk en wenselijk is.

    2. Versterking civiel-militaire samenwerkingDe mogelijkheden worden uitgewerkt om digitale capaciteiten van Defensie nationaal in te zetten bij het voorkomen en afweren van aanvallen op de civiele infrastructuur. Kernvraag daarbij is hoe kennis en expertise optimaal gedeeld kunnen worden tussen civiele partijen en Defensie.

    3. Gedragen standaarden en security en privacy by designDe overheid zal samen met private partners inzetten op het ontwikkelen van standaarden die gebruikt worden om de veiligheid van ICT-producten en -diensten te verbeteren en privacy te beschermen.

    4. Cyberdiplomatie: kennisknooppunt voor conflictpreventieNederland zet in op de ontwikkeling van een kennis-knooppunt op het gebied van internationaal recht en cybersecurity met als doel het bevorderen van het vreedzaam gebruik van het cyberdomein.

    5. Taskforce cybersecurity onderwijsOm de pool van cybersecurity experts te vergroten en de cybersecurity vaardigheden van gebruikers te versterken zullen bedrijfsleven en overheid de handen ineenslaan voor een beter aanbod van ICT-onderwijs binnen zowel het lager, hoger als professioneel onderwijs. Er zal een PPS taskforce Cybersecurity Onderwijs worden inge-steld, die zich richt op advisering over het cybersecurity onderwijsaanbod.

    De ambitie van de regering en Nederland op het terrein van cybersecurity is groot. Deze ambitie weerspiegelt het belang en de kansen van ICT voor onze samenleving en onze economie, evenals de huidige dreigingen en risico’s. Een gezamenlijke inspanning van alle betrok-kenen is nodig, waarbij eenieder zijn eigen verantwoor-delijkheid moet nemen. Daarom zal ook de komende periode intensief samengewerkt blijven worden met alle betrokken partijen om samen Nederland één van de veiligste, vrije en innovatieve digitale samenlevingen ter wereld te maken.

    De NCSS2 en het Cybersecuritybeeld Nederland 3 zijn te vinden op: www.nctv.nl/onderwerpen/cybersecurity/index.aspx

  • Cyber security

    AIVD / MIVD

    Joint Sigint Cyber UnitAIVD en MIVD starten

    wetgever bijzondere bevoegdheden gekregen. Wat de I&V diensten precies wel en niet kunnen, mogen en moeten staat nauwkeurig beschreven in de Wet op de inlichtingen- en veiligheidsdiensten 2002 (Wiv 2002). De Commissie van Toezicht betreffende de Inlichtingen- en Veiligheids-diensten (CTIVD) houdt toezicht op de rechtmatige uitvoering van de Sigint activiteiten.

    Cyber is binnen de I&V diensten een verzamelnaam voor verschillende activi-teiten. Van het in kaart brengen van het internetlandschap in een (nieuw) missie-gebied, het Nationaal Cyber Security Center informeren over een gevaarlijk computer-virus dat in aankomst is tot het hacken van een website van terroristen die de nationale veiligheid in gevaar dreigen te brengen. De specialisten van de JSCU werken hiertoe nauw samen met bijvoorbeeld het Nationaal Cyber Security Center (NCSC) en het Defensie Cyber Commando (DCC) dat onder verantwoordelijkheid van de Commandant der Strijdkrachten wordt opgericht. Op verzoek van het DCC kan de JSCU ook meewerken aan het uitvoeren van offen-sieve cyberoperaties.

    Met het opzetten van de JSCU intensiveren de MIVD en AIVD hun bestaande Sigint samenwerking via de Nationale Sigint

    Organisatie (NSO). Deze samenwerking wordt met de oprichting van de JSCU uitgebreid met alle Sigint activiteiten en met de cyberspecialisten van beide I&V diensten. De NSO wordt in zijn geheel binnen de JSCU opgenomen. Bij de start van de JSCU werken bij de eenheid enkele honderden medewerkers. Het gaat om medewerkers die formeel in dienst blijven van het Ministerie van Defensie (MIVD) en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (AIVD), maar die voor de gezamenlijke eenheid gaan werken. Het grootste deel van de medewerkers van de JSCU wordt gevestigd in het AIVD kantoor in Zoetermeer. Daarnaast zijn JSCU mede-werkers werkzaam in Den Haag en op de huidige NSO locaties in Burum en het Gelderse Eibergen.

    In de wereld van de I&V diensten en voor de inzet van de krijgsmacht is telecommuni-catie van oudsher een belangrijke bron van informatie. Dit belang is in de loop der tijd alleen maar toegenomen, omdat personen steeds meer en gemakkelijker gebruik maken van (mobiele) telecommunicatie- en internetdiensten. De JSCU onderschept, binnen de grenzen van de wet, telecommu-nicatie van personen en organisaties die een bedreiging vormen voor de nationale veiligheid van Nederland en het Koninkrijk en voor militaire missies van de krijgs-macht. Denk hierbij aan tegenstanders in missiegebieden, spionnen, terroristen en extremistische organisaties. Voor deze taken houdt de JSCU zich bezig met Signals Intellingence en Cyber.

    Signals Intellingence (Sigint) gaat over het verzamelen van inlichtingen door het onderscheppen van telecommunicatie via de ether, bijvoorbeeld via radiover-bindingen en satellieten. Vooral in huidige en potentiële missiegebieden gaat veel communicatie nog gewoon door de ether. Hoewel in Nederland steeds meer commu-nicatie via de kabel verloopt, is het de I&V diensten alleen toegestaan hiervan gebruik te maken nadat hier vooraf ministeriële toestemming voor is gegeven. Voor het verzamelen van inlichtingen uit telecom-municatie hebben de AIVD en MIVD van de

    De Nederlandse inlichtingen- en veiligheidsdiensten MIVD en AIVD werken aan het oprichten van een gezamen-lijke eenheid op het gebied van Signals Intelligence (Sigint) en Cyber. De nieuwe eenheid is onderdeel van de beide inlichtingen- en veiligheidsdiensten (I&V diensten), wordt door de beide I&V diensten aangestuurd en luistert naar de naam Joint Sigint Cyber Unit (JSCU). Een belangrijke reden voor het intensiveren van de samenwerking ligt in het bundelen van schaarse kennis en middelen. Doordat de technische ontwikkelingen op het gebied van Sigint en Cyber dermate snel gaan, is bundeling vanwege doelmatigheid en gevraagde investeringen niet alleen wenselijk, maar zelfs noodzakelijk. De JSCU gaat in de eerste helft van 2014 officieel van start.

    Magazine nationale veiligheid en crisisbeheersing december 2013 9

  • Magazine nationale veiligheid en crisisbeheersing december 201310

    Cyber security

    Marloes Smelter, directie Cyber Security, NCTV

    Cyber securityonderzoek

    onderzoeksgemeenschap in Nederland. Hiermee kan de agenda rekenen op een brede steun uit het onderzoeks-veld.

    De tweede tender Cyber Security is ondersteunend aan de Nationale Cyber Security Strategie en het Topsectoren-beleid. Het gaat bij deze tender om zowel fundamenteel als toegepast (R&D) onderzoek en het creëren van een kennisinfrastructuur onder wetenschappers, bedrijfs-leven en overheid. De tender moet bijdragen aan het realiseren van de volgende doelen:

    1 verbeteren van de veiligheid van, en het vertrouwen in ICT-infrastructuur en diensten;

    2 Nederland voorbereiden op de veiligheids- uitdagingen;3 stimuleren van de Nederlandse cyber security

    economie;4 hoogwaardig cyber security gehalte van onze vitale

    sectoren;5 versterken en verbreden van kennis en innovatie op

    het terrein van cyber security;6 verbinding leggen tussen onderzoeksinitiatieven op

    het gebied van cyber security.

    Voor de tender zijn twee onderzoeksprogramma’s gemaakt die een impuls geven aan zowel lange termijn/fundamenteel als korte termijn/toegepast onderzoek. Het lange termijn/fundamenteel onderzoek wordt gefinancierd door NWO en het korte termijn/toegepast onderzoek door de deelnemende departe-menten (SBIR). De geldelijke verdeling tussen beide programma’s is 50/50.

    De onderzoekprogramma’s van de tender worden onder de paraplu van de Nationale Cyber Security Research Agenda (NCSRA) uitgevoerd. Hiertoe is dit jaar een update van de onderzoeksagenda uitgebracht, de NCSRA-II1. Deze agenda is op 4 november aan een breed publiek gepresenteerd in een iPoort-sessie. Naast de NCSRA-II zijn de beleidsdoelen van de financierende departementen leidend voor de uiteindelijke thema’s van de tender.

    In de NCSRA-II staat de samenwerking tussen bedrijfs-leven en kennisinstellingen centraal. De input voor de NCSRA-II is opgesteld door ICT-innovatieplatform “Veilig Verbonden” (IIPVV) in overleg met de bredere

    In 2012 is in het interdepartementale Directeurenoverleg Cyber Security door de ministeries van VenJ, BZK, Defensie en EZ voor het eerst besloten om samen met de Nederlandse Organisatie voor Wetenschappelijk Onder-zoek (NWO) een impuls te geven aan cyber security onderzoek door een eerste gezamenlijke onderzoektender op te zetten en te financieren. De tussentijdse evaluatie van deze tender is positief gebleken en aanleiding om in 2014 een tweede tender te organiseren. Voor deze nieuwe tender zijn ook de Ministeries van Financiën en I&M aange-sloten. De ministeries en NWO hebben gezamenlijk een bedrag van € 6,4 miljoen vrijgemaakt voor een tweede tender Cyber Security.

    1 De NCSRA-II is te vinden op: http://www.iipvv.nl/sites/stw.demo.infi.nl/files/mediabank/NCSRA-II.pdf

  • Magazine nationale veiligheid en crisisbeheersing december 2013 11

    SBIR (Agentschap NL)Het korte termijn/toegepast onderzoek is gericht op de ontwikkeling van producten en diensten binnen een aantal cyber security onderzoeksthema’s en verloopt via het SBIR-instrument van Agentschap NL. De SBIR is geen subsidieregeling maar heeft de vorm van een inkooptraject. Je zou hier kunnen spreken van een innovatiecontract op projectbasis. SBIR is een open competitie voor iedereen die innovatieve (technologische) oplossingen voor maatschappelijke vraagstukken kan ontwikkelen. Het SBIR-programma is gericht op bedrijven en met name in een pre-com-merciële fase (pre-competitief en toegepast). De SBIR is al verschillende keren uitgevoerd op andere thema’s en is in 2010 geëvalueerd en positief beoordeeld. SBIR bestaat uit drie fasen. De drie fasen zijn:1 haalbaarheidsonderzoek (vergelijkbaar met

    pre-competitief onderzoek);2 toegepast onderzoek en ontwikkeling;3 marktrijp maken.

    Alleen de kosten voor de eerste fase en tweede fase worden door de overheid gefinancierd en beslaan samen 2 jaar.De SBIR-call is maandag 4 november geopend (sluiting 30 januari).

    (Meer informatie kunt u vinden op: http://www.agentschapnl.nl/subsidies-regelingen/sbir/veiligheid/sbir-cyber-security-ll)

    NWO Het strategisch lange termijn fundamenteel onder-zoek richt zich op de verdere versterking van de kennis-basis in het kader van de Nationale Cyber Security Research Agenda. Hiervoor heeft NWO de Call for Proposals Cyber Security ingericht. Met deze call kunnen onderzoeksprojecten van consortia, ingediend door een hoogleraar, universitair hoofddocent of universitair docent werkzaam aan een Nederlandse universiteit of door NWO erkend onderzoeksinstituut, voor maximaal 50% worden gefinancierd. Een onder-zoeksvoorstel moet worden opgesteld door een con-sortium van publieke- en private partijen bestaande uit een kennisinstituut en niet-kennisinstituut uit de profit sector of de non-profit sector. De NWO-call wordt 18 december geopend (sluiting 4 maart).

    (Meer informatie kunt u vinden op: http://www.nwo.nl/financiering/onze-financierings-instrumenten/ew/cyber-security/cyber-security.html)

    Het gebruik van deze twee onderzoeksprogramma’s in één tender zorgt voor een complementair karakter van de SBIR (waar het bedrijfsleven het voortouw neemt) en de NWO-call (waar de wetenschap het voortouw neemt). De gezamenlijke aanpak bij de SBIR- en NWO-call heeft een versterkend effect gehad op het bereik van de regelingen in de sector en daarmee de kansen voor innovatieontwikkeling, inclusief de ontwikkeling van een cyber security community. Dit effect draagt bij aan de doelstellingen om kennis en innovatie te versterken en te verbreden en om onderzoeksinitiatieven af te stemmen.

    Om mogelijkheden tot samenwerking in formulering en uitvoering van een onderzoeksproject te verkennen, is op 19 november jl. in het Kyocera stadion te Den Haag een Matchmaking Event Cyber Security gehouden voor maatschappelijke organisaties, bedrijfsleven en kennis-instellingen. Het vormen van sterke coalities met brede en diepgaande expertise is een belangrijke voorwaarde voor een goede kwaliteit van onderzoeksvoorstellen. Uiteindelijk doel van de bijeenkomst was om tot gezamenlijke voorstellen te komen voor de tweede tender Cyber Security.

  • Hans Oude Alink, coördinator crisisbeheersing, directie Cyber Security en NCSC; senior beleidsmedewerker Ministerie van Economisch ZakenRoeland de Koning, projectleider versterking crisisorganisatie, directie Cyber Security en NCSC; Managing Consultant Security, Capgemini Consulting

    ICT-crisisbeheersing:nieuwe loot aan de stam binnen de NCTV

    Verschillende rollen De NCTV en in het bijzonder de directeur Cyber Security (DCS) draagt zorg voor het onderwerp cyber security. Tijdens een ICT-crisis wordt gewerkt volgens het Nationaal Handboek Crisisbesluitvorming, het Nationaal Crisis Plan-ICT en het crisishandboek van de NCTV. Uitgangspunt bij ICT-crisisbeheersing is zo veel mogelijk aan te sluiten op de nationale crisisstructuur. Hierin passend is door DCS/NCSC een operationeel crisishandboek geschreven. Bij een (dreigende) ICT-crisis is de directeur DCS verantwoordelijk voor de overall aansturing van de crisisorganisatie van de NCTV binnen de nationale crisisstructuur. DCS behandelt de crisis op strategisch en tactisch niveau. Het NCSC biedt operationele coördinatie ten aanzien van de respons en heeft daarnaast een adviserende en informerende rol richting de crisisbesluitvormingsstructuur.

    ICT-crisisbeheersingICT-crisis is een betrekkelijk nieuw fenomeen binnen het ambacht van crisisbeheersing. De casus DigiNotar (2011), de eerste en tot nu toe enige ICT-crisis, heeft duidelijk laten zien dat ook uitval van niet levensbedrei-gende maar wel maatschappelijk cruciale voorzienin-gen, snel kan leiden tot grote verstoringen. Het is te verwachten dat er in de toekomst een nieuwe ICT-crisis zal ontstaan waarbij opnieuw opgeschaald moet worden naar een crisisorganisatie. Binnen de NCTV zijn naast het NCC twee onderdelen die zich specifiek bezig houden met ICT crisisbeheersing. De Directie Cyber Security (DCS) en het Nationaal Cyber Security Centrum (NCSC) hebben de ambitie om op dat moment samen met haar publieke en private partners klaar te zijn voor een daadkrachtige aanpak.

    Magazine nationale veiligheid en crisisbeheersing december 201312

    Het altijd kunnen beschikken over open, veilige en stabiele ICT, is een randvoorwaarde voor het ongehinderd functioneren van onze samenleving. Mocht het onverhoopt misgaan, dan is ICT-crisisbeheersing een belangrijke schakel in het herstellen van de situatie.

    Nationaal Crisiscentrum (NCC)

    Adviesteam (AT)ICT Response Board (IRB)

    Ministeriële CommissieCrisisbeheersing (MCCb)

    Interdepartementale CommissieCrisisbeheersing (ICCb)

    Veiligheidsregio’s

    Departementale Coördinatiecentra (DCC’s)

    Binnenlands bestuur

    Landelijke Operationele Staf (LOS)

    Landelijk Operationeel Coördinatiecentrum (LOCC)

    Rijks-diensten

    Nationaal Kernteam Crisiscommunicatie (NKC)

    Vitalesectoren

    DCC EZNCSC

    Het Nationaal Crisisplan-ICT (NCP-ICT) beschrijft de rollen en verantwoordelijkheden van publieke partijen. In dit plan worden de specifieke ICT-verantwoordelijken ten opzichte van het generieke crisisbesluitvormingsproces weergegeven (zie bovenstaand schema)

    Cyber security

  • Magazine nationale veiligheid en crisisbeheersing december 2013 13

    nieuwe loot aan de stam binnen de NCTV

    Binnen NCTV zorgt DCS/ NCSC ervoor dat Nederland in staat is een ICT-crisis effectief aan te pakken door:1 preparatie van DCS /NCSC DCS/ NCSC beschikken over interne procedures voor

    opschaling, verzorgen een opleidingstraject voor de eigen medewerkers en participeren in oefeningen;

    2 faciliteren van de ICT Response Board (IRB) het NCSC faciliteert de IRB, het publiek-private

    adviesorgaan voor de nationale crisisbesluitvor-mingsstructuur op het gebied van ICT-crisis. De IRB wordt komend jaar verder uitgebreid met diverse experts om een hoog waardig advies te kunnen geven

    over de bron en impact van een ICT-crisis;3 nationale samenwerking tijdens crisis cruciaal in de versterking van ICT-crisisbeheersing is

    het inrichten van een stelsel van samenwerkingsver-banden op nationaal niveau. Daarom maakt DCS/ NCSC met de organisaties in de nationale crisis-

    structuur en publieke en private partners afspraken op welke wijze wordt samengewerkt tijdens een crisissituatie;

    4 internationale samenwerking ICT-crises kennen geen grenzen, dus neemt Neder-

    land deel aan internationale ICT-crisisoefeningen. Vanuit DCS/ NCSC is Nederland actief binnen de EU en in het International Watch and Warning Network (IWWN). De internationale samenwerkingsverbanden op dit terrein worden komend jaar verder versterkt.

    Wanneer opschalen tijdens (dreigende) ICT-crisis?DCS/NCSC kan opschalen op basis van een kwalitatieve beoordeling van de impact op de nationale veiligheid dan wel de maatschappelijke ontwrichting van de vitale belangen zoals territoriale veiligheid, economische veiligheid, ecologische veiligheid, fysieke veiligheid, sociale en politieke stabiliteit. Deze impact en ont-wrichting kan veroorzaakt worden door vier oorzaken:1 technische complexiteit: in hoeverre is een incident

    in technische zin beheersbaar;2 impact op de vitale bedrijfsvoering van overheid of

    bedrijven in vitale sectoren: in hoeverre is het inci- dent schadelijk voor de voortgang van vitale processen;3 beleidsmatige en politieke verantwoording: op welke

    wijze lijdt een incident tot grote maatschappelijke verstoring of onrust en vraagt dit aandacht van de politiek en het beleid;

    4 aandacht in de media: op welke wijze krijgt een incident aandacht in de media en wordt de aandacht groter?

    Drie opschalingsniveaus DCS/NCSC onderkent drie opschalingsniveaus bij een ICT-crisis.

    1 Reguliere organisatie Als er sprake is van (dreigingen van) incidenten met

    een geringe (potentiële) impact op de nationale veilig-

    heid, dan worden deze via het reguliere werkproces van het NCSC opgevangen en afgehandeld.

    2 Interne opschaling In geval een (dreiging van een) incident groter wordt

    en het een significante (potentiële) impact heeft op de nationale veiligheid, dan kan worden besloten tot een tweede (interne) opschaling: binnen het NCSC zal een team zich specifiek gaan richten op dit incident.

    3 Nationale crisisstructuur Indien op basis van de criteria de situatie wordt be- schouwd als een intersectorale crisis waarbij de natio- nale veiligheid in geding is of kan zijn en die noopt

    tot een interdepartementaal gecoördineerd optreden van de rijksoverheid, zal verder worden opgeschaald tot het derde (nationale) niveau. Binnen het NCSC wordt dan een crisisteam ingesteld dat onderdeel is van de nationale crisisstructuur. Het NCSC verzorgt de operationele coördinatie van de partners bij de bestrij-

    ding van de ICT-component van de crisis. De directeur Cyber Security is verantwoordelijk voor de overall aansturing van de crisisorganisatie van de NCTV binnen de nationale crisisbesluitvormingsstructuur.

    Specifieke kenmerken van een ICT-crisis:- de zichtbaarheid van de impact - de impact van een

    ICT-crisis is veelal niet direct zichtbaar doordat gegevens in systemen geraakt worden en de juistheid en/of beschikbaarheid zich pas later manifesteert;

    - de snelheid waarmee een ICT crisis zich manifesteert - een ICT-crisis kan van het één op het andere moment gebeuren (aan/uit) of verspreidt zich als een veenbrand;

    - hoewel er ervaring is met ‘DigiNotar’ is er in zijn algemeenheid weinig ervaring en bekendheid met het afhandelen van ICT-crises;

    - bij het aanpakken van de oorzaak tijdens een ICT-crisis is de overheid grotendeels afhankelijk van het handelen van private partijen;

    - het is aannemelijk dat de crisis een internationaal karakter heeft, waarbij de oorzaak van de groot-

    schalige verstoring in het buitenland kan liggen, in meerdere landen tegelijkertijd kan optreden, of waar-

    bij de oorzaak mogelijk (mede) in Nederland ligt;- veel ICT-diensten en voorzieningen zijn bij derde par- tijen uitbesteed waardoor er een aanzienlijke afstand

    kan ontstaan tussen degene die het probleem op moet lossen en de organisatie die getroffen is;

    - de crisisorganisaties worden zelf mogelijk ook zwaar geraakt in hun functioneren door uitval of een beperkte beschikbaarheid van de eigen ICT-middelen met een direct effect op interne en externe commu-nicatie (waaronder telefonie);

    - er bestaat in tijden van crisis al snel een tekort aan deskundigen die aan bron- en effectbestrijding kunnen doen.

  • Cyber security

    Herbert Bos, hoogleraar Systems & Network Security aan de Vrije Universiteit in Amsterdam

    “We hebbenhackersnodig”

    dus tienduizenden fouten. En dan hebben we het nog niet eens over de applicaties zelf die vaak ook miljoenen coderegels bevatten en dus duizenden fouten. Om een systeem echt veilig te maken, moeten we elke kwetsbaarheid vinden en verhelpen. Een aanvaller hoeft er aan de andere kant slechts één te vinden. Dit is een welbekende asymmetrie tussen aanvallers en verdedi-gers in het voordeel van de aanvaller. We zouden bovendien in de toekomst moeten kunnen kijken, want een programma dat goed beschermd is tegen alle bedreigingen die vandaag de dag bekend zijn, kan morgen hopeloos kwetsbaar zijn als aanvallers een nieuwe soort exploit ontdekken.

    ErfenisOnze hedendaagse problemen zijn veroorzaakt door ontwerpbeslissingen uit het verleden. De software die vandaag de dag overal wordt gebruikt, is vaak ontwor-pen door een vorige generatie. Hoewel de programma’s nog steeds perfect werken, zijn ze niet berekend op de huidige securitydreigingen. De fundamentele vraag is hoe de ontwikkelaars konden weten waartegen ze de systemen dienden te beschermen, als de problemen nog niet waren uitgevonden. Anders gezegd: waar moeten we ons vandaag tegen beschermen om ons morgen veilig te voelen?

    Cyber security is bij uitstek onderhevig aan het effect: cyberaanvallen worden steeds geavanceerder om steeds geavanceerder wordende verdedigingen te kunnen omzeilen, waardoor de verdedigingen weer geavanceer-der worden, enz. Hoewel het nog maar de vraag is of wij deze wapenwedloop kunnen winnen, kunnen we het ons niet veroorloven om niet te strijden. Bovendien wordt het tijd dat we ons beter bewapenen. Veel meer dan tot nu toe het geval is geweest moeten we denken als een hacker.

    Slechte softwareHeel lang is cryptografie het voornaamste uitgangspunt in de informatiebeveiliging geweest: boodschappen versleuteld versturen zodat ze niet kunnen worden gelezen door de vijand. De meeste security-incidenten worden echter niet veroorzaakt doordat aanvallers de geheime code kraken, maar door de slechte staat van de software die op onze computersystemen draait. Deze software zit vol security gaten waardoor aanvallers kunnen binnendringen.

    De aanvaller is in het voordeelIn de praktijk heeft elke software fouten. Zelfs zeer goed geprogrammeerde code bevat circa twee fouten per duizend regels. Besturingssystemen zoals Windows, Mac OS X en Linux bevatten tientallen miljoenen coderegels,

    Het “Red Queen Effect” beschrijft een situatie in wapenwedlopen waarbij twee partijen zich steeds beter bewapenen, waardoor uiteindelijk, ondanks alle moeite, geen van de partijen een voorsprong krijgt op de ander. Een beetje zoals Rusland en de VS tijdens de Koude Oorlog. De naam is ontleend aan het verhaal “Through the Looking-Glass” van Lewis Caroll, waarin Alice en de Red Queen zo hard rennen als ze kunnen, zonder vooruit te komen.

    Magazine nationale veiligheid en crisisbeheersing december 201314

  • Magazine nationale veiligheid en crisisbeheersing december 2013 15

    Criminele infrastructurenHet is fascinerend wat een vaardige hacker kan doen met simpele fouten in systemen. Binnendringen en controle krijgen over een computer is slechts een eerste stap. Aanvallers bouwen hierop verder en downloaden andere programma’s die de infectie vervolmaken. Deze nieuwe programma’s installeren zichzelf op verborgen manieren en zorgen ervoor dat de computer onder-deel gaat uitmaken van een botnet, een verzameling van geïnfecteerde machines. Deze botnets kunnen miljoenen andere geïnfecteerde machines omvatten en vormen de ruggengraat van uiteenlopende criminele activiteiten: fraude, spam, ddos, diefstal en nog veel meer. Ronduit verontrustend is het dat er inmiddels zulke geavanceerde botnets zijn dat we ze niet of nauwelijks meer kunnen ontmantelen.

    Kennis en expertiseHelaas zijn we als samenleving slecht geweest in het ontwikkelen van de benodigde kennis om de cyber security wapenwedloop goed uitgerust aan te kunnen gaan. Zeker in Europa hebben wetenschappers zich altijd sterk op de wiskundige en theoretische kant van informatiebeveiliging gericht. We hebben echter een gebrek aan mensen die de zwakheden van onze syste-men begrijpen, kunnen omgaan met aanvallen en malware, betere systemen kunnen ontwikkelen en bestaande programma’s veiliger kunnen maken. Zonder deze expertise zijn wij niet eens in staat om bij te blijven in de deze wapenwedloop, laat staan om hem te winnen. We hebben met andere woorden hackers nodig.

    Offensief onderzoekOnderzoekers van de Vrije Universiteit verdiepen zich in de mentaliteit en werkwijze van hackers en ‘system security’ in het algemeen. Een interessante vraag is bijvoorbeeld hoe machtig de eerder genoemde criminele infrastructuren zoals botnets zijn. Kunnen we ze nog steeds verstoren, ook over vijf of tien jaar? De onderzoekers infiltreren in deze infrastructuren, om ze te bestuderen, te analy-seren hoe ze zich ontwikkelen en te onder-

    zoeken wat hun zwakheden zijn. Ze kijken ook naar wat aanvallers kunnen doen, ze zoeken bijvoorbeeld naar technieken die de aanvallers zouden kunnen gebruiken om meer schade aan te richten, nu en in de toekomst. Ook zoeken ze naar methoden om in een vroeg stadium kwetsbaarheden te vinden in goedaardige software, kwetsbaarheden die door aanvallers misbruikt kunnen worden. Al dit onderzoek vraagt om een diepgaande kennis van de onderliggende systemen, van de bits en de bytes en machinetaal die het fundament vormen onder onze informatiesystemen. Hackers!

    Undo knopDe securityproblemen van vandaag zijn vrijwel zonder uitzondering het gevolg van een ontwerpbeslissing in het verleden. Iemand bedenkt een programmeertaal of een systeem en jaren later vindt iemand anders een ontwerpfout waardoor hackers het systeem over kunnen nemen. Vaak is het de ontwerper niet eens aan te rekenen. Met de kennis van toen was het misschien helemaal niet onveilig, maar nu zitten we met de gebakken peren. Wat we willen is een ‘undo’ knop, om het probleem te laten verdwijnen zou ideaal zijn. Een oplossing die voorkomt dat de aanvaller misbruik maakt van de kwetsbaarheid. Die ervoor zorgt dat hij terug bij af is, alsof de hack nooit was uitgevonden. Geen volmaakte security, maar teruggaan naar de situatie voordat het probleem aan het licht kwam. De veiligheid van gisteren, maar dan vandaag.

  • Magazine nationale veiligheid en crisisbeheersing december 201316

    Cyber security

    Stephanie de Ridder, directie Cyber Security, NCTV Cyber Resilience Op het hoogste niveau aandacht voor

    vermogen en pragmatiek, leiderschap van doorslaggevend belang. Diversiteit is troef in de paneldiscussies. In de tweede paneldiscussie zorgden Dick Schoof (Nationaal Coördinator Terrorisme-bestrijding en Veiligheid), Udo Helmbrecht (directeur ENISA), Mark Hughes (directeur BT Security) en Jake Wood voor een bevlo-gen discussie met het publiek. Wat moeten wij doen om de digitale weerbaarheid van onze wereld te verbeteren? En wat is het belang van vertrouwen in het bouwen van een digitaal weerbare samenleving?

    In de zaal waar ooit Koningin Beatrix haar huwelijk beklonk, benadrukte de partici-panten het belang van cyber resilience, genereerden nieuwe inzichten en leerden van elkaars kennis en ervaring. Leading by doing liep als een rode draad door de dag en kwam tot uiting door de ondertekening van de Cyber Resilience Principles van het World Economic Forum. Gedurende de dag stond een divers palet aan lezingen, master classes en paneldiscussies op het programma.

    Na de opening door dagvoorzitter Jan Bonjer, en een woord van welkom door burgemeester Eberhard van der Laan, gaf Minister Opstelten van Veiligheid en Justitie het startschot. Volgens Opstelten is cyber hot. De belangen zijn enorm, het functio-neren van onze samenleving zonder inter-net is ondenkbaar geworden en daarmee is de urgentie van dergelijk samenkomen rondom het thema digitale weerbaarheid groter dan ooit. Ook gaf de Minister de zaal een opdracht mee; neem de inzichten uit het congres mee naar de eigen organisatie en wees aldaar een ambassadeur van een sterkere digitale weerbaarheid.

    Stephen Greenhalgh, loco-burgemeester van Londen, deelde de ervaringen die hij opdeed tijdens de Olympische Spelen in 2012. Een goede voorbereiding en hoog bewustzijn zorgde ervoor dat zelfs de meest onverwachte cyberaanvallen in de kiem konden worden gesmoord. Jake Wood, oprichter Team Rubicon, vertelde hoe hij overstapte van marinier naar weldoener van een ander soort. Samen met andere ex-mariniers vormt hij Team Rubicon, waarmee hij lokale bevolkingen in ramp-gebieden te hulp schiet. Een inspirerend verhaal met een klinkende kernboodschap: in crisissituaties is naast lef, doorzettings-

    Masterclasses met thema’s als Leading by doing, The need for education en Influencing company boards – 10 steps to cyber security zorgden voor bevlogen conversaties. Bij een van de sessies leerden de aanwezigen dat het intern delen van kennis onontbeerlijk is, maar daarnaast juist buiten de grenzen van de eigen kantoor-muren kennisdeling geïntensiveerd zou moeten worden. Cross-sectorale kennis-deling zorgt er voor dat we weerbaarheid van onze maatschappij met kikkersprongen vooruit kunnen helpen.

    Op 5 november 2013 werd in het prestigieuze The Grand Sofitel in Amsterdam de tweede editie van de The Grand Conference georganiseerd. De conferentie was de finale van de succesvolle campagneweek Alert Online en bracht meer dan 250 topbestuurders uit 17 landen van publieke en private sectoren bijeen.

    Als kers op de taart tekenden verschillende partijen de Cyber Resilience Principles van het World Economic Forum. Hiermee wordt voor het eerst tastbaar invulling gegeven aan het uitgangspunt van privaat-publieke participatie, een van de belangrijkste pijlers van de nieuwe Nationale Cyber Security Strategie. Met het ondertekenen van deze principes committeren de betreffende organisaties zich aan een gedragscode en beloven een cyber risk management programma te implementeren, die ook andere partijen moet stimuleren om op het

    gebied van cyber security hun verantwoor-delijkheid te nemen.

    De complexiteit en levendigheid die cyber resilience kenmerkt vraagt om intensief leiderschap en brede participatie. De bevlogenheid van de participanten van The Grand Conference biedt hoop op een digitaal weerbare samenleving. Samen van onbewust naar bewust en van bewust naar bekwaam!

  • Magazine nationale veiligheid en crisisbeheersing december 2013 17

    Alert Online 2014Ook in 2014 zijn we natuurlijk alert online. Noteer daarom nu vast de nieuwe campagne data. Alert Online 2014 vindt plaats van maandag 27 oktober tot en met donderdag 6 november.

    Cyber security

    Digitale veiligheid krijgt topprioriteit

    in de lucht, juist omdat alertonline.nl heel praktisch laat zien wat je zelf – vaak eenvou-dig – kunt doen om risico’s te voorkomen. Daarom zeg ik: Blijf Alert Online, doe je voordeel met de vele handige tips op de website en zorg dat je veilig gebruik blijft maken van je pc, laptop of smartphone.’

    Nederland leadingAl bij de opening van de campagne bleek dat Nederland hoog inzet op het gebied van digitale veiligheid. Tijdens de kick-off in het Haagse hoofdkantoor van Shell presenteer-de minister Opstelten de tweede Nationale Cyber security Strategie, die ervoor moet zorgen dat Nederland leading wordt op het gebied van cyber security. In de aanpak is een belangrijke taak weggelegd voor zowel overheid als private partners. ‘Het gaat niet langer om samenwerking, we gaan een stap verder: het draait om participatie. We mogen meer van elkaar verwachten en elkaar aanspreken op resultaten,’ aldus de minister.

    Fundamenteel onderdeel van aanpakAlert Online besteedde ook ruim aandacht aan onderwijs en onderzoek op het gebied van digitale veiligheid. Die expertise is hard nodig om de cyber securityvraagstukken van

    morgen op lossen. De tweede Nationale Cyber Security Research Agenda die NWO en het ICT Innovatie Platform ‘Veilig Ver-bonden’ (IIPVV) in Nieuwspoort presenteer-den, is daar een belangrijk fundament voor.

    TopniveauTijdens het slotakkoord van de campagne, de Grand Conference in Amsterdam, zetten bedrijfsleven en overheid cyber security definitief op topniveau op de agenda. Namens de private sector spraken onder meer de Nederlandse Vereniging van Banken, de Nederlandse Vereniging van Ziekenhuizen en Nederland ICT af om zich actief in te zetten voor een veilige digitale omgeving en daarbij een voorbeeldfunctie te vervullen. Minister Opstelten van Veiligheid en Justitie ondertekende het initiatief namens een aantal Nederlandse departementen, en deed zo een eerste stap om de ambities uit de nieuwe Nationale Cyber security Strategie waar te maken.

    Terugblik op bewustwordingscampagne Alert OnlineIn november vroeg de campagne Alert Online tien dagen lang de landelijk aandacht voor veilig en bewust internetge-bruik. De respons mag gerust zeer bemoedi-gend heten. De partners van de NCTV organi-seerden een breed scala aan eigen activitei-ten rond het thema, zoals de Cyber Future Search (TU Delft, de Cyber Security Raad en de NCTV), de autumn school van het NCSC met een reeks zeer diverse en interessante sprekers, de presentatie van het position paper ‘Virtuele risico’s, echte schade’ door het Verbond van Verzekeraars en de simu-latie van een cyberaanval door KPMG. Daarnaast was er vanuit de landelijke media veel aandacht voor de bewustwordingscam-pagne. De NOS, RTL Nieuws en BNR Nieuws-radio berichtten elk over verschillende aspec-ten van digitale veiligheid. Ook veel geschre-ven media, zoals het Financieel Dagblad en Nu.nl, haakten aan. De kick-off van de campagne was zelfs de opening van het FD.

    Blijvend investeren‘We zijn blij met alle aandacht die het onderwerp heeft gekregen’, blikt Dick Schoof terug. ‘Cyber security heeft aandacht nodig vanuit de top van organisaties. De campagne heeft duidelijk laten zien dat die conclusie door steeds meer publieke en private partijen wordt gedeeld. Alert Online 2014 bouwt daar volgend jaar op door.’ Toch waarschuwt Schoof ervoor om niet achter-over te leunen. Het bewustzijnsonderzoek dat in aanloop naar de campagne is uitge-voerd, laat zien dat zelfoverschatting op het gebied van digitale veiligheid nog altijd op de loer ligt. ‘Veel van onze partners zien gelukkig het nut van blijvende investeringen in digitale veiligheid. Het is zaak dit gevoel van urgentie vast te houden en 365 dagen per jaar alert online te blijven. De campag-newebsite blijft om die reden voorlopig ook

    Terugblik op bewustwordingscampagne Alert Online

    Cyber security staat sterker dan ooit op de agenda van overheid, wetenschap en bedrijfsleven. Dat is de belangrijkste conclusie na de awarenesscampagne Alert Online 2013, een initiatief van de NCTV en meer dan vijftig publieke en private partners. Het is nu zaak dit gevoel van urgentie vast te houden, aldus Nationaal Coördinator Veiligheid en Terrorismebestrijding Dick Schoof.

    Op het hoogste niveau aandacht voor

  • Marjolein B.A. van Asselt, raadslid Wetenschappelijke Raad voor het Regeringsbeleid (WRR) en hoogleraar Risk governance, Universiteit Maastricht

    Beatrice de Graaf, hoogleraar Conflict en veiligheid, Universiteit van Leiden

    aandacht vragen voor de overeenkomsten, die volgens ons minstens zo belangrijk zijn. Het is niet toevallig dat in het dagelijkse taalgebruik zowel voor doelbewust als voor onbedoeld gevaar de term (on)veiligheid wordt gehanteerd. In alle gevallen geldt dat (on)veiligheid het resultaat is van het handelen van heel veel verschillende partijen, die er hun eigen belangen en logica’s op na houden. Vaak is sprake van internationaal vertakte ketens en netwerken, waar een nationale overheid hooguit beperkt grip op heeft. De veiligheid komt in het geding als materiële en immateriële zaken die de maatschappij waardevol acht bedreigd worden. Dan gaat het over mensenlevens, gezondheid, private bezittingen, publieke belangen, economische activi-teiten en de kwaliteit van de leefomgeving, maar ook over de integriteit van de persoonlijke levenssfeer (privacy). Mensen, de omgeving, private en publieke zaken kunnen op allerlei manieren beschadigd worden, moedwillig of, letterlijk en figuurlijk, per ongeluk, door een samenloop van omstandigheden. De fundamentele vraag is in alle gevallen of we – overheid, bedrijfsleven, burgers – het goede doen om schade te voorkomen, te beperken of af te dekken. Bij alle veiligheidsvraagstuk-ken gaat het uiteindelijk om het omgaan met risico’s en onzekerheden en het maken van lastige afwegingen.

    Noodzaak van een kaderJuist omdat die afwegingen zo lastig zijn, is een meer strategisch gesprek over veiligheid, waarin de overeen-komsten tussen uiteenlopende veiligheidsvraagstukken centraal staan, noodzakelijk. Het aangaan van een dossieroverstijgend, bovenpartijdig gesprek over veiligheid kan helpen om een kader te ontwikkelen, waarbinnen specifieke veiligheidskwesties kunnen worden afgewogen. Zo’n kader moet meer zijn dan een afwegingskader voor ambtenaren en politici. Het gaat bij veiligheid immers zowel om een klassiek grondrecht (de burger moet worden beschermd) als om een sociaal grondrecht (de overheid moet de veiligheid collectief bevorderen). Uit de Grondwet en internationale verdragen vloeien positieve verplichtingen voort om garant te staan voor een bepaald niveau van veiligheid en risicoafdekking. Juist in die combinatie van recht op en plicht tot bescherming zit de angel.

    Sociale en fysieke veiligheidIn het Nederlands is veiligheid een breed begrip. Het heeft betrekking op terroristische aanslagen, crimina-liteit en andere moedwillige aantastingen van de veiligheid (in het Engels aangeduid als security). Maar het verwijst ook naar gevaren die primair een natuur-lijke of technologische oorzaak hebben (in het Engels: safety). In het Nederlands wordt het eerste vaak ‘sociale veiligheid’ genoemd en het tweede ‘fysieke veiligheid’. In beleid en politiek zijn het ook verschillende domeinen geworden, met andere woordvoerders en netwerken, ondanks pogingen – zoals de Strategie Nationale Veiligheid – om verschillende soorten veiligheidsvraagstukken met elkaar in verband te brengen. Ook in wetenschappelijke kringen zijn ‘safety’ en ‘security’ verschillende werelden, met hun eigen tijdschriften en fora. Van uitwisseling, laat staan inter-disciplinair onderzoek waarmee bruggen geslagen worden tussen onderzoeksgemeenschappen, is eigenlijk geen sprake.

    Meestal worden als gevolg van deze verkaveling de verschillen tussen sociale en fysieke veiligheid bena-drukt. Met het artikel in de NRC wilden wij juist

    Magazine nationale veiligheid en crisisbeheersing december 201318

    “Veiligheid terug in onze Grondwet”. Onder die kop publiceerden wij afgelopen zomer, dinsdag 13 augustus, een artikel op de opiniepagina van het NRC Handelsblad. Op de zondagavond daaraan voorafgaande had Beatrice de Graaf die publicatie in Zomergasten aangekondigd. Wat bracht ons ertoe om gezamenlijk een artikel te schrijven? En wat beogen wij met ons pleidooi voor een grondwetswijziging?

    Veiligheid als sociaal contract

  • Magazine nationale veiligheid en crisisbeheersing december 2013 19

    Ten aanzien van veiligheid is een bepaald verwachtings-niveau over de overheid dus gerechtvaardigd. De legitimiteit van de overheid kan onder druk komen te staan als de overheid tekort schiet in de zorg voor veiligheid. Verwachtingen over de zorg voor veiligheid kunnen echter ook overspannen zijn. Dat de overheid geen absolute veiligheid kan garanderen is intussen een open deur. De rechtstaat legt bovendien ook beperkin-gen op aan de mogelijkheden van de overheid om de veiligheid te garanderen. De rechtstaat en de persoon-lijke levenssfeer van burgers mogen immers niet bezwijken door veiligheidsbevorderende maatregelen. Dus het gaat om een subtiel evenwicht tussen rechten en plichten van overheid, bedrijfsleven en burgers.

    Het is een stap in de goede richting om in de politiek-bestuurlijke wereld te werken aan een dossieroverstij-gend kader voor veiligheid. Dat is de inzet van de Strategie Nationale Veiligheid, en de daaraan gekop-pelde Nationale Risicobeoordeling en ook van het BZK-programma Risico’s en verantwoordelijkheden (River). De staatssecretaris van Infrastructuur en Milieu (IenM), mevrouw Mansveld, heeft onlangs in de Eerste Kamer toegezegd te gaan werken aan een dossierover-stijgend kader voor de IenM veiligheidsvraagstukken.1 Daaruit blijkt dat de door ons geschetste noodzaak van een overkoepelend kader een behoefte is die in ambte-lijke en politieke kringen steeds nadrukkelijker wordt gevoeld, geagendeerd en opgepakt. Maar wij willen graag benadrukken dat we er daarmee nog niet zijn.

    Veiligheidsartikel in de Grondwet Tussen 1798 en 1983, dus bijna tweehonderd jaar lang, stond er een passage in de Grondwet, die luidde: “Het oogmerk der maatschappelijke vereeniging is beveiliging van persoon, leven, eer en goederen, en beschaaving van verstand en zeden” (Artikel 1). Ook in de Grondwet van 1815 keerde die bescherming van personen en goederen terug als oogmerk van de nieuwe staat – een passage die in de Grondwet van 1848 werd herhaald. Veiligheid was sinds de Verlichting officieel de basis onder het sociale contract waarmee de centrale natiestaat grondwettelijk werd gevestigd. De metafoor van het ‘sociale contract’ hield in dat burgers aan gezag en geweldsmonopolie werden onderworpen en in ruil daarvoor bescherming kregen.

    In 1983 werd die veiligheidspassage echter geschrapt. De vraag die wij ons gesteld hebben is of het een idee zou zijn om veiligheid weer in de Grondwet op te nemen. En dan niet op een simplistische manier zoals de Duitse minister van Binnenlandse Zaken Friedrich het voor-stelde, om met een Supergrundrecht Sicherheit eenzijdig als overheid allerlei grondrechten buiten spel te kunnen zetten. Nee, het zou een passage moeten zijn waarin het idee van veiligheid als sociaal contract, dus als tweezij-dige overeenkomst, wordt afgestoft. Zodat het een kader kan bieden waarbinnen veiligheid en vrijheid weer met elkaar in verband kunnen worden geplaatst en waarmee alle huidige en toekomstige veiligheidskwes-ties van een nieuw kader worden voorzien.

    1 Zie artikel Jung en Molenaar in dit nummer (p. 38 e.v.).

  • Magazine nationale veiligheid en crisisbeheersing december 201320

    communiceren van vaak ongelijksoortige risico’s. De tweezijdigheid van het sociale contract, dus het feit dat het om zowel rechten als plichten van overheid, burgers en bedrijfsleven gaat en de erkenning dat het niveau van veiligheid het resultaat is van gezamenlijke inspan-ningen, verdient veel meer aandacht. De Grondwet is weliswaar geen echte wet, omdat het geen bindende regeling is en Artikel 120 ook uitsluit dat de rechter over de toepassing van de Grondwet een oordeel mag geven2, maar het is toch de plek waar het sociale contract expliciet onder woorden wordt gebracht. Het is niet zonder betekenis dat een veiligheidsartikel gedurende twee eeuwen expliciet onderdeel uitmaakte van de Grondwet. Dat is dus volgens ons ook de plek waar het resultaat van het fundamentele debat over veiligheid en vrijheid zou kunnen neerslaan.

    Wij zien een veiligheidsartikel in de Grondwet niet als een doel, maar als een middel om aandacht te vragen voor het fundamentele karakter van het dossierover-stijgende en bovenpartijdige debat dat volgens ons over veiligheid gevoerd moet worden. Een publieke discussie over een veiligheidsartikel in de Grondwet zou daar een platform voor kunnen bieden en zou de primair politiek-ambtelijke pogingen die nu worden ondernomen om te komen tot een breder kader van de benodigde maat-schappelijke en normatieve dimensie voorzien.

    Een wijziging van de Grondwet is per definitie een lang-durig proces. De impliciete boodschap van ons pleidooi is dan ook dat het veel tijd en moeite zal kosten om bruggen te slaan tussen overheid, burgers en bedrijfs-leven, tussen departementen en tussen onderzoeks-gemeenschappen. Oog hebben voor de overeen-komsten tussen uiteenlopende veiligheidsvraagstukken is veel moeilijker dan het unieke van een dossier tot uitgangspunt nemen. Het reduceren van veiligheids-vraagstukken tot overzichtelijke dossiers is veel gemak-kelijker dan het stellen van fundamentele, en dus abstracte en strategische, vragen. Het is eenvoudiger om na een incident maatregelen af te kondigen, dan het bredere onbehagen en ongemak over lastige afwegingen onder ogen te zien. Maar dat het ontwikke-len van een nieuw kader voor veiligheid moeilijk en tijdrovend zal zijn, mag geen excuus zijn. Ook daarom hebben we een wijziging van de Grondwet als kapstok voor ons opinieartikel genomen: ondanks de moeite die het kost, is de Grondwet in het verleden aangepast, gewijzigd en herzien en is die ook nu niet in beton gegoten. Met die analogie willen wij benadrukken dat een algemeen kader voor veiligheid geen utopie is, maar een realiseerbare toekomst, als er voldoende bereidheid is om er gezamenlijk de schouders onder te zetten. De tijd lijkt daar rijp voor…

    Natuurlijk zijn er Europese en andere internationale bepalingen, maar een nationaal, constitutioneel ijkpunt als pijler onder terugkerende debatten over veiligheid zou kunnen helpen. Het kan houvast bieden op momenten dat ten aanzien van veiligheid beslissin-gen worden genomen. Er staat een voortdurende druk op autoriteiten en overheidsorganisaties om veiligheid en voorzorg tot oogmerk van beleid en protocollen te maken en om risico’s zo veel mogelijk in te perken. Zeker als zich aantastingen van de veiligheid voordoen, wordt over veiligheid in absolute termen gesproken, terwijl tegelijkertijd waarschuwingen klinken voor overhaaste en disproportionele reacties. Onder de noemer van veiligheid worden allerlei maatregelen genomen die niet alleen de vrijheidsgrondrechten en gelijkheid (kunnen) ondergraven, maar die ook onveiligheid in de hand kunnen werken. DigiNotar is daarvan een voorbeeld: bedoeld om digitale veiligheid te bevorderen, maar het bleek te leiden tot toegenomen kwetsbaarheid. De Onderzoeksraad voor Veiligheid liet in de metastudie “Veiligheid in perspectief” zien dat de institutionele arrangementen voor veiligheid vaak zo complex zijn geworden, dat ze bijdragen aan het ontstaan en optreden van risico’s. Hierbij past ook de vraag hoe inbreuken op burgerrechten en privacy zich verhouden tot de veronderstelde veiligheidswinst. Al die tegenstrijdigheden en verwarring verdienen een grondiger afweging. Veiligheidsbeleid gaat nooit alleen over de dreiging, maar over mensen en zaken die beschermd moeten worden. Tegen invallen en aanvallen van andere personen, tegen natuurgeweld, tegen grote ongelukken, maar ook tegen al te drieste inbreuken van de overheid of marktpartijen.

    Een Grondwetswijziging vergt een publieke discussie, die zou moeten gaan over de vraag hoe de tweezijdig-heid van het sociale contract in de huidige tijd gestalte moet krijgen. Hoe ziet de balans tussen preventie en reactie, tussen zelfregulering en voorzorgsmaatregelen, tussen eigen verantwoordelijkheid van burgers en bedrijven en overheidsinterventies eruit? Volksvertegenwoordigers zouden gesteund door weten-schappers en ambtenaren dit fundamentele debat moeten durven aangaan. In ons opinieartikel stelden we “Met de ambitie van een nieuw veiligheidsartikel in de Grondwet kunnen we voorbij symboolpolitiek en gemakkelijke opwinding komen. Daarmee wordt de veiligheid pas echt gediend”.

    Symboolpolitiek?Voor ons staat een veiligheidsartikel in de Grondwet symbool voor het feit dat het benodigde kader voor veiligheid meer is dan een beleidsinstrument. Het gaat niet alleen en ook niet primair om het afwegen en

    2 Met dank aan Gerrit van der Meij, in het verleden gelieerd aan de Raad van State, email 10 september aan de auteurs.

  • Magazine nationale veiligheid en crisisbeheersing december 2013 21

    prof. dr. E.R. Muller, hoogleraar Veiligheid en Recht, Universiteit Leiden

    Veiligheid moet in

    gevonden moet worden tussen de mogelijk-heden van de overheid om grondrechten in te perken en tegelijkertijd de grondrechten te waarborgen. Dit evenwicht moet gevonden worden in een constant debat over de mate van dreiging en onveiligheid in relatie tot de gewenste en onderbouwd effectieve maatregelen. Een dergelijk grondwetsartikel kan bijdragen aan het intensiveren van dit debat. Te veel wordt het debat nu gevoerd door tegenstanders en voorstanders die een bepaald geloof belijden ofwel ten aanzien van de grond-rechten ofwel ten aanzien van de effectivi-teit van specifieke veiligheidsmaatregelen. Het artikel in de Grondwet maakt duidelijk dat er steeds een zekere vorm van afweging en evenwicht noodzakelijk is.

    Toen wij in 2004 dit artikel voorstelden, hadden we vooral security-aspecten in ons hoofd. Inmiddels lijkt het verstandig om het veiligheidsbegrip te verbreden naar ook safety of fysieke veiligheid. De bewoordin-gen van het bovengenoemde artikel hoeven daarvoor niet aangepast te worden. Wel dient de interpretatie van het begrip veiligheid opgerekt te worden. Dat is noodzakelijk naar mijn oordeel omdat ook ten aanzien van fysieke veiligheid de staat een expliciete opdracht heeft en dat ook daar inbreuken op grondrechten van

    In ons idee zou het nieuwe veiligheids-artikel in de Grondwet een combinatie van klassiek en sociaal grondrecht moeten zijn. Het moet de overheid noodzaken tot daadwerkelijke maatregelen om veiligheid te waarborgen maar tegelijkertijd waar-borgen voor de burgers realiseren dat de staat niet te diep inbreuk kan maken op de grondrechten van de burgers. Het gaat daarbij niet alleen om een overheid die zich onthoudt van interventies, maar ook om een staat die zijn burgers beschermt tegen schenders van de openbare orde en rechts-orde. We hebben toen zelfs een specifiek artikel voor de Grondwet geformuleerd: Artikel XX.

    1 Een ieder heeft recht op veiligheid van persoon en bezittingen.

    2 De overheid kan bij wet rechten van burgers beperken in het belang van de veiligheid.

    3 De wet stelt regels ter bevordering van de veiligheid.

    Bijna tien jaar later gelden deze argumenten nog steeds. Het pleidooi van De Graaf en Van Asselt onderstreept dit ook. Meer dan zij voorstellen zou ik willen voorstellen juist een volwaardige combinatie van klassiek en sociaal grondrecht te maken. Op die manier wordt duidelijk dat er steeds een evenwicht

    burgers zich kunnen voordoen. De staat heeft een taak om de fysieke veiligheid te waarborgen door duidelijk risicobeleid te voeren en maatregelen te treffen om te voorkomen dat zich ongelukken en rampen voordoen. Dat kan soms betekenen dat het handelen of de leefomgeving van burgers beperkt moeten worden om bepaalde maatregelen te kunnen realiseren. Bijvoorbeeld maatregelen om wateroverlast te voorkomen kunnen dergelijke elementen in zich hebben. In dergelijk gevallen is het ook wenselijk in de Grondwet een expliciete basis te hebben.

    Om af te ronden: ik was, ben en blijf voorstander van een artikel in de Grondwet over veiligheid. Dit artikel moet zowel een verplichting als een verbod aan de staat opleggen. Het moet gaan om veiligheid in de brede zin van het woord: zowel sociale als fysieke veiligheid, zowel security als safety. Een Grondwetsartikel lost de veiligheidsproblemen niet op, maar biedt een expliciete basis voor de constante noodzaak van afwegingen en het zoeken naar evenwicht tussen noodzakelijke veiligheidsmaatregelen en de inbreuken op rechten van burgers.

    Laat ik maar helder zijn: ik vind al langer dat veiligheid een plaats moet krijgen in de Nederlandse Grondwet. De Graaf en Van Asselt hebben dus gelijk in hun pleidooi. In 2004 betoogden Rosenthal en ik al uitgebreid dat een toevoeging van veiligheid in de Grondwet van waarde is.1 Het recht op veiligheid is het directe verlengstuk van de klassieke en sociale grondrechten. Het verplicht de staat zich te onthouden van vergaande inbreuken op het privédomein van burgers en het verplicht de staat tot maatregelen om de veiligheid van burgers te waarborgen.

    Grondwet

    1 U. Rosenthal en E.R. Muller, ‘Het grondrecht op veiligheid’, in: E.R. Muller (red.), Veiligheid: Studies over inhoud, organisatie en maatregelen, Alphen aan den Rijn: Kluwer, 2004, 59-71.

  • dr. Rik Peeters, Nederlandse School voor Openbaar Bestuur (NSOB) en de Universiteit van Tilburg1

    op veiligheid onwenselijk isWaarom een grondrecht

    onverhoopt voordoet is het principieel onzeker hoeveel meer preventie nodig was geweest om de aanslag te voorkomen. Geconfronteerd met overschatting en onderschatting als de Scylla en Charybdis van preventie, is overschatting de preferente strategie. Binnen deze logica is het bovendien lastig om argumenten te bedenken voor een afbouw van preventieve maatrege-len. Zowel een positief (geen aanslag) als een negatief scenario (wel een aanslag) leiden tot de uitkomst dat preventie moet worden gecontinueerd of versterkt. Bovendien zijn preventieve maatregelen zelf ook van invloed op het dreigingsniveau: een verminderde dreiging is niet per se een argument voor minder preventie, aangezien het terugschroeven van preventie juist de kwetsbaarheid voor aanslagen kan vergroten.

    Een ongecontroleerde interpretatiemachtTen tweede zal een grondrecht op veiligheid weinig veranderen aan de nauwelijks begrensde interpretatie-macht van het openbaar bestuur in de veiligheidszorg. In de aanpak van criminaliteit is de afgelopen dertig jaar – onder invloed van preventie- en veiligheids-denken – het zwaartepunt verschoven van de rechter-lijke macht naar de uitvoerende macht en van de zorg om de rechtsorde naar de zorg om de openbare orde. Waar de klassieke justitiële benadering van criminaliteit is omgeven met tal van checks & balances die een behoor-lijk en begrensd overheidsingrijpen moeten garande-ren, daar gedijt de veiligheidszorg in de discretionaire ruimten van de rechtsstaat. Elk grondrecht is aan interpretatie onderhevig. Als die interpretatiemacht echter eenzijdig belegd is (bij de uitvoerende macht) en niet voorzien is van nadere wetgeving, dan verandert een grondwetsartikel weinig aan de scheefgroei in de trias politica. Enerzijds zal een sociaal grondrecht op veiligheid in de ogen van bestuurders vooral een bevestiging zijn van de legitimi-teit van de huidige aanpak. Anderzijds zal een klassiek

    InleidingHet pleidooi om veiligheid in de grondwet op te nemen oogt om allerlei redenen sympathiek. Zo zou het een meer strategisch gesprek over de rol van de overheid bij veiligheidsvraagstukken mogelijk maken. En het zou behalve een sociaal grondrecht – veiligheid als zorg-plicht van de overheid – ook een klassiek grondrecht moeten omvatten dat burgers beschermt tegen al te enthousiaste overheidsinterventies in de private levens-sfeer.Nu is er natuurlijk weinig mis met een debat over de vraag hoe ver de rol van de overheid in de bescherming van veiligheid strekt. Tegelijkertijd lijkt het benoemen van deze taak in een grondwet overbodig. De bestaans-grond van een staat is immers al gelegen in het bieden van bescherming tegen een mogelijke ‘oorlog van allen tegen allen’. Hiermee is echter niet alles gezegd. Om drie redenen is het aannemelijk dat een grondrecht op veiligheid weinig helderheid zal verschaffen over de rol van de overheid en bovendien weinig zal doen om de private levenssfeer van burgers te beschermen.

    Een onbegrensde interpretatieruimteTen eerste is veiligheid een notoir containerbegrip. Vrijwel elk maatschappelijk, technologisch en natuur-lijk fenomeen kan in termen van veiligheid geproble-matiseerd worden. Zonder een immanente begrenzing in het toepassingsbereik laat een grondrecht op veiligheid onverminderd onduidelijk tot hoe ver de zorgplicht van de overheid zou moeten reiken. Dit wordt nog pregnanter als we beseffen dat veel veilig-heidszorg samenvalt met preventief ingrijpen. Daar geldt de logica van ‘het zekere voor het onzekere nemen’, hetgeen een expansie van interventies in de hand werkt. Zo is het principieel onzeker hoeveel preventieve maat-regelen nodig zijn om een terroristische aanslag te voorkomen. En als een terroristische aanslag zich

    Magazine nationale veiligheid en crisisbeheersing december 201322

    1 De auteur promoveerde in 2013 op The Preventive Gaze, een onderzoek naar de betekenis van het preventiedenken voor de rol van de overheid.

  • Magazine nationale veiligheid en crisisbeheersing december 2013 23

    Waarom een grondrecht

    grondrecht zonder nadere wetgeving een tandeloze tijger zijn in een land waar de rechter geen oordeel mag geven over de toepassing van de Grondwet door de uitvoerende macht.

    Een gelijke verdeling van veiligheidEen derde en laatste reden voor de onwenselijkheid van een grondrecht op veiligheid ligt in de manier waarop in de Nederlandse context sociale grondrechten worden geïnterpreteerd. De Raad voor Maatschappelijke Ontwikkeling heeft onlangs in het advies Terugtreden is vooruitzien laten zien dat rechtszekerheid en rechtsge-lijkheid de leidende beginselen zijn in de organisatie van publieke voorzieningen in domeinen van zorg, zekerheid en onderwijs.Zo is de afgelopen jaren in het onderwijs – waartoe in artikel 23 eveneens een klassiek en sociaal grondrecht samenkomen – de feitelijke betekenis van onderwijs-vrijheid sterk gereduceerd doordat de overheid aan elke school dezelfde kwaliteitscriteria is gaan stellen. De overheid ziet erop toe dat elk kind overal in Nederland kwalitatief goed onderwijs krijgt. Dat is een nobel principe, maar lokt ook een systeem van toetsing, toezicht, monitoring, regulering en sanctionering uit – niet alleen in het onderwijs, maar bij voorbeeld ook in de domeinen van zorg en zekerheid.Binnen deze interpretatietraditie impliceert een sociaal grondrecht op veiligheid dat elke burger overal in Nederland op hetzelfde niveau van veiligheid moet kunnen rekenen – ongeacht of iemand in de stad of op het platteland woont, in een probleemwijk of villawijk, en ongeacht of iemand oud of jong is, advocaat of autodealer. De belofte van een gelijke verdeling van veiligheid maakt een uitbreiding van de overheidsver-antwoordelijkheid voor veiligheid zeer waarschijnlijk.

    ConclusieEen discussie over de vraag hoe ver de rol van de overheid in de bescherming van veiligheid strekt is zeer toe te juichen. In het bovenstaande heb ik echter

    geprobeerd te beargumenteren waarom een grondrecht op veiligheid geen geschikt middel is. Ten eerste is veiligheid een dermate onbegrensd begrip dat een grondrecht geen duidelijkheid schept over de afbake-ning van de overheidstaak. Ten tweede intervenieert een formeel grondrecht niet op het feitelijke niveau waar de feitelijke veiligheidstaak georganiseerd is en voegt daardoor geen checks & balances toe aan het bestuur-lijke repertoire van veiligheidszorg. En ten derde is het waarschijnlijk dat een sociaal grondrecht op veiligheid in de Nederlandse interpretatietraditie zal leiden tot een expansie van de overheidsverantwoordelijkheid gericht op een gelijke verdeling van veiligheid.

    Wellicht moeten we ook niet de vraag stellen naar helderheid en afbakening van de overheidsverantwoor-delijkheid voor veiligheid. Het ultieme antwoord daarop zal waarschijnlijk niet gevonden worden en bovendien zullen politici en bestuurders zich door dat antwoord niet laten disciplineren. De rechtsstaat wordt niet alleen bewaakt door formele regels en formele instituties, maar vooral ook door de materiële betekenis van regels en instituties – de manier waarop overheids-handelen in de praktijk van alledag door het recht wordt gelegitimeerd en begrensd. In plaats van nieuwe formele regels te formuleren (zoals een grondrecht op veiligheid) zou het effectiever zijn om juridische waarborgen te formuleren en checks & balances te organiseren op het niveau waar machtscon-centraties georganiseerd zijn en waar de feitelijke veiligheidszorg vorm krijgt. Hierbij kan gedacht worden aan de bevoegdheden van burgemeesters en andere gezagsdragers, aan het verzamelen en delen van persoonsinformatie en aan de ontwikkeling van persoonsgerichte interventies achter de voordeur. Een set van beginselen van behoorlijk bestuur voor de veiligheidszorg zou een waardevol beginpunt zijn.

  • prof. dr. Bob de Graaff, hoogleraar inlichtingen- en veiligheidsstudies,Universiteit Utrecht/Nederlandse Defensie Academie

    terrorismebestrijding

    De onmogelijkheid van eenmondiale strategie voor

    call zou zijn van de top-20 van al-Qaeda, waaraan behalve opperhoofd Ayman al-Zawahiri, de opvolger van Osama bin Laden, ook de al-Qaeda-leiders uit Irak, Noord-Afrika, Oezbekistan en de Sinaï deelnamen, alsmede vertegenwoordigers van de Taliban en de Nigeriaanse terreurbeweging Boko Haram. Hoewel deze bewering uiteindelijk twijfelachtig is, kan het geloof dat er aanvankelijk aan werd gehecht dienen als indicatie dat, in weerwil van allerlei berichten over de fysieke eliminatie van de kern van al-Qaeda, nog steeds contacten bestaan tussen de kern van de organisatie en haar filialen, zoals al-Qaeda op het Arabisch Schiereiland (AQAP), al-Qaeda in Irak (AQI), al-Qaeda in de Maghreb (AQIM), al-Shabab in Somalië en Jabhat al Nusra in Syrië. Dan zijn er verder nog iets lossere verbanden met Ansar al-Dine in Mali en Boko Haram in Nigeria, met partners als de Taliban, de Islamitische Beweging in Oezbekistan, het Haqqani-netwerk en Abu Sayyaf en ten slotte is in diverse Noord-Afrikaanse landen sinds de Arabische Lente een al-Qaeda-gelieerde beweging opgestaan onder de naam Ansar al Sharia. Bij de jihadistische strijders in Syrië, de aanval op de gasfaciliteit Amenas in Algerije in januari 2013 en de gijzelings- en moordactie in het winkelcentrum Westgate in Nairobi in september van dit jaar bleken de daders telkens weer een multinationale eenheid te vormen.

    Een bedreiging voor het statenstelselDaarmee is al-Qaeda met haar filialen niet alleen de grootste en meest zichtbare terroristische organisatie van dit moment. Zij stelt ook de staat als zodanig ter discussie. Het streven is gericht op de vestiging van een kalifaat dat de islamitische oemma (gemeenschap) omvat en zich niets meer aantrekt van, zoals de islamieten het zelf noemen, door imperialisten en kolonialisten in het leven geroepen staatsgrenzen. Al-Qaeda stelt de staat echter op nog een manier ter

    Al-Qaeda nog steeds sterkDirect na de aanslagen in New York en Washington D.C. van 11 september 2001 (‘9/11’) was er een gevo