Wat moeten burgers weten over het oplopende internationale cyberconflict? En hoe komen we tot de-escalatie? In deze blog, onderdeel van de serie ‘Bits for Peace’, is het woord aan Alexander Klimburg, Louk Faesen en Timon Domela van het Den Haag Centrum voor Strategische Studies (HCSS). HCSS initieerde de Global Commission on the Stability of Cyberspace die principes en gedragsnormen ontwikkelt voor alle actoren in de digitale wereld. Hoe doet deze commissie dat? En welke normen hebben we nodig in het digitale tijdperk?
In het kort
- Cyberspace is een complex ecosysteem met veel verschillende stakeholders zoals overheden, bedrijven en de technische gemeenschap, met eigen regels, normen, standaarden en processen.
- Om cyberspace open en veilig te houden, is het zaak dat al deze stakeholders samen principes en gedragsregels vaststellen.
- Het verstevigen en beschermen van de publieke kern van het internet moet hierbij centraal staan.
Verzand internationaal overleg
In conflicten tussen staten spelen cyberoperaties een steeds grotere rol. Nationale overheden zien ze als een van de belangrijkste, zo niet de belangrijkste dreiging van hun veiligheid. Hierachter schuilt de vrees dat een catastrofale confrontatie tussen staten in cyberspace plaats zou kunnen vinden, die zware schade aanricht aan bijvoorbeeld de financiële infrastructuur, de zorg of de transportsector.
Het internationale overleg om deze dreigingen te verminderen en te werken aan de-escalatie, heeft wisselend succes opgeleverd. Het belangrijkste voorbeeld hiervan is wellicht de Group of Governmental Experts on Developments in the field of information and telecommunications in the context of international security (GGE) van de Verenigde Naties.
Deze GGE leek een paar jaar geleden nog op weg naar een brede internationale overeenstemming, maar verzandde in 2017 als gevolg van sterk uiteenlopende visies. Het werk is nu verdeeld over twee concurrerende groepen: een nieuwe GGE op basis van een Amerikaans voorstel en een nieuwe open werkgroep (OEWG) op basis van een Russisch voorstel.
Geen verdrag, maar gedragsregels
Ondanks hun traditionele dominantie op het gebied van vrede en veiligheid, vormen overheden in cyberspace slechts één van de drie belangrijkste stakeholders. Civil society-actoren, zoals de technische gemeenschap, zijn verantwoordelijk voor het beheer van het Internet (Internet governance). De private sector beheert op haar beurt de kabels, software, producten en diensten waaruit het Internet is opgebouwd.
Het Internet wordt dus bestuurd door een complex systeem van stakeholders met eigen regels, normen, standaarden en processen. Hierdoor is het onwaarschijnlijk dat er een enkelvoudige juridische oplossing bestaat die zowel afdwingbaar is, als rekening houdt met al deze partijen.
Dat is op zich niets nieuws. 400 jaar geleden realiseerden de Nederlanders al dat je niet alles kan oplossen met een allesomvattend internationaal verdrag. Hugo de Groot (Grotius) schreef daarom in zijn Mare Liberum over het belang van gedragsnormen, gebaseerd op algemeen gedeelde principes. Het Nederlandse beleid probeert deze gedragsnormen nu voor het digitale tijdperk vast te stellen.
Concreet betekent dit dat alle partijen die verbonden zijn met cyberspace de open standaarden die ten grondslag liggen aan Internet moeten ondersteunen. Dat vraagt op politiek niveau om een proces van internationale normvorming dat regels biedt voor iedereen, en waar alle relevante actoren bij betrokken worden. Anders lukt het simpelweg niet om de stabiliteit van cyberspace te garanderen.
Bescherm de publieke kern van het internet
Gelukkig zijn daar al goede voorbeelden van. Zo heeft de Global Commission on the Stability of Cyberspace (GCSC), een multistakeholder-initiatief van het Haagse Centrum voor Strategische Studies, twee jaar geleden een norm ontwikkeld om de globale Internet infrastructuur te beschermen tegen de toenemende invloed van staten. Door het raadplegen van een groot aantal experts heeft de GCSC bepaald welke infrastructuur van vitaal belang is voor het functioneren van het Internet.
Onder deze publieke kern van het Internet schaart de GCSC:
- de fundamenten die ervoor zorgen dat informatie de juiste bestemming bereikt (packet routing and forwarding);
- de domeinnaamsystemen (naming and numbering);
- de cryptografische mechanismen die veiligheid en identificatie waarborgen; en
- de fysieke internetkabels en andere transmissiemedia.
Dit initiatief heeft zijn vruchten afgeworpen. In 2018 werd de norm opgenomen in de Paris Call for Trust and Security in Cyberspace, een oproep voor een veilig internet van meer dan 1.000 overheden, internationale organisaties, bedrijven en vertegenwoordigers van de civil-society. En dankzij de EU Cybersecurity Act die vorig jaar werd vastgesteld, maakt de norm nu ook deel uit van de Europese wetgeving.
Het werk is nog niet af. Alle stakeholders hebben de komende jaren een rol om de publieke kern van het internet verder te definiëren, overtredingen aan de kaak te stellen, en vast te leggen wat het gewenste einddoel van deze norm is. Maar de norm laat zien dat als alle actoren samenwerken, we een open en veilige cyberspace wel degelijk kunnen realiseren.
Rechten en verantwoordelijkheden
We grijpen nog even terug op Hugo de Groot. Je kan het beschermen van de publieke kern van het Internet namelijk goed vergelijken met zijn principe van mare liberum. Deze term uit de 17e eeuw wordt tegenwoordig nog steeds gebruikt om de vrije handel op internationale wateren te reguleren.
Mare liberum kent twee kanten van dezelfde medaille: een recht en een verantwoordelijkheid. Ten eerste heeft elk land een recht op vrije toegang tot internationale wateren om te reizen en om handel te drijven. Ten tweede dragen alle landen een collectieve verantwoordelijkheid om de toegankelijkheid en veiligheid van de open zee te waarborgen. Op eenzelfde manier draagt iedere gebruiker van cyberspace een gedeelde verantwoordelijkheid voor haar integriteit en stabiliteit.
De GCSC definieert in haar eindrapport vier principes die een leidraad vormen om onze plichten en verantwoordelijkheden uit te werken – en die ook relevant zijn voor niet-statelijke actoren.
- Verantwoordelijkheid. Alle betrokken partijen, inclusief bedrijven en individuen, dragen een verantwoordelijkheid voor de stabiliteit, veiligheid en toegankelijkheid van het Internet.
- Zelfbeheersing. Niet alleen statelijke maar ook niet-statelijke actoren moeten voldoende zelfbeheersing hanteren.
- Plicht tot handelen. Het recht op een stabiel en veilig Internet brengt ook een actieve verantwoordelijkheid met zich mee. Deze verantwoordelijkheid vertaalt zich in een plicht van alle actoren tot handelen om deze stabiliteit en veiligheid te waarborgen.
- Mensenrechten. Fundamentele mensenrechten als vrijheid van meningsuiting, vrijheid van vergadering, recht op privacy en persvrijheid zijn vaak afhankelijk geworden van een vrij en toegankelijk internet. Handelingen in of via cyberspace kunnen hierdoor directe invloed hebben op deze mensenrechten en dienen hier derhalve rekening mee te houden.
Deze principes leggen de basis voor gedragsnormen die, op hun beurt, afgesproken kunnen worden in bilaterale, multilaterale en multistakeholder onderhandelingen. De tijd is rijp voor deze gedragsnormen. Zo heeft het UN High Level Panel voorgesteld om het 75-jarig jubileum van de Verenigde Naties in oktober te gebruiken om een UN Declaration for Cyber peace and Digital Cooperation op te stellen. En ook de minister van Buitenlandse Zaken Stef Blok heeft in zijn speech tijdens de presentatie van het GCSC-eindrapport gepleit voor een universal cyber pledge.
Laten we ons uitspreken voor een veilige en open cyberspace, en met elkaar de publieke kern van het internet verstevigen en beschermen.
Dit blog is op 24 april 2020 gepubliceerd door het Rathenau Instituut.
Related Content
