nationale veiligheid en crisisbeheersing

Transcriptie

1 jaargang 11 nummer 6 december 2013 Magazine nationale veiligheid en crisisbeheersing Thema: Cyber security Veiligheid en de Grondwet Mondiale strategie voor terrorismebestrijding onmogelijk Wie heeft de leiding bij voedselbesmetting?

2 Inhoud THEMA: CYBER SECURITY 03 Van bewust naar bekwaam (voorwoord Dick Schoof, NCTV) 04 Een beeld zegt meer dan duizend woorden 06 De Nationale Cyber Security Strategie 2 09 AIVD en MIVD starten Joint Sigint Cyber Unit 10 Cyber security onderzoek 12 ICT-crisisbeheersing: nieuwe loot aan de stam binnen de NCTV 14 We hebben hackers nodig 16 Op het hoogste niveau aandacht voor Cyber Resilience 17 Digitale veiligheid krijgt topprioriteit 56 Vier vragen aan: Ben Voorhorst, lid Raad van Bestuur TenneT, lid Cyber Security Raad namens de vitale infrastructuur OVERIGE ONDERWERPEN 18 Veiligheid als sociaal contract (Beatrice de Graaf en Marjolein van Asselt) 21 Veiligheid moet in Grondwet (Erwin Muller) 22 Waarom een grondrecht op veiligheid onwenselijk is (Rik Peeters) 24 De onmogelijkheid van een mondiale strategie voor terrorismebestrijding 27 Twitter aan de basis van aardbevingsalarm 28 Verbeteringen veiligheidsregio s binnen huidige stelsel 30 Wie heeft de leiding in geval van voedselbesmetting? 32 Welke risico s vragen onze aandacht? 34 Kabinet versterkt capaciteiten ten behoeve van de nationale veiligheid? 35 Ingrijpende gebeurtenissen, bestuurlijke ervaringen bij crises met lokale impact 36 Een veilige nucleaire top voor een veilige wereld 38 Nuchter omgaan met risico s of Bewust omgaan met veiligheid? 42 ISADE 43 XXplosive Zelfredzaamheid, veiligheid en de Doe-democratie 45 Toolbox extremisme 46 Crisismanagement en de EU een boekbespreking 48 Engagement bezorgde burgers bij plaatsen zendmasten voor mobiele telefonie 50 Praktische BHV-voorbeelden gebundeld 51 Vijfde druk Bestuurlijke Netwerkkaarten Crisisbeheersing verschenen 52 Twintig jaar na dato: overstromingscultuur in het Maasgebied 54 [Veilig] door innovatie Het Magazine nationale veiligheid en crisisbeheersing is een tweemaandelijkse uitgave van de Nationaal Coördinator Terrorismebestrijding en Veiligheid van het Ministerie van Veiligheid en Justitie. Het blad informeert, signaleert en biedt een platform aan bestuurders en professionals over beleidsontwikkeling, innovatie, uitvoering en evaluatie ten aanzien van nationale veiligheid en crisisbeheersing. De uitgever is het niet noodzakelijkerwijs eens met de inhoud van gepubliceerde bijdragen. De verantwoordelijkheid en aansprakelijkheid voor de inhoud van de artikelen berust bij de auteurs. 2 Magazine nationale veiligheid en crisisbeheersing december 2013

3 Cyber security Van bewust naar bekwaam Dick Schoof, Nationaal Coördinator Terrorismebestrijding en Veiligheid Sinds maart dit jaar mag ik de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) leiden. Één organisatie op rijksniveau verantwoordelijk voor terrorismebestrijding, nationale veiligheid, crisisbeheersing en cyber security. Al gauw werd duidelijk dat het digitale domein steeds meer aandacht opeist. Nederlanders zijn digitale dieren : vrijwel nergens is internetbankieren zo populair. In 2012 winkelden tien miljoen mensen online. En we hebben het op één na hoogste aantal computers per huishouden (94%). En ook de overheid, bedrijven en vitale sectoren als energie-, transport- en informatievoorzieningen zijn ervan afhankelijk. Alles is verbonden aan het internet. Alles is verbonden met elkaar. Daar profiteren we dag in dag uit van en het schept enorme kansen als belangrijke drijfveer voor innovatie en economische groei. Tegelijkertijd zijn onze samenleving en economie kwetsbaar door de toenemende afhankelijkheid van ICT. Halverwege dit jaar verscheen het derde Cyber securitybeeld Nederland (CSBN-3). Hoofdboodschap daarvan is dat de kwetsbaarheid van ICT onverminderd hoog blijft. De verschillende DDoS-aanvallen dit jaar hebben dat nadrukkelijk zichtbaar gemaakt. Voor de overheid en banken relevante cyberdreigingen, voor de burger overlast. Bij DDoS-aanvallen ging het om verminderde beschikbaarheid, maar wat doen we bij grootschalige digitale aanvallen die in de vitale sectoren leiden tot ontwrichting van de dienstverlening? Een nieuwe trend uit het CSBN-3 is de ontwikkeling van Cybercrime-as-a-Service. Cyber crime op bestelling dus. Dat vraagt om gepaste antwoorden. Zijn we al klaar voor Cyber security-as-a-service? Omdat alles met elkaar verbonden is, vraagt dit beleidsterrein om een brede benadering als antwoord op de complexiteit en dynamiek van cyber security. De NCTV werkt daarbij aan versterking en bundeling van krachten van burgers, bedrijfsleven en overheid. Nationaal en internationaal. Op de rand van 2014 is het goed om even terug te blikken was dan ook een druk cyberjaar. De Tweede Nationale Cyber Security Strategie is onlangs verschenen. Erg snel na de vorige (2011), zult u misschien denken. Ja, maar de ontwikkelingen in de digitale wereld gaan razendsnel. Het is van belang alert te blijven en in te spelen op die nieuwe ontwikkelingen die tenslotte ook weer nieuwe bedreigingen kunnen inhouden. De Cyber Security Raad vertegenwoordigers van bedrijfsleven, overheid en wetenschap adviseerde over deze strategie. Met als visie een balans tussen veiligheid, vrijheid en maatschappelijke groei. De ambitie die hieruit spreekt is hoog: Nederland leidend maken op het gebied van cyber security. Hoe we dat gaan doen? In de Strategie staan tien speerpunten benoemd. Bijvoorbeeld investeren in ICT-onderwijs, onderzoek, versterkte aanpak cyberspionage en versterking civiel-militaire samenwerking. U leest er meer over in dit magazine. Dat kunnen we uiteraard niet alleen als overheid. Dat doen we samen met onze private partners. Waarbij we een stap verder gaan dan de vorige strategie. We gaan van publiek-private samenwerking naar privaat-publieke participatie. We mogen niet alleen meer van elkaar verwachten, maar elkaar ook aanspreken op het behalen van concrete resultaten. Aandacht voor cyber security blijft hard nodig, maar is niet vanzelfsprekend. Het heeft iets vreemds. Fysieke veiligheid krijgt veel aandacht van overheid en bedrijfsleven. Bij een grote brand of een vliegtuigongeluk kunnen mensen zich een beeld vormen. Maar van de onzichtbare en ongrijpbare risico s die we lopen in het digitale domein zijn we ons soms onvoldoende bewust. Dat is zoiets als op vakantie gaan en de voordeur zorgvuldig afsluiten met drie sloten, terwijl je de achterdeur gewoon op een kier laat staan, aldus minister Opstelten van Veiligheid en Justitie onlangs bij de start van de bewustwordingscampagne Alert Online. We weten inmiddels meer van Cyber security. We zijn van onbewust naar bewust gegaan, zo bleek uit het recente Awareness onderzoek onder gemeenten, bedrijven, rijksoverheid en burgers. Nu is het zaak om niet alleen te weten, maar ook te handelen. Van bewust naar bekwaam. De recente campagne Alert Online helpt daarbij. Met praktische tips aan bedrijven, overheid en burgers voor een betere cyberhygiëne is het jaar dat we verder uitvoering geven aan de Cyber Strategie. Van bewust naar bekwaam. Dat betekent dat we bewustheid moeten vertalen naar actie, naar doen dus. Eén van die acties die ik u al met gepaste trots wil noemen is het starten van de voorbereidingen voor een wereldtop over cyber security die in 2015 in Nederland wordt gehouden. Daarmee geven we invulling aan onze ambitie: Nederland leidend laten zijn op het gebied van cyber security. Ik wens u heel bewust een bekwaam En veel leesplezier in dit offline magazine. Magazine nationale veiligheid en crisisbeheersing december

4 Cyber security Een beeld zegt meer dan duizend woorden De totstandkoming van het Cyber Security Beeld Nederland Koen Sandbrink, Nationaal Cyber Security Centrum, NCTV Het Nationaal Cyber Security Centrum (NCSC) werkt samen met publieke en private partijen aan het verbeteren van de digitale weerbaarheid van Nederland. Om te weten waar die verbetering nodig is, is het belangrijk een beeld te hebben van de toestand van cyber security in Nederland. Daartoe geeft het NCSC jaarlijks het Cyber securitybeeld Nederland (CSBN) uit. Dat is geen sinecure; cyber security is niet zo eenvoudig meetbaar te maken. Hoe komt het CSBN ieder jaar tot stand? En hoe zorgt het NCSC ervoor dat het beeld gedragen wordt door andere deskundigen in Nederland? Een beeld In juni 2013 werd het derde CSBN voltooid. Het CSBN is niet alleen een belofte van de Minister van Veiligheid en Justitie aan de Tweede Kamer, het vervult ook een behoefte. Organisaties in heel Nederland willen hun belangen beschermen tegen de dreigingen die er bestaan. Daarvoor hebben zij inzicht nodig in de dreigingen, en om maatregelen te kunnen rechtvaardigen willen zij zichzelf kunnen meten met de geldende maatstaven voor weerbaarheid. Het CSBN speelt in op die behoefte en hanteert daarbij een driehoekig model: de belangen, dreigingen en weerbaarheid worden tegenover elkaar gesteld, en middenin de driehoek bevinden zich de manifestaties. Maar niet alle relevante informatie laat zich ophangen aan die driehoek. De wereld van ICT is continu in beweging en cyber security evolueert navenant. De nieuwste trends en technieken verdienen aparte aandacht en krijgen die ook in de vorm van verdiepingskaternen. Zo is er een katern over denial-of-service - (DDoS-)aanvallen, zoals die het afgelopen jaar herhaaldelijk in het nieuws zijn geweest. Toch speelt er beduidend meer dan alleen de grote incidenten waar de media verslag van doen. Uit eigen ervaringen, maar ook talloze externe bronnen wordt een zo nauwkeurig mogelijke analyse gegeven van de stand van zaken. De belangrijkste conclusie is dat de afhankelijkheid van ICT steeds verder toeneemt, terwijl de weerbaarheid daar niet gelijk mee opgaat. Maar voordat die conclusie getrokken is, is er een aantal uitdagingen te overwinnen. De cijfers De grootste uitdaging die zich ieder jaar herhaalt bij het samenstellen van het CSBN is het verzamelen van cijfermateriaal. Het NCSC onderhoudt hiervoor contact met een groot aantal partijen. De academische wereld, brancheorganisaties en de antivirusindustrie hebben 4 Magazine nationale veiligheid en crisisbeheersing december 2013

5 gegevens die van toegevoegde waarde kunnen zijn voor het CSBN. Niet alles is echter bruikbaar. Over de economische schade als gevolg van een gebrek aan cyber security bijvoorbeeld is al veel gepubliceerd, maar de schattingen lopen uiteen van enkele tientallen miljoenen tot vele miljarden euro per jaar, terwijl dergelijke onderzoeken soms een solide fundament ontberen. Aan het NCSC de taak om het kaf van het koren te scheiden. Wanneer de bronnen zijn geselecteerd en alle gegevens zijn verzameld, kan het beeld worden samengesteld. Ook daarbij houdt het NCSC contact met de vele publieke en private partijen waarmee het structureel overlegt. Dit heeft een tweeledig doel. Door partijen enerzijds vroeg in het proces te betrekken kunnen zij hun visie geven op de actualiteit, wat de kwaliteit van het document ten goede komt. Anderzijds gaan zij zich sterker betrokken voelen bij de boodschap, wat ervoor zorgt dat ten tijde van de publicatie, zij de conclusies ook onderschrijven. Manifestaties De derde editie van het CSBN rapporteert over de periode april 2012 tot en met maart Relevante ontwikkelingen tot en met mei 2013 zijn ook meegenomen, daarbij hoofdzakelijk doelend op de media-aandacht rondom verscheidene DDoS-aanvallen in april. Dergelijke gebeurtenissen manifesteren zich wanneer er een dreiging bestaat waartegen de weerbaarheid onvoldoende is. Het NCSC analyseert de laatste trends om juist die zwakke plekken te kunnen benoemen. De trend dat steeds meer apparaten verbinding maken met het internet niet alleen telefoons maar ook auto s en koffiezetapparaten wordt ook wel hyperconnectiviteit genoemd, en leidt ertoe dat er ook steeds meer plaatsen zijn waarop de samenleving kwetsbaar is voor cyberaanvallen. De gevolgen van verstoring van dergelijke systemen zijn niet altijd in te schatten: het kan beperkt blijven tot enig ongemak, of organisaties geheel platleggen. Maar wie verantwoordelijk is voor de beveiliging ervan is vaak niet van tevoren duidelijk. En dan is er ook nog de verandering in het dreigingslandschap. Computervirussen zijn geen eenvoudige ziekmakers meer, ze proberen onopvallend te blijven om de besmette computer te misbruiken voor het versturen van spam- , of blokkeren de toegang en eisen losgeld. Gebruikers, bedrijven en overheden staan voor steeds nieuwe uitdagingen en moeten daarop toebereid zijn. Met het CSBN hoopt het NCSC het daarvoor zo broodnodige inzicht te kunnen bieden. Het volledige Cyber securitybeeld Nederland 3 is te downloaden via Belangrijkste bevindingen Cyber securitybeeld Nederland 3 1. De afhankelijkheid van ICT neemt toe door ontwikkelingen als cloudcomputing en alles wordt met het internet verbonden. 2. Digitale spionage en cybercriminaliteit blijven de grootste dreigingen voor overheid en bedrijfsleven. 3. Hulpmiddelen voor criminelen worden steeds professioneler en beter beschikbaar binnen een criminele cyberdienstensector. 4. Malware weet antivirussoftware steeds beter te omzeilen; computers raken besmet met ransomware en maken deel uit van botnets. 5. ICT-producten blijven onverminderd kwetsbaar; ze kunnen gehackt worden of met malware besmet raken. 6. Gebruikers krijgen steeds meer verantwoordelijkheid, maar weinig mogelijkheden om hun ICT veilig te beheren. 7. Er zijn diverse publieke en private initiatieven om de weerbaarheid te vergroten. 8. Verstoringen in ICT zijn nadrukkelijk zichtbaar geweest, bijvoorbeeld door DDoS-aanvallen. 9. Veel organisaties hebben basismaatregelen zoals patchmanagement nog steeds niet op orde. 10. De dynamische wereld van cyber security vereist een nieuwe aanpak. Magazine nationale veiligheid en crisisbeheersing december

6 Cyber security David van Duren en Esther van Beurden, Nationaal Coördinator Terrorismebestrijding en Veiligheid De Nationale Cyber security Strategie 2: Nederland zet in op wereldtop met cyber security Op 28 oktober 2013 bij de start van de Alert Onlinecampagne, lanceerde Minister Ivo Opstelten van Veiligheid en Justitie de Nationale Cyber security Strategie 2 (NCSS2). Nu structuren staan zoals het Nationaal Cyber Security Centrum, is het zaak om verder te bouwen aan netwerken en strategische coalities (publiek privaat, nationaal internationaal). Nederland zet samen met partners in op een veilig digitaal domein waarin kansen van digitalisering worden benut, dreigingen het hoofd worden geboden en fundamentele rechten beschermd. Daarbij zal er worden gezocht naar een goede wisselwerking tussen veiligheid, vrijheid en maatschappelijke groei met de ambitie dat Nederland tot de wereldtop behoort op het terrein van cyber security. Bij de totstandkoming van de NCSS2 zijn circa 130 publieke en private partijen betrokken. Binnen Europa loopt Nederland voorop in de wijze waarop wordt ingespeeld op technologische trends en het effectief gebruik van ICT-middelen en -vaardigheden. Nederland is een internationaal internetknooppunt, heeft de meest competitieve internetmarkt ter wereld en één van de hoogste online gebruikersdichtheden. Voor het goed kunnen functioneren van de Nederlandse samenleving is het waarborgen van de digitale veiligheid en vrijheid en het behouden van een open en innovatief cyberdomein een belangrijke randvoorwaarde. Daarom is begin 2011 de eerste Nationale Cyber security Strategie (NCSS1) verschenen. Doel van de NCSS1 was om een integrale cyber security-aanpak te realiseren met als kern publiek-private samenwerking. De NCSS1 was voornamelijk een actieprogramma. Eind 2012 heeft de overheid besloten om tot een update van de nationale cyber security strategie te komen. Hieronder de belangrijkste redenen hiervoor. - Een steeds verdere verbreding van de context van cyber security. Cyber security is steeds meer verweven met thema s op het terrein van cyber space, zoals mensenrechten, internetvrijheid, internet regelgeving, privacy, innovatie en maatschappelijke groei (zowel de economische als sociale voordelen die digitalisering biedt). - Een steeds groter wordende internationalisering van cyber security. Op het niveau van de VN, NAVO en de EU zijn er steeds meer initiatieven die werken aan normen, regelgeving en wetgeving op het terrein van cyber security. In het bijzonder is voor Nederland daarbij belangrijk de EU cyber security strategie en richtlijn. - Het verder invulling geven aan rollen en verantwoordelijkheden van de overheid, bedrijfsleven en burgers op het terrein van cyber security. Het uitgangspunt is daarbij dat verantwoordelijkheden zoals die in het fysieke domein gelden ook in het digitale domein genomen moeten worden. - De noodzaak voor een nieuw actieprogramma. Het proces van de totstandkoming van de NCSS1 is in december 2012 gestart met een kerngroep van vertegenwoordigers van de meest betrokken ministeries, Nederland-ICT, VNO-NCW en het CIO-platform. Deze kerngroep heeft de bouwstenen aangeleverd voor de NCSS2 die vervolgens zijn voorgelegd aan zo n 130 partijen (publieke en private partijen, kennisinstellingen en maatschappelijke organisaties) en met behulp van onder andere twee brede werksessies meer handen en voeten zijn gegeven. Nadrukkelijk is in het proces de dialoog met de bredere ICT-community gevoerd. Op verzoek van het kabinet heeft daarnaast de Cyber Security Raad, bestaande uit vertegenwoordigers van publieke en private partijen en wetenschap, geadviseerd over de koers van de nieuwe strategie. Met de NCSS2 wordt ingezet op een brede kabinetsvisie op cybersecurity, gericht op het verder versterken en bundelen van de krachten van betrokken publieke en private partijen, zowel nationaal als internationaal. 6 Magazine nationale veiligheid en crisisbeheersing december 2013

7 De NCSS2 gaat achtereenvolgens in op de kansen, dreigingen en uitdagingen in het digitale domein en beschrijft hoe Nederland hiermee wil omgaan. Deze visie is vertaald in een aanpak met daarbij een actieprogramma voor de periode Hieronder het kader met facts en figures. Facts & figures - In 2012 telde Nederland 12,3 miljoen internetgebruikers. - Nederland heeft s werelds meest competitieve internetmarkt en het op één na hoogste percentage computers per huishouden (94% van de huishoudens). - Nederlanders lopen voorop in het gebruik van innovatieve digitale diensten: 95% procent van de Nederlandse jongeren gebruikt sociale media; Nederland is koploper op het gebruik van internetbankieren in Europa en in 2012 winkelden circa 10 miljoen Nederlanders online. - De omzet van de Nederlandse ICT-sector in Nederland was 29,8 miljard euro in 2011 (5% van het BBP). - De ICT-sector is de meest innovatieve sector van Nederland. Meer dan twee/derde van de ICTbedrijven had onderzoeks- of innovatieve activiteiten in de periode Nederland functioneert als Digital Gateway to Europe. Nederland staat samen met Duitsland en het Verenigd Koninkrijk in voor 18% van het wereldwijde internetverkeer door de aanwezigheid van drie grote internetknooppunten (Amsterdam, Berlijn en Londen). In de afgelopen jaren is meer zicht gekomen op de dreigingen en kwetsbaarheden in het cyber domein. Volgens het Cyber Security Beeld Nederland 3 gaat de grootste dreiging uit van staten en van criminelen. Staten vormen vooral een dreiging in de vorm van diefstal van vertrouwelijke of concurrentiegevoelige informatie (cyberspionage), criminelen richten zich met name op digitale fraude en diefstal van informatie. Door de toegenomen complexiteit, afhankelijkheid en kwetsbaarheid van ICT-gebaseerde producten en diensten is onze digitale weerbaarheid tegen deze, en andere cyberdreigingen nog onvoldoende. Naast deze dreigingen hebben we ook te maken met nieuwe ontwikkelingen in het cyberdomein. Zo zijn bijvoorbeeld grote internationale private spelers een belangrijke factor geworden bij het bepalen van de spelregels in het cyberdomein en is er een grotere verwevenheid van de civiele en militaire domeinen. Daarnaast stevenen we af op het internet der dingen (alles is verbonden aan het internet) en hyperconnectiviteit (alles wordt met elkaar verbonden). Daarbij geldt een steeds toenemende hoeveelheid in digitale vorm beschikbare data en de interesse in het verkrijgen van die data. Deze ontwikkelingen maken een volgende stap in de aanpak van cyber security nodig. Dit op basis van de volgende visie. Nederland zet samen met zijn internationale partners in op een veilig en open cyberdomein, waarin de kansen die digitalisering onze samenleving biedt volop worden benut, dreigingen het hoofd worden geboden en fundamentele rechten en waarden worden beschermd. De NCSS2 geeft daartoe de aanzet voor een nieuw governancemodel. Het uitgangspunt is daarbij dat verantwoordelijkheden zoals die in het fysieke domein gelden ook in het digitale domein genomen moeten worden. (Zelf )regulering, transparantie en kennisontwikkeling zijn belangrijke sturingsmechanismen om de interactie tussen de betrokken partijen overheid, bedrijfsleven en burger te laten leiden tot een hoger niveau van cyber security. Deze concepten zijn in verschillende vormen verweven in de strategie. De overheid zal een nadrukkelijker rol gaan spelen in het cyberdomein. Enerzijds door zelf te investeren in de veiligheid van de eigen netwerken en diensten. Anderzijds door partijen bij elkaar te brengen en beschermend op te treden als de veiligheid van bedrijven en burgers of de privacy van die laatste wordt bedreigd. Waar nodig zal de overheid kader- en normstellend optreden, bijvoorbeeld waar het gaat om veiligheidsvereisten aan vitale diensten en processen. Van burgers wordt een zekere mate van cyberhygiëne (het toepassen van basis-veiligheidsvereisten) en eigen verantwoordelijkheid verwacht. De overheid faciliteert dit samen met het bedrijfsleven door het verbeteren van de digitale vaardigheden en het benadrukken van de zorgplicht van bedrijven en overheden richting hun klanten. Ook ICT-producten en -diensten moeten veilig zijn. Bedrijven en overheden moeten aanspreekbaar zijn op hun verantwoordelijkheid. Ook moeten zij transparant zijn over wat ze in het kader van cyber security aan maatregelen nemen en hoe ze omgaan met de gegevens van gebruikers. Het kabinet stelt zich ten doel dat burgers en bedrijven in 2017 hun zaken met de overheid digitaal en veilig kunnen afhandelen. De geschetste integrale benadering (met betrokkenheid van alle partijen), gericht op de samenhang tussen veiligheid, vrijheid en maatschappelijke groei zal Nederland ook internationaal uitdragen. Magazine nationale veiligheid en crisisbeheersing december

8 Cyber security NCSS1 Publiek-Privaat partnership Focus op structuren Benoemen multi-stakeholder-model Capaciteitsopbouw nationaal gericht Generieke benadering: breed inzetten op weerstand verhogende maatregelen Uitgangspunten benoemen Van onbewust naar bewust NCSS2 Privaat-Publieke participatie Focus op netwerken/strategische coalities Verduidelijken onderlinge verhoudingen stakeholders 1 Capaciteitsopbouw zowel nationaal als internationaal gericht Risico gebaseerde benadering: balans tussen bescherming belangen, dreiging belangen en geaccepteerd risico voor de samenleving (Beleids)visie weergeven Van bewust naar bekwaam 2 In bovenstaande tabel wordt in hoofdlijnen de stap weergegeven die met de NCSS2 wordt gemaakt. Om bovenstaande beweging mogelijk te maken omvat de NCSS2 ook een concreet actieprogramma Belangrijke prioriteiten binnen het actieprogramma zijn als volgt. 1. Inzet op vitaal In het kader van de aanpak voor de bescherming van de vitale infrastructuur zal de overheid samen met vitale partijen in beeld brengen welke ICT-afhankelijke systemen, diensten en processen vitaal zijn. Daarnaast zal er een verkenning worden uitgevoerd in hoeverre het realiseren van een gescheiden ICT-netwerk voor (publieke en private) vitale processen op technisch en organisatorisch vlak mogelijk en wenselijk is. 2. Versterking civiel-militaire samenwerking De mogelijkheden worden uitgewerkt om digitale capaciteiten van Defensie nationaal in te zetten bij het voorkomen en afweren van aanvallen op de civiele infrastructuur. Kernvraag daarbij is hoe kennis en expertise optimaal gedeeld kunnen worden tussen civiele partijen en Defensie. 3. Gedragen standaarden en security en privacy by design De overheid zal samen met private partners inzetten op het ontwikkelen van standaarden die gebruikt worden om de veiligheid van ICT-producten en -diensten te verbeteren en privacy te beschermen. 4. Cyberdiplomatie: kennisknooppunt voor conflictpreventie Nederland zet in op de ontwikkeling van een kennisknooppunt op het gebied van internationaal recht en cybersecurity met als doel het bevorderen van het vreedzaam gebruik van het cyberdomein. 5. Taskforce cybersecurity onderwijs Om de pool van cybersecurity experts te vergroten en de cybersecurity vaardigheden van gebruikers te versterken zullen bedrijfsleven en overheid de handen ineenslaan voor een beter aanbod van ICT-onderwijs binnen zowel het lager, hoger als professioneel onderwijs. Er zal een PPS taskforce Cybersecurity Onderwijs worden ingesteld, die zich richt op advisering over het cybersecurity onderwijsaanbod. De ambitie van de regering en Nederland op het terrein van cybersecurity is groot. Deze ambitie weerspiegelt het belang en de kansen van ICT voor onze samenleving en onze economie, evenals de huidige dreigingen en risico s. Een gezamenlijke inspanning van alle betrokkenen is nodig, waarbij eenieder zijn eigen verantwoordelijkheid moet nemen. Daarom zal ook de komende periode intensief samengewerkt blijven worden met alle betrokken partijen om samen Nederland één van de veiligste, vrije en innovatieve digitale samenlevingen ter wereld te maken. De NCSS2 en het Cybersecuritybeeld Nederland 3 zijn te vinden op: index.aspx 1 Voor bedrijven, overheid en burger worden de volgende rollen/verantwoordelijkheden onderscheiden. - De interveniërende overheid: faciliteren, beschermen en sturen. - De bekwame burger: cyberhygiëne en eigen verantwoordelijkheid. - Verantwoordelijke bedrijven: zorgplicht en aanspreekbaar op verantwoordelijkheid. 2 Niet alle partijen in de Nederlandse samenleving zijn zich voldoende bewust van cyber security. Aandacht hiervoor blijft nodig. 8 Magazine nationale veiligheid en crisisbeheersing december 2013

9 Cyber security AIVD en MIVD starten Joint Sigint Cyber Unit De Nederlandse inlichtingen- en veiligheidsdiensten MIVD en AIVD werken aan het oprichten van een gezamenlijke eenheid op het gebied van Signals Intelligence (Sigint) en Cyber. De nieuwe eenheid is onderdeel van de beide inlichtingen- en veiligheidsdiensten (I&V diensten), wordt door de beide I&V diensten aangestuurd en luistert naar de naam Joint Sigint Cyber Unit (JSCU). Een belangrijke reden voor het intensiveren van de samenwerking ligt in het bundelen van schaarse kennis en middelen. Doordat de technische ontwikkelingen op het gebied van Sigint en Cyber dermate snel gaan, is bundeling vanwege doelmatigheid en gevraagde investeringen niet alleen wenselijk, maar zelfs noodzakelijk. De JSCU gaat in de eerste helft van 2014 officieel van start. AIVD / MIVD In de wereld van de I&V diensten en voor de inzet van de krijgsmacht is telecommunicatie van oudsher een belangrijke bron van informatie. Dit belang is in de loop der tijd alleen maar toegenomen, omdat personen steeds meer en gemakkelijker gebruik maken van (mobiele) telecommunicatieen internetdiensten. De JSCU onderschept, binnen de grenzen van de wet, telecommunicatie van personen en organisaties die een bedreiging vormen voor de nationale veiligheid van Nederland en het Koninkrijk en voor militaire missies van de krijgsmacht. Denk hierbij aan tegenstanders in missiegebieden, spionnen, terroristen en extremistische organisaties. Voor deze taken houdt de JSCU zich bezig met Signals Intellingence en Cyber. Signals Intellingence (Sigint) gaat over het verzamelen van inlichtingen door het onderscheppen van telecommunicatie via de ether, bijvoorbeeld via radioverbindingen en satellieten. Vooral in huidige en potentiële missiegebieden gaat veel communicatie nog gewoon door de ether. Hoewel in Nederland steeds meer communicatie via de kabel verloopt, is het de I&V diensten alleen toegestaan hiervan gebruik te maken nadat hier vooraf ministeriële toestemming voor is gegeven. Voor het verzamelen van inlichtingen uit telecommunicatie hebben de AIVD en MIVD van de wetgever bijzondere bevoegdheden gekregen. Wat de I&V diensten precies wel en niet kunnen, mogen en moeten staat nauwkeurig beschreven in de Wet op de inlichtingen- en veiligheidsdiensten 2002 (Wiv 2002). De Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdiensten (CTIVD) houdt toezicht op de rechtmatige uitvoering van de Sigint activiteiten. Cyber is binnen de I&V diensten een verzamelnaam voor verschillende activiteiten. Van het in kaart brengen van het internetlandschap in een (nieuw) missiegebied, het Nationaal Cyber Security Center informeren over een gevaarlijk computervirus dat in aankomst is tot het hacken van een website van terroristen die de nationale veiligheid in gevaar dreigen te brengen. De specialisten van de JSCU werken hiertoe nauw samen met bijvoorbeeld het Nationaal Cyber Security Center (NCSC) en het Defensie Cyber Commando (DCC) dat onder verantwoordelijkheid van de Commandant der Strijdkrachten wordt opgericht. Op verzoek van het DCC kan de JSCU ook meewerken aan het uitvoeren van offensieve cyberoperaties. Met het opzetten van de JSCU intensiveren de MIVD en AIVD hun bestaande Sigint samenwerking via de Nationale Sigint Organisatie (NSO). Deze samenwerking wordt met de oprichting van de JSCU uitgebreid met alle Sigint activiteiten en met de cyberspecialisten van beide I&V diensten. De NSO wordt in zijn geheel binnen de JSCU opgenomen. Bij de start van de JSCU werken bij de eenheid enkele honderden medewerkers. Het gaat om medewerkers die formeel in dienst blijven van het Ministerie van Defensie (MIVD) en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (AIVD), maar die voor de gezamenlijke eenheid gaan werken. Het grootste deel van de medewerkers van de JSCU wordt gevestigd in het AIVD kantoor in Zoetermeer. Daarnaast zijn JSCU medewerkers werkzaam in Den Haag en op de huidige NSO locaties in Burum en het Gelderse Eibergen. Magazine nationale veiligheid en crisisbeheersing december

10 Cyber security Cyber security onderzoek In 2012 is in het interdepartementale Directeurenoverleg Cyber Security door de ministeries van VenJ, BZK, Defensie en EZ voor het eerst besloten om samen met de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) een impuls te geven aan cyber security onderzoek door een eerste gezamenlijke onderzoektender op te zetten en te financieren. De tussentijdse evaluatie van deze tender is positief gebleken en aanleiding om in 2014 een tweede tender te organiseren. Voor deze nieuwe tender zijn ook de Ministeries van Financiën en I&M aangesloten. De ministeries en NWO hebben gezamenlijk een bedrag van 6,4 miljoen vrijgemaakt voor een tweede tender Cyber Security. onderzoeksgemeenschap in Nederland. Hiermee kan de agenda rekenen op een brede steun uit het onderzoeksveld. De tweede tender Cyber Security is ondersteunend aan de Nationale Cyber Security Strategie en het Topsectorenbeleid. Het gaat bij deze tender om zowel fundamenteel als toegepast (R&D) onderzoek en het creëren van een kennisinfrastructuur onder wetenschappers, bedrijfsleven en overheid. De tender moet bijdragen aan het realiseren van de volgende doelen: Marloes Smelter, directie Cyber Security, NCTV De onderzoekprogramma s van de tender worden onder de paraplu van de Nationale Cyber Security Research Agenda (NCSRA) uitgevoerd. Hiertoe is dit jaar een update van de onderzoeksagenda uitgebracht, de NCSRA-II 1. Deze agenda is op 4 november aan een breed publiek gepresenteerd in een ipoort-sessie. Naast de NCSRA-II zijn de beleidsdoelen van de financierende departementen leidend voor de uiteindelijke thema s van de tender. In de NCSRA-II staat de samenwerking tussen bedrijfsleven en kennisinstellingen centraal. De input voor de NCSRA-II is opgesteld door ICT-innovatieplatform Veilig Verbonden (IIPVV) in overleg met de bredere 1 verbeteren van de veiligheid van, en het vertrouwen in ICT-infrastructuur en diensten; 2 Nederland voorbereiden op de veiligheidsuitdagingen; 3 stimuleren van de Nederlandse cyber security economie; 4 hoogwaardig cyber security gehalte van onze vitale sectoren; 5 versterken en verbreden van kennis en innovatie op het terrein van cyber security; 6 verbinding leggen tussen onderzoeksinitiatieven op het gebied van cyber security. Voor de tender zijn twee onderzoeksprogramma s gemaakt die een impuls geven aan zowel lange termijn/fundamenteel als korte termijn/toegepast onderzoek. Het lange termijn/fundamenteel onderzoek wordt gefinancierd door NWO en het korte termijn/ toegepast onderzoek door de deelnemende departementen (SBIR). De geldelijke verdeling tussen beide programma s is 50/50. 1 De NCSRA-II is te vinden op: 10 Magazine nationale veiligheid en crisisbeheersing december 2013

11 SBIR (Agentschap NL) Het korte termijn/toegepast onderzoek is gericht op de ontwikkeling van producten en diensten binnen een aantal cyber security onderzoeksthema s en verloopt via het SBIR-instrument van Agentschap NL. De SBIR is geen subsidieregeling maar heeft de vorm van een inkooptraject. Je zou hier kunnen spreken van een innovatiecontract op projectbasis. SBIR is een open competitie voor iedereen die innovatieve (technologische) oplossingen voor maatschappelijke vraagstukken kan ontwikkelen. Het SBIR-programma is gericht op bedrijven en met name in een pre-commerciële fase (pre-competitief en toegepast). De SBIR is al verschillende keren uitgevoerd op andere thema s en is in 2010 geëvalueerd en positief beoordeeld. SBIR bestaat uit drie fasen. De drie fasen zijn: 1 haalbaarheidsonderzoek (vergelijkbaar met pre-competitief onderzoek); 2 toegepast onderzoek en ontwikkeling; 3 marktrijp maken. Alleen de kosten voor de eerste fase en tweede fase worden door de overheid gefinancierd en beslaan samen 2 jaar. De SBIR-call is maandag 4 november geopend (sluiting 30 januari). (Meer informatie kunt u vinden op: sbir/veiligheid/sbir-cyber-security-ll) NWO Het strategisch lange termijn fundamenteel onderzoek richt zich op de verdere versterking van de kennisbasis in het kader van de Nationale Cyber Security Research Agenda. Hiervoor heeft NWO de Call for Proposals Cyber Security ingericht. Met deze call kunnen onderzoeksprojecten van consortia, ingediend door een hoogleraar, universitair hoofddocent of universitair docent werkzaam aan een Nederlandse universiteit of door NWO erkend onderzoeksinstituut, voor maximaal 80% worden gefinancierd. Een onderzoeksvoorstel moet worden opgesteld door een consortium van publieke- en private partijen bestaande uit een kennisinstituut en niet-kennisinstituut uit de profit sector of de non-profit sector. De NWO-call wordt 18 december geopend (deadline Letter of Intent 16 januari, sluiting call 4 maart). (Meer informatie kunt u vinden op: Het gebruik van deze twee onderzoeksprogramma s in één tender zorgt voor een complementair karakter van de SBIR (waar het bedrijfsleven het voortouw neemt) en de NWO-call (waar de wetenschap het voortouw neemt). De gezamenlijke aanpak bij de SBIR- en NWO-call heeft een versterkend effect gehad op het bereik van de regelingen in de sector en daarmee de kansen voor innovatieontwikkeling, inclusief de ontwikkeling van een cyber security community. Dit effect draagt bij aan de doelstellingen om kennis en innovatie te versterken en te verbreden en om onderzoeksinitiatieven af te stemmen. Om mogelijkheden tot samenwerking in formulering en uitvoering van een onderzoeksproject te verkennen, is op 19 november jl. in het Kyocera stadion te Den Haag een Matchmaking Event Cyber Security gehouden voor maatschappelijke organisaties, bedrijfsleven en kennisinstellingen. Het vormen van sterke coalities met brede en diepgaande expertise is een belangrijke voorwaarde voor een goede kwaliteit van onderzoeksvoorstellen. Uiteindelijk doel van de bijeenkomst was om tot gezamenlijke voorstellen te komen voor de tweede tender Cyber Security. Magazine nationale veiligheid en crisisbeheersing december

12 Cyber security Hans Oude Alink, coördinator crisisbeheersing, directie Cyber Security en NCSC; senior beleidsmedewerker Ministerie van Economisch Zaken Roeland de Koning, projectleider versterking crisisorganisatie, directie Cyber Security en NCSC; Managing Consultant Security, Capgemini Consulting ICT-crisisbeheersing: nieuwe loot aan de stam binnen de NCTV Het altijd kunnen beschikken over open, veilige en stabiele ICT, is een randvoorwaarde voor het ongehinderd functioneren van onze samenleving. Mocht het onverhoopt misgaan, dan is ICT-crisisbeheersing een belangrijke schakel in het herstellen van de situatie. ICT-crisisbeheersing ICT-crisis is een betrekkelijk nieuw fenomeen binnen het ambacht van crisisbeheersing. De casus DigiNotar (2011), de eerste en tot nu toe enige ICT-crisis, heeft duidelijk laten zien dat ook uitval van niet levensbedreigende maar wel maatschappelijk cruciale voorzieningen, snel kan leiden tot grote verstoringen. Het is te verwachten dat er in de toekomst een nieuwe ICT-crisis zal ontstaan waarbij opnieuw opgeschaald moet worden naar een crisisorganisatie. Binnen de NCTV zijn naast het NCC twee onderdelen die zich specifiek bezig houden met ICT crisisbeheersing. De Directie Cyber Security (DCS) en het Nationaal Cyber Security Centrum (NCSC) hebben de ambitie om op dat moment samen met haar publieke en private partners klaar te zijn voor een daadkrachtige aanpak. Verschillende rollen De NCTV en in het bijzonder de directeur Cyber Security (DCS) draagt zorg voor het onderwerp cyber security. Tijdens een ICT-crisis wordt gewerkt volgens het Nationaal Handboek Crisisbesluitvorming, het Nationaal Crisis Plan-ICT en het crisishandboek van de NCTV. Uitgangspunt bij ICT-crisisbeheersing is zo veel mogelijk aan te sluiten op de nationale crisisstructuur. Hierin passend is door DCS/NCSC een operationeel crisishandboek geschreven. Bij een (dreigende) ICT-crisis is de directeur DCS verantwoordelijk voor de overall aansturing van de crisisorganisatie van de NCTV binnen de nationale crisisstructuur. DCS behandelt de crisis op strategisch en tactisch niveau. Het NCSC biedt operationele coördinatie ten aanzien van de respons en heeft daarnaast een adviserende en informerende rol richting de crisisbesluitvormingsstructuur. Ministeriële Commissie Crisisbeheersing (MCCb) Nationaal Kernteam Crisiscommunicatie (NKC) Interdepartementale Commissie Crisisbeheersing (ICCb) Landelijke Operationele Staf (LOS) ICT Response Board (IRB) Adviesteam (AT) NCSC DCC EZ Departementale Coördinatiecentra (DCC s) Nationaal Crisiscentrum (NCC) Landelijk Operationeel Coördinatiecentrum (LOCC) Vitale sectoren Rijksdiensten Binnenlands bestuur Veiligheidsregio s Het Nationaal Crisisplan-ICT (NCP-ICT) beschrijft de rollen en verantwoordelijkheden van publieke partijen. In dit plan worden de specifieke ICT-verantwoordelijken ten opzichte van het generieke crisisbesluitvormingsproces weergegeven (zie bovenstaand schema) 12 Magazine nationale veiligheid en crisisbeheersing december 2013

13 Binnen NCTV zorgt DCS/ NCSC ervoor dat Nederland in staat is een ICT-crisis effectief aan te pakken door: 1 preparatie van DCS /NCSC DCS/ NCSC beschikken over interne procedures voor opschaling, verzorgen een opleidingstraject voor de eigen medewerkers en participeren in oefeningen; 2 faciliteren van de ICT Response Board (IRB) het NCSC faciliteert de IRB, het publiek-private adviesorgaan voor de nationale crisisbesluitvormingsstructuur op het gebied van ICT-crisis. De IRB wordt komend jaar verder uitgebreid met diverse experts om een hoog waardig advies te kunnen geven over de bron en impact van een ICT-crisis; 3 nationale samenwerking tijdens crisis cruciaal in de versterking van ICT-crisisbeheersing is het inrichten van een stelsel van samenwerkingsverbanden op nationaal niveau. Daarom maakt DCS/ NCSC met de organisaties in de nationale crisisstructuur en publieke en private partners afspraken op welke wijze wordt samengewerkt tijdens een crisissituatie; 4 internationale samenwerking ICT-crises kennen geen grenzen, dus neemt Nederland deel aan internationale ICT-crisisoefeningen. Vanuit DCS/ NCSC is Nederland actief binnen de EU en in het International Watch and Warning Network (IWWN). De internationale samenwerkingsverbanden op dit terrein worden komend jaar verder versterkt. Wanneer opschalen tijdens (dreigende) ICT-crisis? DCS/NCSC kan opschalen op basis van een kwalitatieve beoordeling van de impact op de nationale veiligheid dan wel de maatschappelijke ontwrichting van de vitale belangen zoals territoriale veiligheid, economische veiligheid, ecologische veiligheid, fysieke veiligheid, sociale en politieke stabiliteit. Deze impact en ontwrichting kan veroorzaakt worden door vier oorzaken: 1 technische complexiteit: in hoeverre is een incident in technische zin beheersbaar; 2 impact op de vitale bedrijfsvoering van overheid of bedrijven in vitale sectoren: in hoeverre is het incident schadelijk voor de voortgang van vitale processen; 3 beleidsmatige en politieke verantwoording: op welke wijze lijdt een incident tot grote maatschappelijke verstoring of onrust en vraagt dit aandacht van de politiek en het beleid; 4 aandacht in de media: op welke wijze krijgt een incident aandacht in de media en wordt de aandacht groter? Drie opschalingsniveaus DCS/NCSC onderkent drie opschalingsniveaus bij een ICT-crisis. 1 Reguliere organisatie Als er sprake is van (dreigingen van) incidenten met een geringe (potentiële) impact op de nationale veiligheid, dan worden deze via het reguliere werkproces van het NCSC opgevangen en afgehandeld. 2 Interne opschaling In geval een (dreiging van een) incident groter wordt en het een significante (potentiële) impact heeft op de nationale veiligheid, dan kan worden besloten tot een tweede (interne) opschaling: binnen het NCSC zal een team zich specifiek gaan richten op dit incident. 3 Nationale crisisstructuur Indien op basis van de criteria de situatie wordt beschouwd als een intersectorale crisis waarbij de nationale veiligheid in geding is of kan zijn en die noopt tot een interdepartementaal gecoördineerd optreden van de rijksoverheid, zal verder worden opgeschaald tot het derde (nationale) niveau. Binnen het NCSC wordt dan een crisisteam ingesteld dat onderdeel is van de nationale crisisstructuur. Het NCSC verzorgt de operationele coördinatie van de partners bij de bestrijding van de ICT-component van de crisis. De directeur Cyber Security is verantwoordelijk voor de overall aansturing van de crisisorganisatie van de NCTV binnen de nationale crisisbesluitvormingsstructuur. Specifieke kenmerken van een ICT-crisis: - de zichtbaarheid van de impact - de impact van een ICT-crisis is veelal niet direct zichtbaar doordat gegevens in systemen geraakt worden en de juistheid en/of beschikbaarheid zich pas later manifesteert; - de snelheid waarmee een ICT crisis zich manifesteert - een ICT-crisis kan van het één op het andere moment gebeuren (aan/uit) of verspreidt zich als een veenbrand; - hoewel er ervaring is met DigiNotar is er in zijn algemeenheid weinig ervaring en bekendheid met het afhandelen van ICT-crises; - bij het aanpakken van de oorzaak tijdens een ICT-crisis is de overheid grotendeels afhankelijk van het handelen van private partijen; - het is aannemelijk dat de crisis een internationaal karakter heeft, waarbij de oorzaak van de grootschalige verstoring in het buitenland kan liggen, in meerdere landen tegelijkertijd kan optreden, of waarbij de oorzaak mogelijk (mede) in Nederland ligt; - veel ICT-diensten en voorzieningen zijn bij derde partijen uitbesteed waardoor er een aanzienlijke afstand kan ontstaan tussen degene die het probleem op moet lossen en de organisatie die getroffen is; - de crisisorganisaties worden zelf mogelijk ook zwaar geraakt in hun functioneren door uitval of een beperkte beschikbaarheid van de eigen ICT-middelen met een direct effect op interne en externe communicatie (waaronder telefonie); - er bestaat in tijden van crisis al snel een tekort aan deskundigen die aan bron- en effectbestrijding kunnen doen. Magazine nationale veiligheid en crisisbeheersing december

14 Cyber security We hebben hackers nodig Het Red Queen Effect beschrijft een situatie in wapenwedlopen waarbij twee partijen zich steeds beter bewapenen, waardoor uiteindelijk, ondanks alle moeite, geen van de partijen een voorsprong krijgt op de ander. Een beetje zoals Rusland en de VS tijdens de Koude Oorlog. De naam is ontleend aan het verhaal Through the Looking-Glass van Lewis Caroll, waarin Alice en de Red Queen zo hard rennen als ze kunnen, zonder vooruit te komen. Herbert Bos, hoogleraar Systems & Network Security aan de Vrije Universiteit in Amsterdam Cyber security is bij uitstek onderhevig aan het effect: cyberaanvallen worden steeds geavanceerder om steeds geavanceerder wordende verdedigingen te kunnen omzeilen, waardoor de verdedigingen weer geavanceerder worden, enz. Hoewel het nog maar de vraag is of wij deze wapenwedloop kunnen winnen, kunnen we het ons niet veroorloven om niet te strijden. Bovendien wordt het tijd dat we ons beter bewapenen. Veel meer dan tot nu toe het geval is geweest moeten we denken als een hacker. Slechte software Heel lang is cryptografie het voornaamste uitgangspunt in de informatiebeveiliging geweest: boodschappen versleuteld versturen zodat ze niet kunnen worden gelezen door de vijand. De meeste security-incidenten worden echter niet veroorzaakt doordat aanvallers de geheime code kraken, maar door de slechte staat van de software die op onze computersystemen draait. Deze software zit vol security gaten waardoor aanvallers kunnen binnendringen. De aanvaller is in het voordeel In de praktijk heeft elke software fouten. Zelfs zeer goed geprogrammeerde code bevat circa twee fouten per duizend regels. Besturingssystemen zoals Windows, Mac OS X en Linux bevatten tientallen miljoenen coderegels, dus tienduizenden fouten. En dan hebben we het nog niet eens over de applicaties zelf die vaak ook miljoenen coderegels bevatten en dus duizenden fouten. Om een systeem echt veilig te maken, moeten we elke kwetsbaarheid vinden en verhelpen. Een aanvaller hoeft er aan de andere kant slechts één te vinden. Dit is een welbekende asymmetrie tussen aanvallers en verdedigers in het voordeel van de aanvaller. We zouden bovendien in de toekomst moeten kunnen kijken, want een programma dat goed beschermd is tegen alle bedreigingen die vandaag de dag bekend zijn, kan morgen hopeloos kwetsbaar zijn als aanvallers een nieuwe soort exploit ontdekken. Erfenis Onze hedendaagse problemen zijn veroorzaakt door ontwerpbeslissingen uit het verleden. De software die vandaag de dag overal wordt gebruikt, is vaak ontworpen door een vorige generatie. Hoewel de programma s nog steeds perfect werken, zijn ze niet berekend op de huidige securitydreigingen. De fundamentele vraag is hoe de ontwikkelaars konden weten waartegen ze de systemen dienden te beschermen, als de problemen nog niet waren uitgevonden. Anders gezegd: waar moeten we ons vandaag tegen beschermen om ons morgen veilig te voelen? 14 Magazine nationale veiligheid en crisisbeheersing december 2013

15 Criminele infrastructuren Het is fascinerend wat een vaardige hacker kan doen met simpele fouten in systemen. Binnendringen en controle krijgen over een computer is slechts een eerste stap. Aanvallers bouwen hierop verder en downloaden andere programma s die de infectie vervolmaken. Deze nieuwe programma s installeren zichzelf op verborgen manieren en zorgen ervoor dat de computer onderdeel gaat uitmaken van een botnet, een verzameling van geïnfecteerde machines. Deze botnets kunnen miljoenen andere geïnfecteerde machines omvatten en vormen de ruggengraat van uiteenlopende criminele activiteiten: fraude, spam, ddos, diefstal en nog veel meer. Ronduit verontrustend is het dat er inmiddels zulke geavanceerde botnets zijn dat we ze niet of nauwelijks meer kunnen ontmantelen. Kennis en expertise Helaas zijn we als samenleving slecht geweest in het ontwikkelen van de benodigde kennis om de cyber security wapenwedloop goed uitgerust aan te kunnen gaan. Zeker in Europa hebben wetenschappers zich altijd sterk op de wiskundige en theoretische kant van informatiebeveiliging gericht. We hebben echter een gebrek aan mensen die de zwakheden van onze systemen begrijpen, kunnen omgaan met aanvallen en malware, betere systemen kunnen ontwikkelen en bestaande programma s veiliger kunnen maken. Zonder deze expertise zijn wij niet eens in staat om bij te blijven in de deze wapenwedloop, laat staan om hem te winnen. We hebben met andere woorden hackers nodig. Offensief onderzoek Onderzoekers van de Vrije Universiteit verdiepen zich in de mentaliteit en werkwijze van hackers en system security in het algemeen. Een interessante vraag is bijvoorbeeld hoe machtig de eerder genoemde criminele infrastructuren zoals botnets zijn. Kunnen we ze nog steeds verstoren, ook over vijf of tien jaar? De onderzoekers infiltreren in deze infrastructuren, om ze te bestuderen, te analyseren hoe ze zich ontwikkelen en te onderzoeken wat hun zwakheden zijn. Ze kijken ook naar wat aanvallers kunnen doen, ze zoeken bijvoorbeeld naar technieken die de aanvallers zouden kunnen gebruiken om meer schade aan te richten, nu en in de toekomst. Ook zoeken ze naar methoden om in een vroeg stadium kwetsbaarheden te vinden in goedaardige software, kwetsbaarheden die door aanvallers misbruikt kunnen worden. Al dit onderzoek vraagt om een diepgaande kennis van de onderliggende systemen, van de bits en de bytes en machinetaal die het fundament vormen onder onze informatiesystemen. Hackers! Undo knop De securityproblemen van vandaag zijn vrijwel zonder uitzondering het gevolg van een ontwerpbeslissing in het verleden. Iemand bedenkt een programmeertaal of een systeem en jaren later vindt iemand anders een ontwerpfout waardoor hackers het systeem over kunnen nemen. Vaak is het de ontwerper niet eens aan te rekenen. Met de kennis van toen was het misschien helemaal niet onveilig, maar nu zitten we met de gebakken peren. Wat we willen is een undo knop, om het probleem te laten verdwijnen zou ideaal zijn. Een oplossing die voorkomt dat de aanvaller misbruik maakt van de kwetsbaarheid. Die ervoor zorgt dat hij terug bij af is, alsof de hack nooit was uitgevonden. Geen volmaakte security, maar teruggaan naar de situatie voordat het probleem aan het licht kwam. De veiligheid van gisteren, maar dan vandaag. Magazine nationale veiligheid en crisisbeheersing december

16 Cyber security Op het hoogste niveau aandacht voor Stephanie de Ridder, directie Cyber Security, NCTV Cyber Resilience Op 5 november 2013 werd in het prestigieuze The Grand Sofitel in Amsterdam de tweede editie van de The Grand Conference georganiseerd. De conferentie was de finale van de succesvolle campagneweek Alert Online en bracht meer dan 250 topbestuurders uit 17 landen van publieke en private sectoren bijeen. In de zaal waar ooit Koningin Beatrix haar huwelijk beklonk, benadrukte de participanten het belang van cyber resilience, genereerden nieuwe inzichten en leerden van elkaars kennis en ervaring. Leading by doing liep als een rode draad door de dag en kwam tot uiting door de ondertekening van de Cyber Resilience Principles van het World Economic Forum. Gedurende de dag stond een divers palet aan lezingen, master classes en paneldiscussies op het programma. Na de opening door dagvoorzitter Jan Bonjer, en een woord van welkom door burgemeester Eberhard van der Laan, gaf Minister Opstelten van Veiligheid en Justitie het startschot. Volgens Opstelten is cyber hot. De belangen zijn enorm, het functioneren van onze samenleving zonder internet is ondenkbaar geworden en daarmee is de urgentie van dergelijk samenkomen rondom het thema digitale weerbaarheid groter dan ooit. Ook gaf de Minister de zaal een opdracht mee; neem de inzichten uit het congres mee naar de eigen organisatie en wees aldaar een ambassadeur van een sterkere digitale weerbaarheid. Stephen Greenhalgh, loco-burgemeester van Londen, deelde de ervaringen die hij opdeed tijdens de Olympische Spelen in Een goede voorbereiding en hoog bewustzijn zorgde ervoor dat zelfs de meest onverwachte cyberaanvallen in de kiem konden worden gesmoord. Jake Wood, oprichter Team Rubicon, vertelde hoe hij overstapte van marinier naar weldoener van een ander soort. Samen met andere ex-mariniers vormt hij Team Rubicon, waarmee hij lokale bevolkingen in rampgebieden te hulp schiet. Een inspirerend verhaal met een klinkende kernboodschap: in crisissituaties is naast lef, doorzettings- vermogen en pragmatiek, leiderschap van doorslaggevend belang. Diversiteit is troef in de paneldiscussies. In de tweede paneldiscussie zorgden Dick Schoof (Nationaal Coördinator Terrorismebestrijding en Veiligheid), Udo Helmbrecht (directeur ENISA), Mark Hughes (directeur BT Security) en Jake Wood voor een bevlogen discussie met het publiek. Wat moeten wij doen om de digitale weerbaarheid van onze wereld te verbeteren? En wat is het belang van vertrouwen in het bouwen van een digitaal weerbare samenleving? Masterclasses met thema s als Leading by doing, The need for education en Influencing company boards 10 steps to cyber security zorgden voor bevlogen conversaties. Bij een van de sessies leerden de aanwezigen dat het intern delen van kennis onontbeerlijk is, maar daarnaast juist buiten de grenzen van de eigen kantoormuren kennisdeling geïntensiveerd zou moeten worden. Cross-sectorale kennisdeling zorgt er voor dat we weerbaarheid van onze maatschappij met kikkersprongen vooruit kunnen helpen. Als kers op de taart tekenden verschillende partijen de Cyber Resilience Principles van het World Economic Forum. Hiermee wordt voor het eerst tastbaar invulling gegeven aan het uitgangspunt van privaat-publieke participatie, een van de belangrijkste pijlers van de nieuwe Nationale Cyber Security Strategie. Met het ondertekenen van deze principes committeren de betreffende organisaties zich aan een gedragscode en beloven een cyber risk management programma te implementeren, die ook andere partijen moet stimuleren om op het gebied van cyber security hun verantwoordelijkheid te nemen. De complexiteit en levendigheid die cyber resilience kenmerkt vraagt om intensief leiderschap en brede participatie. De bevlogenheid van de participanten van The Grand Conference biedt hoop op een digitaal weerbare samenleving. Samen van onbewust naar bewust en van bewust naar bekwaam! 16 Magazine nationale veiligheid en crisisbeheersing december 2013

17 Cyber security Cyber security staat sterker dan ooit op de agenda van overheid, wetenschap en bedrijfsleven. Dat is de belangrijkste conclusie na de awarenesscampagne Alert Online 2013, een initiatief van de NCTV en meer dan vijftig publieke en private partners. Het is nu zaak dit gevoel van urgentie vast te houden, aldus Nationaal Coördinator Veiligheid en Terrorismebestrijding Dick Schoof. Digitale veiligheid krijgt topprioriteit Terugblik op bewustwordingscampagne Alert Online Terugblik op bewustwordingscampagne Alert Online In november vroeg de campagne Alert Online tien dagen lang de landelijk aandacht voor veilig en bewust internetgebruik. De respons mag gerust zeer bemoedigend heten. De partners van de NCTV organiseerden een breed scala aan eigen activiteiten rond het thema, zoals de Cyber Future Search (TU Delft, de Cyber Security Raad en de NCTV), de autumn school van het NCSC met een reeks zeer diverse en interessante sprekers, de presentatie van het position paper Virtuele risico s, echte schade door het Verbond van Verzekeraars en de simulatie van een cyberaanval door KPMG. Daarnaast was er vanuit de landelijke media veel aandacht voor de bewustwordingscampagne. De NOS, RTL Nieuws en BNR Nieuwsradio berichtten elk over verschillende aspecten van digitale veiligheid. Ook veel geschreven media, zoals het Financieel Dagblad en Nu.nl, haakten aan. De kick-off van de campagne was zelfs de opening van het FD. Blijvend investeren We zijn blij met alle aandacht die het onderwerp heeft gekregen, blikt Dick Schoof terug. Cyber security heeft aandacht nodig vanuit de top van organisaties. De campagne heeft duidelijk laten zien dat die conclusie door steeds meer publieke en private partijen wordt gedeeld. Alert Online 2014 bouwt daar volgend jaar op door. Toch waarschuwt Schoof ervoor om niet achterover te leunen. Het bewustzijnsonderzoek dat in aanloop naar de campagne is uitgevoerd, laat zien dat zelfoverschatting op het gebied van digitale veiligheid nog altijd op de loer ligt. Veel van onze partners zien gelukkig het nut van blijvende investeringen in digitale veiligheid. Het is zaak dit gevoel van urgentie vast te houden en 365 dagen per jaar alert online te blijven. De campagnewebsite blijft om die reden voorlopig ook in de lucht, juist omdat alertonline.nl heel praktisch laat zien wat je zelf vaak eenvoudig kunt doen om risico s te voorkomen. Daarom zeg ik: Blijf Alert Online, doe je voordeel met de vele handige tips op de website en zorg dat je veilig gebruik blijft maken van je pc, laptop of smartphone. Nederland leading Al bij de opening van de campagne bleek dat Nederland hoog inzet op het gebied van digitale veiligheid. Tijdens de kick-off in het Haagse hoofdkantoor van Shell presenteerde minister Opstelten de tweede Nationale Cyber security Strategie, die ervoor moet zorgen dat Nederland leading wordt op het gebied van cyber security. In de aanpak is een belangrijke taak weggelegd voor zowel overheid als private partners. Het gaat niet langer om samenwerking, we gaan een stap verder: het draait om participatie. We mogen meer van elkaar verwachten en elkaar aanspreken op resultaten, aldus de minister. Fundamenteel onderdeel van aanpak Alert Online besteedde ook ruim aandacht aan onderwijs en onderzoek op het gebied van digitale veiligheid. Die expertise is hard nodig om de cyber securityvraagstukken van morgen op lossen. De tweede Nationale Cyber Security Research Agenda die NWO en het ICT Innovatie Platform Veilig Verbonden (IIPVV) in Nieuwspoort presenteerden, is daar een belangrijk fundament voor. Topniveau Tijdens het slotakkoord van de campagne, de Grand Conference in Amsterdam, zetten bedrijfsleven en overheid cyber security definitief op topniveau op de agenda. Namens de private sector spraken onder meer de Nederlandse Vereniging van Banken, de Nederlandse Vereniging van Ziekenhuizen en Nederland ICT af om zich actief in te zetten voor een veilige digitale omgeving en daarbij een voorbeeldfunctie te vervullen. Minister Opstelten van Veiligheid en Justitie ondertekende het initiatief namens een aantal Nederlandse departementen, en deed zo een eerste stap om de ambities uit de nieuwe Nationale Cyber security Strategie waar te maken. Alert Online 2014 Ook in 2014 zijn we natuurlijk alert online. Noteer daarom nu vast de nieuwe campagne data. Alert Online 2014 vindt plaats van maandag 27 oktober tot en met donderdag 6 november. Magazine nationale veiligheid en crisisbeheersing december

18 Veiligheid terug in onze Grondwet. Onder die kop publiceerden wij afgelopen zomer, dinsdag 13 augustus, een artikel op de opiniepagina van het NRC Handelsblad. Op de zondagavond daaraan voorafgaande had Beatrice de Graaf die publicatie in Zomergasten aangekondigd. Wat bracht ons ertoe om gezamenlijk een artikel te schrijven? En wat beogen wij met ons pleidooi voor een grondwetswijziging? Veiligheid als sociaal contract Beatrice de Graaf, hoogleraar Conflict en veiligheid, Universiteit van Leiden Marjolein B.A. van Asselt, raadslid Wetenschappelijke Raad voor het Regeringsbeleid (WRR) en hoogleraar Risk governance, Universiteit Maastricht Sociale en fysieke veiligheid In het Nederlands is veiligheid een breed begrip. Het heeft betrekking op terroristische aanslagen, criminaliteit en andere moedwillige aantastingen van de veiligheid (in het Engels aangeduid als security). Maar het verwijst ook naar gevaren die primair een natuurlijke of technologische oorzaak hebben (in het Engels: safety). In het Nederlands wordt het eerste vaak sociale veiligheid genoemd en het tweede fysieke veiligheid. In beleid en politiek zijn het ook verschillende domeinen geworden, met andere woordvoerders en netwerken, ondanks pogingen zoals de Strategie Nationale Veiligheid om verschillende soorten veiligheidsvraagstukken met elkaar in verband te brengen. Ook in wetenschappelijke kringen zijn safety en security verschillende werelden, met hun eigen tijdschriften en fora. Van uitwisseling, laat staan interdisciplinair onderzoek waarmee bruggen geslagen worden tussen onderzoeksgemeenschappen, is eigenlijk geen sprake. Meestal worden als gevolg van deze verkaveling de verschillen tussen sociale en fysieke veiligheid benadrukt. Met het artikel in de NRC wilden wij juist aandacht vragen voor de overeenkomsten, die volgens ons minstens zo belangrijk zijn. Het is niet toevallig dat in het dagelijkse taalgebruik zowel voor doelbewust als voor onbedoeld gevaar de term (on)veiligheid wordt gehanteerd. In alle gevallen geldt dat (on)veiligheid het resultaat is van het handelen van heel veel verschillende partijen, die er hun eigen belangen en logica s op na houden. Vaak is sprake van internationaal vertakte ketens en netwerken, waar een nationale overheid hooguit beperkt grip op heeft. De veiligheid komt in het geding als materiële en immateriële zaken die de maatschappij waardevol acht bedreigd worden. Dan gaat het over mensenlevens, gezondheid, private bezittingen, publieke belangen, economische activiteiten en de kwaliteit van de leefomgeving, maar ook over de integriteit van de persoonlijke levenssfeer (privacy). Mensen, de omgeving, private en publieke zaken kunnen op allerlei manieren beschadigd worden, moedwillig of, letterlijk en figuurlijk, per ongeluk, door een samenloop van omstandigheden. De fundamentele vraag is in alle gevallen of we overheid, bedrijfsleven, burgers het goede doen om schade te voorkomen, te beperken of af te dekken. Bij alle veiligheidsvraagstukken gaat het uiteindelijk om het omgaan met risico s en onzekerheden en het maken van lastige afwegingen. Noodzaak van een kader Juist omdat die afwegingen zo lastig zijn, is een meer strategisch gesprek over veiligheid, waarin de overeenkomsten tussen uiteenlopende veiligheidsvraagstukken centraal staan, noodzakelijk. Het aangaan van een dossieroverstijgend, bovenpartijdig gesprek over veiligheid kan helpen om een kader te ontwikkelen, waarbinnen specifieke veiligheidskwesties kunnen worden afgewogen. Zo n kader moet meer zijn dan een afwegingskader voor ambtenaren en politici. Het gaat bij veiligheid immers zowel om een klassiek grondrecht (de burger moet worden beschermd) als om een sociaal grondrecht (de overheid moet de veiligheid collectief bevorderen). Uit de Grondwet en internationale verdragen vloeien positieve verplichtingen voort om garant te staan voor een bepaald niveau van veiligheid en risicoafdekking. Juist in die combinatie van recht op en plicht tot bescherming zit de angel. 18 Magazine nationale veiligheid en crisisbeheersing december 2013

19 Ten aanzien van veiligheid is een bepaald verwachtingsniveau over de overheid dus gerechtvaardigd. De legitimiteit van de overheid kan onder druk komen te staan als de overheid tekort schiet in de zorg voor veiligheid. Verwachtingen over de zorg voor veiligheid kunnen echter ook overspannen zijn. Dat de overheid geen absolute veiligheid kan garanderen is intussen een open deur. De rechtstaat legt bovendien ook beperkingen op aan de mogelijkheden van de overheid om de veiligheid te garanderen. De rechtstaat en de persoonlijke levenssfeer van burgers mogen immers niet bezwijken door veiligheidsbevorderende maatregelen. Dus het gaat om een subtiel evenwicht tussen rechten en plichten van overheid, bedrijfsleven en burgers. Het is een stap in de goede richting om in de politiekbestuurlijke wereld te werken aan een dossieroverstijgend kader voor veiligheid. Dat is de inzet van de Strategie Nationale Veiligheid, en de daaraan gekoppelde Nationale Risicobeoordeling en ook van het BZK-programma Risico s en verantwoordelijkheden (River). De staatssecretaris van Infrastructuur en Milieu (IenM), mevrouw Mansveld, heeft onlangs in de Eerste Kamer toegezegd te gaan werken aan een dossieroverstijgend kader voor de IenM veiligheidsvraagstukken. 1 Daaruit blijkt dat de door ons geschetste noodzaak van een overkoepelend kader een behoefte is die in ambtelijke en politieke kringen steeds nadrukkelijker wordt gevoeld, geagendeerd en opgepakt. Maar wij willen graag benadrukken dat we er daarmee nog niet zijn. Veiligheidsartikel in de Grondwet Tussen 1798 en 1983, dus bijna tweehonderd jaar lang, stond er een passage in de Grondwet, die luidde: Het oogmerk der maatschappelijke vereeniging is beveiliging van persoon, leven, eer en goederen, en beschaaving van verstand en zeden (Artikel 1). Ook in de Grondwet van 1815 keerde die bescherming van personen en goederen terug als oogmerk van de nieuwe staat een passage die in de Grondwet van 1848 werd herhaald. Veiligheid was sinds de Verlichting officieel de basis onder het sociale contract waarmee de centrale natiestaat grondwettelijk werd gevestigd. De metafoor van het sociale contract hield in dat burgers aan gezag en geweldsmonopolie werden onderworpen en in ruil daarvoor bescherming kregen. In 1983 werd die veiligheidspassage echter geschrapt. De vraag die wij ons gesteld hebben is of het een idee zou zijn om veiligheid weer in de Grondwet op te nemen. En dan niet op een simplistische manier zoals de Duitse minister van Binnenlandse Zaken Friedrich het voorstelde, om met een Supergrundrecht Sicherheit eenzijdig als overheid allerlei grondrechten buiten spel te kunnen zetten. Nee, het zou een passage moeten zijn waarin het idee van veiligheid als sociaal contract, dus als tweezijdige overeenkomst, wordt afgestoft. Zodat het een kader kan bieden waarbinnen veiligheid en vrijheid weer met elkaar in verband kunnen worden geplaatst en waarmee alle huidige en toekomstige veiligheidskwesties van een nieuw kader worden voorzien. 1 Zie artikel Jung en Molenaar in dit nummer (p. 38 e.v.). Magazine nationale veiligheid en crisisbeheersing december

20 Natuurlijk zijn er Europese en andere internationale bepalingen, maar een nationaal, constitutioneel ijkpunt als pijler onder terugkerende debatten over veiligheid zou kunnen helpen. Het kan houvast bieden op momenten dat ten aanzien van veiligheid beslissingen worden genomen. Er staat een voortdurende druk op autoriteiten en overheidsorganisaties om veiligheid en voorzorg tot oogmerk van beleid en protocollen te maken en om risico s zo veel mogelijk in te perken. Zeker als zich aantastingen van de veiligheid voordoen, wordt over veiligheid in absolute termen gesproken, terwijl tegelijkertijd waarschuwingen klinken voor overhaaste en disproportionele reacties. Onder de noemer van veiligheid worden allerlei maatregelen genomen die niet alleen de vrijheidsgrondrechten en gelijkheid (kunnen) ondergraven, maar die ook onveiligheid in de hand kunnen werken. DigiNotar is daarvan een voorbeeld: bedoeld om digitale veiligheid te bevorderen, maar het bleek te leiden tot toegenomen kwetsbaarheid. De Onderzoeksraad voor Veiligheid liet in de metastudie Veiligheid in perspectief zien dat de institutionele arrangementen voor veiligheid vaak zo complex zijn geworden, dat ze bijdragen aan het ontstaan en optreden van risico s. Hierbij past ook de vraag hoe inbreuken op burgerrechten en privacy zich verhouden tot de veronderstelde veiligheidswinst. Al die tegenstrijdigheden en verwarring verdienen een grondiger afweging. Veiligheidsbeleid gaat nooit alleen over de dreiging, maar over mensen en zaken die beschermd moeten worden. Tegen invallen en aanvallen van andere personen, tegen natuurgeweld, tegen grote ongelukken, maar ook tegen al te drieste inbreuken van de overheid of marktpartijen. Een Grondwetswijziging vergt een publieke discussie, die zou moeten gaan over de vraag hoe de tweezijdigheid van het sociale contract in de huidige tijd gestalte moet krijgen. Hoe ziet de balans tussen preventie en reactie, tussen zelfregulering en voorzorgsmaatregelen, tussen eigen verantwoordelijkheid van burgers en bedrijven en overheidsinterventies eruit? Volksvertegenwoordigers zouden gesteund door wetenschappers en ambtenaren dit fundamentele debat moeten durven aangaan. In ons opinieartikel stelden we Met de ambitie van een nieuw veiligheidsartikel in de Grondwet kunnen we voorbij symboolpolitiek en gemakkelijke opwinding komen. Daarmee wordt de veiligheid pas echt gediend. Symboolpolitiek? Voor ons staat een veiligheidsartikel in de Grondwet symbool voor het feit dat het benodigde kader voor veiligheid meer is dan een beleidsinstrument. Het gaat niet alleen en ook niet primair om het afwegen en communiceren van vaak ongelijksoortige risico s. De tweezijdigheid van het sociale contract, dus het feit dat het om zowel rechten als plichten van overheid, burgers en bedrijfsleven gaat en de erkenning dat het niveau van veiligheid het resultaat is van gezamenlijke inspanningen, verdient veel meer aandacht. De Grondwet is weliswaar geen echte wet, omdat het geen bindende regeling is en Artikel 120 ook uitsluit dat de rechter over de toepassing van de Grondwet een oordeel mag geven 2, maar het is toch de plek waar het sociale contract expliciet onder woorden wordt gebracht. Het is niet zonder betekenis dat een veiligheidsartikel gedurende twee eeuwen expliciet onderdeel uitmaakte van de Grondwet. Dat is dus volgens ons ook de plek waar het resultaat van het fundamentele debat over veiligheid en vrijheid zou kunnen neerslaan. Wij zien een veiligheidsartikel in de Grondwet niet als een doel, maar als een middel om aandacht te vragen voor het fundamentele karakter van het dossieroverstijgende en bovenpartijdige debat dat volgens ons over veiligheid gevoerd moet worden. Een publieke discussie over een veiligheidsartikel in de Grondwet zou daar een platform voor kunnen bieden en zou de primair politiekambtelijke pogingen die nu worden ondernomen om te komen tot een breder kader van de benodigde maatschappelijke en normatieve dimensie voorzien. Een wijziging van de Grondwet is per definitie een langdurig proces. De impliciete boodschap van ons pleidooi is dan ook dat het veel tijd en moeite zal kosten om bruggen te slaan tussen overheid, burgers en bedrijfsleven, tussen departementen en tussen onderzoeksgemeenschappen. Oog hebben voor de overeenkomsten tussen uiteenlopende veiligheidsvraagstukken is veel moeilijker dan het unieke van een dossier tot uitgangspunt nemen. Het reduceren van veiligheidsvraagstukken tot overzichtelijke dossiers is veel gemakkelijker dan het stellen van fundamentele, en dus abstracte en strategische, vragen. Het is eenvoudiger om na een incident maatregelen af te kondigen, dan het bredere onbehagen en ongemak over lastige afwegingen onder ogen te zien. Maar dat het ontwikkelen van een nieuw kader voor veiligheid moeilijk en tijdrovend zal zijn, mag geen excuus zijn. Ook daarom hebben we een wijziging van de Grondwet als kapstok voor ons opinieartikel genomen: ondanks de moeite die het kost, is de Grondwet in het verleden aangepast, gewijzigd en herzien en is die ook nu niet in beton gegoten. Met die analogie willen wij benadrukken dat een algemeen kader voor veiligheid geen utopie is, maar een realiseerbare toekomst, als er voldoende bereidheid is om er gezamenlijk de schouders onder te zetten. De tijd lijkt daar rijp voor 2 Met dank aan Gerrit van der Meij, in het verleden gelieerd aan de Raad van State, 10 september aan de auteurs. 20 Magazine nationale veiligheid en crisisbeheersing december 2013