De moeizame ontstaansgeschiedenis van cybersecurity in België (i.s.m. Tijdschrift voor Internationale Handel en Transport) Abstract De vierde industriële revolutie staat voor de deur, we evolueren naar een maatschappij waar technologieën samensmelten en grenzen tussen het fysieke, digitale en biologische vervagen. Cyberveiligheid groeit intussen pijlsnel uit tot een maatschappelijk probleem. Hoe gaat België hier mee om? Moeizaam, op z n Belgisch, zo blijkt. Keywords: cyberveiligheid, cyberstrategie, cybersecurity centrum van België, cybersecurity governance, netwerkorganisatie. Artikel In de kern van moeilijkheden schuilen mogelijkheden (Albert Einstein) Op weg naar het digitale Utopia? Op dinsdag 6 februari 2018 lanceerde SpaceX, het bedrijf van multimiljonair Elon Musk, haar Falcon Heavy voor een onbemande vlucht in de ruimte. Onbemand? Nou niet echt, want aan boord stak de elektrische sportwagen van Musk, een kersrode Tesla Roadster met daarin een paspop verkleed als SpaceX s Starman op de bestuurderszetel vastgegespt. Ondertussen is de wagen met chauffeur in een baan om de zon gelanceerd en dit terwijl David Bowie s Space Oddity op de achtergrond weerklinkt. Onafgezien van het feit dat de Falcon Heavy ook een hele grote lading promotie met zich meedroeg, zou het onwezenlijk zijn om het gebeuren af te doen als een commercieel fait divers. De lancering getuigt van een op til zijnde fundamentele maatschappelijke omwenteling en waarvan mag worden aangenomen dat het ons allen en alle geledingen van de maatschappij zal raken en veranderen. Volgens Klaus Schwab, oprichter van het World Economic Forum, staan we aan de vooravond van de vierde industriële revolutie en evolueren we naar een maatschappij waarbij technologieën zullen samensmelten en de grenzen tussen het fysieke, digitale en biologische zal vervagen (Schwab & Davis, 2018). Het is een revolutie waarvan voorspeld wordt dat het verandering zal brengen aan een snelheid, omvang en kracht zoals we die nog nooit eerder hebben ervaren. Verwacht wordt dat het onze menselijke beleving op elk vlak en in elk aspect zal beïnvloeden. Denk maar aan de ontwikkelingen op het vlak van zelfrijdende auto s, wearables, nanotechnologie, 3D printen, virtuele realiteit en robotisering. Naarmate de vierde industriële revolutie zich verder voltrekt, zal het belang van cyberveiligheid exponentieel toenemen. Onder invloed van de derde industriële revolutie groeide cyberveiligheid al uit tot een maatschappelijk probleem, verwacht wordt dat naarmate de digitalisering zich verder doorzet dit vraagstuk enkel in complexiteit zal toenemen.
Terwijl ontwikkelingen op het vlak van - bijvoorbeeld - het internet der dingen, cloud computing, artificiële intelligentie en machine learning onze digitale afhankelijk verder doet toenemen, neemt ook het risico op mondiale cybercatastrofes toe. Is het niet symbolisch dat op 6 februari 2018 - terwijl Musk zijn Falcon Heavy lanceert - de Belgische internetprovider Telenet aan de pers melding maakt van het feit dat hackers dagelijks gemiddeld twee DDoS-cyberaanvallen uitvoeren op het Telenet-netwerk (Het Laatste Nieuws, 2018) Verder zijn de ransomware aanvallen van mei en juni 2017, exemplarisch voor de potentiële omvang en snelheid waarmee cyberaanvallen zich kunnen manifesteren. In een tijdspanne van een etmaal werden wereldwijd hele bedrijfssectoren of overheidsinstellingen digitaal lam gelegd. De oprichting van een nationaal cybersecurity center: requiem voor gemiste kansen. Terwijl de vraag naar meer en betere cyberveiligheid uit diverse (economische, juridische, maatschappelijke) hoeken weerklinkt, valt het op dat er weinig besteed wordt aan het businessmodel waarmee de Belgische overheid het probleem van cyberveiligheid aanpakt. Een analyse van de ontwikkelingen op het vlak van cyberveiligheid in België toont aan dat de opeenvolgende regeringen lang getalmd hebben om cybersecurity governance of het beheer van cyberveiligheid vorm te geven. Eind 1999, in de wereldwijde aanloop naar de millenniumovergang, heerste er ook in België angst voor de uitbraak van de millenniumbug. Gevreesd werd dat de eeuwwisseling enorme problemen zou veroorzaken voor de software van vele computers, wat tot een wereldwijde crash van geïntegreerde computersystemen zou leiden. Achteraf bekeken, was deze wereldwijde dreiging, gemeenschappelijk omgedoopt tot het Year 2000 problem (Y2K problem) ook het startsein voor het opstarten van initiatieven inzake het beheer van cyberveiligheid. Hoewel het Y2K probleem eerder beschouwd werd als een business probleem, namen ook overheden al of niet gesteund vanuit de Verenigde Naties of de Wereldbank initiatieven om de nationale coördinatie van cybersecurity in sleutelsectoren te organiseren of te verstevigen. Zo namen ook verschillende overheden in België het initiatief om gedurende de nieuwsjaarnacht hetzij regionale, provinciale en zelfs nationale crisiscentra te openen met als doel de evolutie inzake de millenniumbug op te volgen en om eventuele specifieke maatregelen ingeval van onderbrekingen te kunnen nemen. Niettegenstaande de feestnacht voorbijging zonder noemenswaardige cyberincidenten, besliste het toenmalig ministerieel comité voor inlichtingen en veiligheid in februari 2000 om een werkgroep op te richten. Deze werkgroep moest nagaan of de bevoegdheden van een federaal agentschap kon worden uitgebreid met aspecten van cyberveiligheid, zoals encryptie en beveiliging van informatie. Echter, toen de werkgroep tot de conclusie kwam dat er geen enkele overheidsinstelling in aanmerking kwam voor een dergelijke bevoegdheidsuitbreiding, kreeg de werkgroep het mandaat om uit te zoeken of de oprichting van een nieuwe overheidsdienst tot de mogelijkheden behoorde. Evenwel werd in 2005 van dit idee afgezien ingevolge budgettaire problemen. Een alternatief werd gevonden in de oprichting van een informeel overlegplatform, Belgian Network & Information Security (BeLNIS) genaamd. Het doel van dit platform was om kennis te vergaren en aanbevelingen te formuleren inzake informatiebeveiliging. De activiteiten van dit platform verliepen onder het voorzitterschap van de minister bevoegd voor de digitalisering, terwijl de federale overheid informatie en communicatietechnologie (FEDICT) de taak van netwerksecretariaat op zich nam. Zes jaar later, in 2011, creëerde de overheid het CERT of Computer Emergency Response Team en ontwikkelde het een beleidsverklaring betreffende de ontwikkeling van een federaal veiligheidsplan inzake informatienetwerken en -systemen.pas in de tweede helft van 2012 besliste de overheid om
een werkgroep op te richten met het oog op concrete voorstellen voor de ontwikkeling van een cyberveiligheidsstrategie. Deze strategie werd vervolgens op 3 oktober 2012 door de regering voorgesteld. De uitvoering van deze strategie had echter veel voeten in de aarde. Niettegenstaande de ministerraad de Eerste Minister reeds op 21 december 2012 de opdracht gaf om de uitvoering van de strategie te coördineren, kondigde de regering op 6 november 2013 bijna een jaar later aan dat ze uiteindelijk werk zou maken van de uitvoering van de cyberveiligheidsstrategie. Aldus zou de regering de nodige budgetten vrijmaken voor de oprichting van een nationaal centrum voor cyberveiligheid. Zes maanden later - in 2014 besliste de regering over de werkelijke toekenning en bestemming van het reeds in november 2013 gereserveerde budget en viel de finale beslissing tot oprichting van het Cybersecurity Centrum van België (CCB). Uiteindelijk startte het CCB zijn operationele activiteiten in januari 2015. Silo-mentaliteit domineert de cybersecuritystrategie. Hoewel de recente ontwikkeling van het CCB symbool staat voor de lange strijd in de ontwikkeling van een gecentraliseerde en geïntegreerde aanpak van cyberveiligheid in België, garandeert dit geenszins dat cyberveiligheid in België nu effectief en efficiënt beheerd wordt. Deze terughoudendheid komt voort uit het feit dat, zoals de analyse reeds aantoonde, de Belgische regeringen niet de minste intentie hadden om een genetwerkt beheer van cyberveiligheid te ontwikkelen. Klaarblijkelijk was de eerste intentie van de overheid om cyberveiligheid op de klassieke manier te benaderen, namelijk vanuit een hiërarchische geïnspireerde organisatie. De optie voor genetwerkt beheer van cyberveiligheid werd in feite opgedrongen. Door de budgettaire problemen besliste de regering in 2005 om het beheer van cyberveiligheid in handen te geven van een netwerk, weliswaar een informeel netwerk zonder enige (operationele) bevoegdheid behoudens een adviserende rol. Evenwel liet de regering het netwerk jarenlang in een vacuüm werken, aangezien het nog zeven jaar duurde vooraleer de overheid haar eerste cybersecuritystrategie ontwikkelde. In de eerste cyberveiligheidsstrategie staat weinig over hoe de Belgische regering de ontwikkeling van het beheer van cyberveiligheid in ons land vorm wil geven, behalve dat: Cyber security moet gecentraliseerd en geïntegreerd worden aangepakt door een centraal orgaan (FOD Kanselarij van de eerste minister, 2012). Echter, het is algemeen geweten dat België een cybersecuritystrategie opstelde nadat het daartoe door Europa werd verplicht omdat ons land als enige in Europa niet over een dergelijke strategie beschikte. De tweede cyberveiligheidsstrategie de 2014 strategie van defensie is iets gedetailleerder. Volgens deze strategie wordt de coördinatie van cyberveiligheid in België op twee niveaus gevoerd: het verticale of beleidsniveau en het horizontale of operationele niveau. Het beheer van cyberveiligheid op het verticale niveau wordt geleid door de nationale veiligheidsraad en bestaat uit de voorbereiding van het cyberveiligheidsbeleid via verschillende platforms onder leiding van het Coördinatiecomité voor Inlichtingen en Veiligheid. Een van die platformen behandelt het onderwerp cyberveiligheid en hiervoor is het CCB aangeduid als pilootagentschap. Het doel van dit platform is bewerkstelligen van een betere kennis van cyberdreigingen. Dit platform heeft ook nog een sub-platform cyber-intelligence, onder leiding van ADIV, de militaire inlichtingendienst. Het beheer van cyberveiligheid op het operationele niveau wordt gecoördineerd door het CCB. Hoewel de regering de doelstelling had om via de creatie van het CCB tot een geïntegreerde aanpak van cyberveiligheid te komen, kan de oprichting van het CCB ook als de uitbreiding van het silo-
model geïnterpreteerd worden. In plaats van een cyberveiligheidsgemeenschap te creëren door het samenbrengen van expertise en kennis uit andere overheidsinstellingen of silo s (bv. justitie, politie, leger, staatsveiligheid, FOD-economie e.a.) heeft men ervoor gekozen om een nieuw orgaan te installeren gestoeld op bureaucratische principes en methodieken. Een dergelijke aanpak creëert complexiteiten omtrent de coördinatie en het management van de cyberveiligheid in België. Analyse van de wijze waarop het CCB tot stand is gekomen, wijst eerder op een vlugge, ondoordacht manier van handelen. Er kan bezwaarlijk geargumenteerd worden dat het beheer van cyberveiligheid in België in de vorm van het CCB - grondig werd gepland of voorbereid. Het ontstaan van het CCB is in feite het resultaat van golven van externe druk op de regering. De eerste golf van externe druk kwam er in juni 2013, toen bekend raakte dat de nationale telecom operator Belgacom (nu Proximus) gehackt was door bevriende naties, waaronder het Amerikaanse NSA en de Britse GCHQ. De tweede golf kwam er enkele weken voor de nationale verkiezingen van 2014, wanneer bleek dat het ministerie van Buitenlandse Zaken gehackt was. Tot op vandaag worden er vragen gesteld omtrent de manier waarop België omgaat met cyberveiligheid. Afgelopen zomer nog drukte Bart Perneel, cybersecurity-expert aan de KU Leuven (Bové & Luyckx, 2017), zijn bezorgdheid uit omtrent de lakse, ongeïnteresseerde houding vanuit politieke kringen voor cybersecurity. Volgens hem reageert België te traag en begint het achterop te hinken en mist ons land een uitgekiend cybersecurityplan. Het wordt hoog tijd dat België, in het licht van de nakende vierde industriële revolutie, werk maakt van een netwerkorganisatie inzake het beheer van cybersecurity. Het biedt de mogelijkheid om een echte joined-up of whole-of-government aanpak te realiseren. Lic. Rafael Rondelez, doctoraal researcher UGent Deze bijdrage kwam tot stand in samenwerking met de redactie van het Tijdschrift voor Internationale Handel en Transport (IHT). De auteur schreef een uitgebreid artikel over Towards an effective and efficient cyber security capability in Belgium in een themanummer over Cyber security, IHT 2017/4 [stradalex-link: https://www.stradalex.com/nl/sl_rev_utu/toc/iht_2017_4-nl/doc/iht2017_4p465 ]. Meer info over IHT: https://www.larciergroup.com/nl/tijdschrift-voor-internationale-handel-entransportrecht.html Geciteerde werken Bové, L., & Luyckx, D. (2017, augustus 29). Defensie zoekt massa cyberexperts om cyberaanvallen de baas te kunnen. De Tijd. FOD Kanselarij van de eerste minister. (2012). Cyber Security Strategy. Brussel: De Kanselarij. Het Laatste Nieuws. (2018, februari 06). Twee aanvallen per dag, mogelijk ook met uw computer. Het Laatste Nieuws. Schwab, K., & Davis, N. (2018). Shaping the Fourth Industrial Revolution. Cologny/Geneva: World Economic Forum.