Cyber attack CfR guest blog Sico

De EU creëert een diplomatieke toolbox om cyberaanvallen af te schrikken

02 augustus 2017

Bakir Lashkari

Onlangs hadden we een onderhoud met Sico van der Meer van het Nederlands Instituut Clingendael over het recente initiatief van de Raad van de Europese Unie. Meer bepaald gaat het om de ontwikkeling van een “Cyber Diplomatic Toolbox” ter bestrijding van kwaadaardige cyberactiviteiten vanuit de niet EU-regio’s.

Het is de bedoeling dat er een kader komt voor gezamenlijke EU-diplomatieke antwoorden op kwaadaardige cyberactiviteiten.

Risk & Compliance Platform Europe: Wat houdt die diplomatie toolbox in en hoe zit het dan met de bescherming en veiligheid van de bedrijven en individuele burgers?

Sico van der Meer: “Het is nog onduidelijk welke instrumenten het gereedschapskistje precies gaat bevatten, maar de verklaring van de Raad van de Europese Unie spreekt over “restrictieve maatregelen” als reactie op kwaadaardige cyberoperaties. Naast gemeenschappelijke diplomatieke instrumenten zoals het publiek veroordelen via verklaringen, het terugroepen van ambassadeurs en / of uitzetten van ongewenste diplomaten, wordt expliciet de mogelijkheid opengehouden om sancties op te leggen aan de “tegenstander” die (een van) de lidstaten in cyberspace aanvalt. Dit moet bijdragen aan de digitale bescherming van iedereen in de EU.”

Risk & Compliance Platform Europe: Maar wie gaat dan welke sancties opleggen en wat betekent dit in de praktijk? Welke middelen heeft de EU om de sancties af te dwingen om resultaat te kunnen boeken?

Sico van der Meer: “Hoe de sanctiemogelijkheid in de praktijk gebruikt gaat worden is nog niet duidelijk. De Raad beschouwt de toolbox als een vorm van afschrikking. In de verklaring wordt benadrukt dat “het signaleren van de mogelijke gevolgen van een gezamenlijk EU-diplomatieke reactie op dergelijke kwaadaardige cyberactiviteiten invloed heeft op het gedrag van potentiële agressoren in cyberspace, waardoor de veiligheid van de EU en haar lidstaten wordt versterkt.” De mogelijkheid dat een cyberaanval leidt tot sancties is een middel om ‘statelijke actoren’ te ontmoedigen. Tot nu toe denken veel statelijke actoren dat cyberaanvallen anoniem en ongestraft kunnen worden uitgevoerd, en daar wil de EU wat aan doen.”

Risk & Compliance Platform Europe: In dit geval gaat het in principe om een diplomatiek signaal moet de potentiële agressoren in cyberspace afschrikken. Maar wat is de uitwerking in de praktijk voor de private sector en de individuele burgers?

Sico van der Meer: “Hoe en wanneer de toolbox wordt ingezet, is nog steeds een open vraag. In de verklaring van de Raad wordt gesteld dat een beslissing over de schuldvraag van een cyberoperatie door de slachtoffers bepaald wordt. Daarmee houdt de EU het nog wat vaag wanneer er genoeg bewijs is wie er achter een cyberaanval zit om tot actie over te gaan. Bewijsvoering bij cyberaanvallen is altijd lastig, dus de praktijk zal moeten uitwijzen hoe dit in EU-verband gaat uitpakken. De diplomatieke toolbox lijkt voorlopig vooral gericht op statelijke actoren, niet op bedrijven of burgers.”

Risk & Compliance Platform Europe: Vreemd, om de vaststelling van de bewijslast zo vaag te houden.

Sico van der Meer: “Het is moeilijk voor te stellen hoe diplomatieke instrumenten zoals sancties in de praktijk zouden werken zonder (publieke) bewijslast. Toch kunnen sommige maatregelen worden genomen zonder het bewijsmateriaal publiek te maken, om aan de tegenstander te tonen dat bepaalde kwaadaardige gedragingen worden gedetecteerd en moeten eindigen. Dergelijke diplomatieke signaleringen zijn een nuttig instrument om kwaadaardige cyberoperaties minder anoniem en risicovrij te maken, terwijl het weinig gevaar voor onmiddellijke escalatie brengt. Het is ook denkbaar dat de EU met deze formulering enige flexibiliteit wil uitdrukken die bijdraagt aan het afschrikwekkende effect van de toolbox. Met andere woorden, de Europese Unie laat met opzet de deur wijd open staan over hoe en wanneer het haar vermogen zal gebruiken om de ongewenste spelers dwars te zitten en sancties op te leggen. Het erkennen van het gebruik van diplomatie om kwaadaardige cyberactiviteiten af te schrikken en te vergelden is op zichzelf een waardevolle ontwikkeling. Er zijn echter nog veel onbeantwoorde vragen, met name over hoe deze nieuwe toolbox concreet zal worden gebruikt en welke instrumenten hij bevat. Nog belangrijker, zal de toolbox effectief blijken te zijn wanneer kwaadwillenden toch proberen de EU-cyberverdediging te testen?“

Risk & Compliance Platform Europe: Hartelijk dank voor dit interessante onderhoud met u.

 

  • Harald

    Beste Bakir,
    Wat leuk om na zo’n lange tijd weer van je te horen op deze wijze.
    Groet,
    Harald Hameleers

  • Bakir Lashkari

    Dag Harlad, Bedankt voor je leuke reactie.

Geef uw menig

Your email address will not be published. Required fields are marked *