Papier versus realiteit: Hoe een internationaal verdrag cybersecurity verzwakt
Sommige goederen hebben naast hun alledaagse functie ook een militaire functie. Denk aan kunstmest: fijn voor de moestuin, maar in zeer grote hoeveelheden kun je er ook een bom van maken. We hebben er dus belang bij dat dit soort ‘duale goederen’ niet in de verkeerde handen vallen. Voor duale goederen die gebruikt kunnen worden voor het maken van massavernietigingswapens is daarom in 1995 het Wassenaar Arrangement in het leven geroepen. In dit akkoord, waar onder andere Rusland, de VS en de EU aan meedoen, zijn afspraken gemaakt over de export van kennis en kunde met betrekking tot dit soort wapens. Een goed initiatief, maar voor veiligheid in de digitale wereld blijkt dit verdrag helaas averechts te werken.
In 2013 is er namelijk nog een component toegevoegd aan het Wassenaar Arrangement: intrusion software. Hiermee wordt software bedoeld die ingezet kan worden als ‘cyberwapen’, bijvoorbeeld omdat het inbreken op beveiligde systemen mogelijk maakt, of het massaal aftappen van communicatie. In de Arabische Lente werd duidelijk dat dit soort software door ondemocratische regimes gebruikt wordt om burgers te onderdrukken en opstanden in de kiem te smoren. Voor de export van intrusion software moet daarom vanaf 2013 toestemming van de federale overheid gekregen worden.
Maar wat is precies intrusion software? De definitie hiervan blijkt zo vaag geformuleerd dat de toevoeging aan het Wassenaar Arrangement onvoorziene gevolgen heeft. Specifieke beveiligingslekken mogen niet zonder exportvergunning gemeld worden. Dat levert de rare situatie op dat wanneer een groot internationaal technologiebedrijf in Nederland een kwetsbaarheid in de eigen software vindt, dit zonder toestemming niet gedeeld mag worden met het moederbedrijf.
De cybersecuritysector is een innovatieve, internationale sector waarbinnen veel wordt samengewerkt met wetenschappers, zonder onderscheid tussen landsgrenzen te maken. Iedereen heeft er baat bij dat kennis snel en breed gedeeld kan worden. Bovendien ligt willekeur op de loer. Ieder land lijkt de terminologie anders te interpreteren. Zo bleek vorige zomer dat het Italiaanse Hacking Team afluistersoftware had verkocht aan landen die niet worden geprezen om hun democratisch karakter en respect voor mensenrechten. Is dit niet precies waarom intrusion software aan het Arrangement is toegevoegd?
Aanpassing van het Wassenaar Arrangement is nodig. De wereld van de cybersecurity verandert snel en is niet gebonden aan landgrenzen. De snelle opmars van cybercriminelen en statelijke actoren vraagt om een snelle reactie van bedrijven. Het uitgangspunt zou moeten zijn dat informatie over kwetsbaarheden real-time uitgewisseld kan worden, zonder een exportverplichting. Daarnaast moeten we een debat voeren over het effect van exportcontrole van intrusion software op het innovatieve karakter van de sector. Alleen zo wordt het internationale cybersecurity ecosysteem versterkt, in plaats van verzwakt.
Deze opinie is geschreven door Liesbeth Holterman, senior adviseur cybersecurity van Nederland ICT. Zij schreef deze opinie voor NRC live in aanloop naar het event NRC Live Cyberinsecurity van 29 september a.s. waar zij zal spreken. Onze directeur Lotte de Bruijn zit in de Programmaraad.
