Tekst Arianne Janse
Foto Ministerie van Buitenlandse Zaken

Speciaal voor de juni-editie van de Veiligheidsdiplomaat bezochten wij het door groen omgeven Huys Clingendael. In een van de met boekenkasten gevulde zolderkamertjes vinden we Sico van der Meer. Sico maakt deel uit van het Nederlands Instituut voor Internationale Betrekkingen ‘Clingendael’ en verricht onder meer onderzoek naar cyberwapens vanuit een strategisch beleidsperspectief. We vragen Sico naar zijn opvattingen over een veilig cyberdomein en de rol die diplomatie hierbij speelt.

Leestijd: 6 minuten

Sico van der Meer is onderzoeker bij het Nederlands Instituut voor Internationale Betrekkingen ‘Clingendael’ te Den Haag. Zijn onderzoek richt zich o.a. op het strategisch beleid met betrekking tot non-conventionele wapens zoals massavernietigingswapens en cyberwapens. Sico heeft een master geschiedenis behaald aan de Radboud Universiteit Nijmegen in 1999. Voordat hij bij Instituut Clingendael begon, werkte hij bij een denktank op het gebied van civiel-militaire betrekkingen en in de journalistiek. In 2016 was hij zeven maanden gedetacheerd bij de Taskforce International Cyber Policies van het ministerie van Buitenlandse Zaken.

In een van je artikelen schrijf je over de rol van diplomatie in het cyberdomein. Waarom speelt diplomatie een sleutelrol bij het creëren van een veilig cyberdomein? 

Waar veel middelen die ingezet worden voor een veilig cyberdomein slechts effect hebben op korte termijn, heeft diplomatie effect op lange termijn. Natuurlijk zijn middelen als afschrikking en verdediging belangrijk; systemen en netwerken moeten tenslotte veilig zijn. Het enkel vertrouwen op deze middelen zorgt op lange termijn echter voor escalatie. Een cyber wapenwedloop ontstaat en de spanning neemt alleen maar toe. Daarom is het belangrijk in te zetten op diplomatie: het overleggen, onderhandelen en identificeren van gemeenschappelijke belangen. Wanneer overeenstemming bereikt wordt kunnen gemeenschappelijke belangen verankerd worden in internationale normen en zogenaamde vertrouwenwekkende maatregelen. Dit zorgt in de toekomst voor meer stabiliteit. Wel is het daarbij belangrijk te realiseren dat de diplomatieke processen vaak veel tijd nodig hebben.    

Op welke wijze dragen internationale normen en vertrouwenwekkende maatregelen bij aan een veilig cyberdomein? 

Bij het ontwikkelen van normen en maatregelen gaat het erom dat je met elkaar vaststelt dat uiteindelijk niemand belang heeft bij het gebruik van bepaalde typen cyberaanvallen, net zoals bijvoorbeeld bij massavernietigingswapens. Om cyberaanvallen te voorkomen maak je samen afspraken: welk gedrag wordt getolereerd en welk gedrag niet? Op dit moment is het veel ‘ieder voor zich’: landen werken aan het opbouwen van eigen cybercapaciteit. Echter, zeker voor een land als Nederland is het erg belangrijk in te zetten op regelgeving. Op eigen houtje gaan we de strijd niet winnen.

Kun je het onderscheid tussen normen en vertrouwenwekkende maatregelen toelichten?

Normen zijn groot en abstract. Ze identificeren wat wel en niet acceptabel is. Vertrouwenwekkende maatregelen zijn meer een soort drukventielen. Als er een cyberaanval plaatsvindt kunnen deze escalatie voorkomen. Het gaat bijvoorbeeld om afspraken over (nood)communicatie. Het is niet altijd eenvoudig afspraken in het cyberdomein te verifiëren. Het is namelijk lastig vat te krijgen op cyberwapens; je ziet niet direct waar ze vandaan komen. Ik voorzie echter dat dit in de toekomst eenvoudiger wordt. De technologie ontwikkelt zich razendsnel en attributie wordt relatief makkelijker.

Hoe krijg je staten zover dat ze zich willen binden aan regels?

Goede vraag. Cruciaal is dat grootmachten inzien dat ze belang hebben bij het vaststellen van regels. Op dit moment lopen grootmachten qua cybercapaciteit zo ver voor dat ze weinig acuut belang hebben bij het maken van afspraken. Op korte termijn loont het voor hen niet zich te binden; het maken van afspraken wordt pas nuttig als andere landen op een vergelijkbaar niveau terecht komen. Het is belangrijk onszelf voor te bereiden op dat moment door nu al in te zetten op het vaststellen van regels in het cyberdomein. 

Instituut Clingendael, Den Haag

"Voor cyberwapens geldt hetzelfde als met betrekking tot wapens die ingezet worden op het land en in de zee en lucht. Eigenlijk gaat het om ouderwetse wapenbeheersing."

Op welke wijze kunnen normen in het cyberdomein het beste worden geëffectueerd?

Belangrijk is vooral dat regels wereldwijde toepassing hebben en dat deze door zoveel mogelijk partijen worden erkend. Het is daarom goed afspraken te maken in VN-verband (zoals in een Group of Governmental Experts). Steeds meer landen stellen zich op het standpunt dat het bestaande internationaal recht volledig van toepassing is op het cyberdomein. Hoe het internationaal recht van toepassing is, wordt verder uitgewerkt in bijvoorbeeld de Tallinn Manual. Voor cyberwapens geldt hetzelfde als met betrekking tot wapens die ingezet worden op het land en in de zee en lucht. Eigenlijk gaat het om ouderwetse wapenbeheersing. Veel landen zijn het eens dat een bepaalde rem nodig is. Er moet daarom toegewerkt worden naar breed gedragen gedragsnormen. 

Welke ontwikkelingen zijn zichtbaar op diplomatiek vlak?

Het is lastig en tijdrovend om tot goede afspraken te komen. Er bestaan fundamentele meningsverschillen tussen de grootmachten waar we overheen moeten komen. Omdat het cyberdomein steeds omvangrijker wordt - en daarmee de kwetsbaarheid groter - moeten we blijven werken aan diplomatieke oplossingen. Landen die zich alleen bezighouden met het opbouwen van hun cyberoffensieve-en defensieve programma’s schieten te kort. Dit laatste vind ik – met alle respect – kortzichtig.  

Hoe kijk je aan tegen de Nederlandse koers in dit diplomatieke traject?

Nederland staat op cybergebied wereldwijd bekend om zijn constructieve bijdrage en oplossingsgerichtheid. Nederland heeft bruggen gebouwd en niet alleen landen maar ook andere stakeholders samengebracht om te spreken over afspraken in het cyberdomein. Het is nu zaak deze positie te behouden. Daarnaast is het belangrijk dat er veel aandacht is en blijft voor dit thema. Daarom mag er wat mij betreft in Nederland nog wel wat menskracht bij. Meer aandacht voor de diplomatieke kant van cybersecurity is nodig.

"Een groot deel van het cyberdomein is in handen van private partijen."

Welke rol is er weggelegd voor denktanks (zoals Clingendael) in het cyberdomein?

Je kunt het als overheid in het cyberdomein niet alleen. Een groot deel van het cyberdomein is namelijk in handen van private partijen, zoals grote tech bedrijven. De sterk door Nederland gepromote multi-stakeholder benadering is daarom van grote betekenis. Denktanks, op wie de taak rust kennis te verspreiden, kunnen voorzien in ondersteuning van de denkkracht van ministeries. Waar ministeries soms geleefd worden door de hectiek van alle dag, kunnen denktanks zich focussen op de lange termijn. Waar diplomaten soms moeten zwijgen, kan een denktank als Clingendael openlijk spreken met media en politici. We vervullen een communicatierol, een soort draaischijffunctie tussen landen, politici, beleidsmakers, media en het publiek. Door de interactie tussen een ministerie en een denktank, bijvoorbeeld door het (mede)organiseren van consultatie-bijeenkomsten of het schrijven van beleidsrelevante publicaties, kan de denktank een soort brug tussen het ministerie en de maatschappij vormen.

Ten slotte, wat is jouw kernboodschap aan de lezer?

Diplomatie is cruciaal om de internationale én nationale veiligheid te waarborgen; een boodschap die we breed bij het publiek bekend moeten maken om draagvlak voor diplomatieke inzet te creëren. Diplomatieke processen zijn soms taai en langdradig, maar onontbeerlijk om tot structurele oplossingen te komen in het cyberdomein.