De Cyber Security Strategie die de Europese Commissie (EC) gisteren presenteerde is schadelijk voor zowel de vrijheid als veiligheid van internetgebruikers, zo stelt een bekende Britse beveiligingsonderzoeker. "Het doel is de Europese kernwaarden vrijheid en democratie te bevorderen en te waarborgen dat de digitale economie op een veilige manier kan groeien", zo liet de EC weten.
Volgens de aankondiging van de nieuwe strategie moeten de geplande maatregelen digitale informatiesystemen veerkrachtiger maken, cybercriminaliteit terugdringen en het internationale cyberbeveiligingsbeleid en de cyberdefensie van de EU versterken.
Zo moeten de lidstaten een strategie voor netwerk- en informatiebeveiliging vaststellen en een voor netwerk- en informatiebeveiliging bevoegde nationale instantie aanwijzen. Daarnaast gaan de lidstaten en de Commissie een samenwerkingsverband aan om vroegtijdige waarschuwingen over risico's en incidenten via een veilige infrastructuur te delen.
Als laatste moeten exploitanten van essentiële infrastructuur risicobeheersregelingen invoeren en ernstige incidenten met betrekking tot hun kerndiensten melden.
"De mensen worden steeds afhankelijker van het internet en het wordt dus steeds belangrijker dat het veilig is. Een veilig internet beschermt onze vrijheid, onze rechten en onze mogelijkheden om zaken te doen. Het is tijd om gecoördineerd op te treden; als we niets doen, zijn de kosten veel hoger dan als we actie ondernemen", aldus Neelie Kroes, vicevoorzitter van de Europese Commissie voor de Digitale agenda.
Vrijheid
Professor Ross Anderson van de Universiteit van Cambridge heeft twee grote problemen met het nieuwe beleid. Het eerste kritiekpunt is dat de lidstaten verplicht worden om één nationale instantie voor technische expertise en internationale samenwerking aan te wijzen.
"Centralisatie schaadt niet alleen de scheiding der machten die essentieel in elke democratie is, maar schaadt ook operationele effectiviteit", laat Anderson weten. De meeste kritieke infrastructuur is in handen van buitenlandse bedrijven. Het vervangen van de huidige privaat-publieke samenwerking door een gecentraliseerd en geclassificeerd systeem, zou het lastiger voor deze partijen maken om mee te doen.
Meldplicht
Het tweede punt dat de professor hekelt is de verplichte meldplicht bij incidenten. Terwijl organisaties in de VS burgers moeten inlichten als een hack invloed op hun gegevens heeft, stelt de EC in de strategie dat alleen de 'competente autoriteit' moet worden ingelicht. Deze autoriteit hoeft het publiek alleen in te lichten als die bepaalt dat dit in het algemeen belang is.
In plaats van het publiek meer macht te geven, krijgen inlichtingendiensten en andere organisaties meer macht, stelt Anderson. Die wijst ook naar een andere regel in de Cyber Security Strategie, die bepaalt dat de 'competente autoriteiten' de bevoegdheid krijgen om de veiligheid van marktpartijen en overheden te toetsen en de bevoegdheid krijgen om aan deze partijen 'bindende instructies' te geven.
"Ik denk dat iedereen goed moet nadenken over de gevolgen als dit voorstel, zoals het nu staat, wordt goedgekeurd. Het is weer een jammerlijke stap richting de militarisering van cyberspace", besluit Anderson.
Deze posting is gelocked. Reageren is niet meer mogelijk.