Papier versus realiteit: Hoe een internationaal verdrag cybersecurity verzwakt

– 2 minuten leestijd –


Liesbeth is senior adviseur op het gebied van cybersecurity bij branchevereniging Nederland ICT. Ze heeft 13 jaar binnen de Nederlandse overheid gewerkt, waarbij de kansen en gevaren van de veranderende digitale wereld steeds als rode draad door haar werk liepen. Bij Nederland ICT zet ze zich in om cybersecurity in Nederland te bevorderen, zowel binnen de ICT-sector als in andere sectoren.


Sommige goederen hebben naast hun alledaagse functie ook een militaire functie. Denk aan kunstmest: fijn voor de moestuin, maar in zeer grote hoeveelheden kun je er ook een bom van maken. We hebben er dus belang bij dat dit soort ‘duale goederen’ niet in de verkeerde handen vallen. Voor duale goederen die gebruikt kunnen worden voor het maken van massavernietigingswapens is daarom in 1995 het Wassenaar Arrangement in het leven geroepen. In dit akkoord, waar onder andere Rusland, de VS en de EU aan meedoen, zijn afspraken gemaakt over de export van kennis en kunde met betrekking tot dit soort wapens. Een goed initiatief, maar voor veiligheid in de digitale wereld blijkt dit verdrag helaas averechts te werken.

“Intrusion software: software die ingezet kan worden als ‘cyberwapen’.”

In 2013 is er namelijk nog een component toegevoegd aan het Wassenaar Arrangement: intrusion software. Hiermee wordt software bedoeld die ingezet kan worden als ‘cyberwapen’, bijvoorbeeld omdat het inbreken op beveiligde systemen mogelijk maakt, of het massaal aftappen van communicatie. In de Arabische Lente werd duidelijk dat dit soort software door ondemocratische regimes gebruikt wordt om burgers te onderdrukken en opstanden in de kiem te smoren. Voor de export van intrusion software moet daarom vanaf 2013 toestemming van de federale overheid gekregen worden.

Maar wat is precies intrusion software? De definitie hiervan blijkt zo vaag geformuleerd dat de toevoeging aan het Wassenaar Arrangement onvoorziene gevolgen heeft. Specifieke beveiligingslekken mogen niet zonder exportvergunning gemeld worden. Dat levert de rare situatie op dat wanneer een groot internationaal technologiebedrijf in Nederland een kwetsbaarheid in de eigen software vindt, dit zonder toestemming niet gedeeld mag worden met het moederbedrijf.

“Specifieke beveiligingslekken mogen niet zonder exportvergunning gemeld worden.”

De cybersecuritysector is een innovatieve, internationale sector waarbinnen veel wordt samengewerkt met wetenschappers, zonder onderscheid tussen landsgrenzen te maken. Iedereen heeft er baat bij dat kennis snel en breed gedeeld kan worden. Bovendien ligt willekeur op de loer. Ieder land lijkt de terminologie anders te interpreteren. Zo bleek vorige zomer dat het Italiaanse Hacking Team afluistersoftware had verkocht aan landen die niet worden geprezen om hun democratisch karakter en respect voor mensenrechten. Is dit niet precies waarom intrusion software aan het Arrangement is toegevoegd?

Aanpassing van het Wassenaar Arrangement is nodig. De wereld van de cybersecurity verandert snel en is niet gebonden aan landgrenzen. De snelle opmars van cybercriminelen en statelijke actoren vraagt om een snelle reactie van bedrijven. Het uitgangspunt zou moeten zijn dat informatie over kwetsbaarheden real-time uitgewisseld kan worden, zonder een exportverplichting. Daarnaast moeten we een debat voeren over het effect van exportcontrole van intrusion software op het innovatieve karakter van de sector. Alleen zo wordt het internationale cybersecurity ecosysteem versterkt, in plaats van verzwakt.


In aanloop naar het cyberevent op 29 september 2016 deelt NRC Live iedere week één of meerdere (opinie)stukken van onze sprekers. Lees hier alle opiniestukken terug.