Tijdens een interactief overleg op 21 mei van dit jaar spraken leden van de US Cyberspace Solarium Commission (CSC) en leden van het Directeurenoverleg Cyber Security gezamenlijk over de huidige staat van de cyberveiligheid van beide landen en over aanbevelingen relevant voor beleidsterreinen voor de nieuwe Nederlandse regering. De CSC is opgericht om een digitale versie van 9/11 te voorkomen in de VS. Mede door toedoen van de recente cyberaanvallen in de VS heeft het werk van de CSC inmiddels een behoorlijke invloed op het strategische denken in de VS. Dit heeft het geleid tot meerdere aanbevelingen die momenteel in de praktijk worden gebracht door de Amerikaanse regering en het Congres.
Leestijd: 3 minuten.
Het is van belang om duidelijk grenzen te stellen aan cyberaanvallen die een bedreiging vormen voor de nationale en economische veiligheid. Deze aanvallen laten zien dat de traditionele deterrence middelen niet afdoende zijn.
President Biden heeft dit punt nogmaals aangehaald tijdens de NAVO top van vorige week en ook benadrukt in zijn top met Poetin. Om dit kracht bij te zetten heeft het Witte Huis aangegeven nauwer samen te willen werken met bondgenoten op het cyberdomein. Zo ook met koplopers als Nederland.
Cyber deterrence and response
De basis voor een effectieve deterrence and response op de toegenomen cyberdreiging is een whole-of-government benadering, en met partners en bondgenoten. Volgens het CSC is het daarbij van belang dat de samenwerking tussen bondgenoten een nieuwe fase in gaat van “to agree” naar “to act”.
Belangrijk hierbij is dat er een gezamenlijke en publieke cyber doctrine komt waarin duidelijk gemaakt wordt welke cyberactiviteiten onacceptabel zijn en welke maatregelen daarop volgen. Dit valt of staat met politieke wil en consistentie en daadkracht van de maatregelen.
Het doel is om ervoor te zorgen dat er daadwerkelijk wordt overgegaan tot actie waarbij onder meer crimineel gedrag in het digitale domein sneller moet worden bestraft.
Trusted ICT-supply chains
Volgens de CSC gaat de grootste dreiging op dit moment uit van supply chain aanvallen zoals die te zien waren bij SolarWinds en de Colonial Pipeline hack.
Vanuit Nederland bestaat veel interesse voor de white paper van de CSC. Hierin beschrijft de CSC hoe het weerbaarheidsniveau in de ICT supply chains kan worden verhoogd, hoe op internationaal niveau beter kan worden samengewerkt en het belang van standaarden voor de veiligheid van ICT producten.
Het grootste risico betreft momenteel het gebrek aan inzicht in de incidenten en kwetsbaarheden in software, hardware en firmware. Het is belangrijk om hier meer zicht op te krijgen om zodoende de weerbaarheid van supply chains te verbeteren. Om dit te bewerkstelligen is publiek-private samenwerking belangrijk, maar zeker ook internationale samenwerking vergelijkbaar met de Prague Proposal omtrent 5G.
Een andere belangrijke aanbeveling van de CSC gaat over het instellen van standaarden om de veiligheid van ICT producten te waarborgen. De meest recente Cybersecurity Executive Order van het Witte Huis brengt veel van de CSC aanbevelingen op dit onderwerp in de praktijk waarbij bijv. de federale overheid nieuwe cybersecurity standaarden stelt voor de ICT die zij zelf inkoopt..
Lees voor meer infromatie de whitepaper van de CSC.
Cyberresilience
Vanuit de CSC wordt aangegeven dat het vergroten van de digitale weerbaarheid belangrijk is, maar dat er ook een afschrikwekkende werking uitgaat van het vermogen om snel van cyberaanvallen te herstellen. Vanuit dit oogpunt is continuïteitsplanning essentieel.
Daarnaast geeft de CSC aan dat SICI – Systemically Important Critical Infrastructure – goed beschermd moet worden. Voor dergelijke superkritische infrastructuur waarvan andere vitale processen afhankelijk zijn, zouden meer verplichtingen kunnen gelden.
Verder is het van belang dat meer incidenten worden gemeld om inzicht in de intenties van de tegenstanders te krijgen, waarbij niet alleen wordt gereflecteerd, maar ook nieuwe aanvallen kunnen worden voorspeld. In dit kader is het van belang een gezamenlijke publiek-private samenwerkingscultuur te creëren, waarbij het onderlinge vertrouwen wordt vergroot en de barrières worden weggenomen voor het delen van gevoelige informatie.
Tenslotte geeft de CSC geeft aan dat private partijen een belangrijke rol dienen te hebben bij incidentrespons. In de VS zal de National Cyber Director mede de belangen van de private sector moeten gaan vertegenwoordigen.
De VS is terug op het cyberpodium en zal samen met koplopers zoals Nederland inzetten op hoge ambities
Het Witte Huis heeft aangekondigd dat het nog nauwer wil gaan samen werken met bondgenoten op het cyberdomein en de gedeelde uitdagingen zoals rond supply chain security en ransomware. Naast de bestaande samenwerkingsrelaties biedt de aanstaande NL-VS Strategische Cyberdialoog een goede gelegenheid om de discussie en kennisuitwisseling voort te zetten..
Voor meer informatie over NL-VS cybersamenwerking kunt u contact opnemen met Martijn Nuijten, cyberdiplomaat Washington of Petra Nijenhuis-Timmers, coördinator internationaal cyberbeleid DVB/TFCyber.