Ontsluiting van datalekken (open brief)

Iedereen kent het coronadashboard. Biomedische wetenschappers gebruiken het dashboard en de daaraan ten grondslag liggende research datasets dagelijks. Ze bestuderen onder andere de ernst van de pandemie, de effectiviteit van vaccins en de opkomst van nieuwe varianten. Het doel is niet alleen om de wetenschap te dienen, maar juist ook om met concrete oplossingen de pandemie te lijf te gaan.

Naast de coronapandemie is cybercrime een van de grote dreigingen van onze tijd. Niemand zal ontkennen dat cybercrime een ontwrichtende werking heeft. En dat er dus behoefte is aan innovatieve maatschappelijke oplossingen. Maar daarvoor dienen wel de data over cybersecurity incidenten te worden ontsloten voor wetenschappelijk en statistisch onderzoek. 

Een cybersecuritydashboard kan veel opleveren voor de samenleving. Te denken valt aan meer inzicht in de ernst van cybercrime, de effectiviteit van beschermingsmaatregelen en de identificatie van nieuwe vormen van criminaliteit. Als we bijvoorbeeld weten dat een bepaald type organisatie met een bepaalde vorm van beveiliging meer gehackt wordt dan een ander type organisatie met andere beveiligingsmethoden, dan kunnen we die kennis delen en elk bedrijf een stukje veiliger maken. 

Met enige jaloezie kijken wij naar de situatie in de Verenigde Staten. Daar heeft men al een dashboard waar systematisch datalekken worden bijgehouden. We zien dat onze Amerikaanse collega’s op basis van deze data in staat zijn om met beleidsoplossingen te komen. Wij zijn daarentegen geblinddoekt. 

Op dit moment verzamelt ieder onderzoekscentrum op eigen houtje datalekdata. Zo publiceerde het Centraal Bureau voor de Statistiek recent nog een onderzoek op basis van een enquête onder ruim 14.000 bedrijven in 2019. Daarin rapporteerden bedrijven of ze in het jaar ervoor te maken hadden met een datalek. Dit terwijl zulke data in grote hoeveelheden op de plank ligt bij de Autoriteit Persoonsgegevens (AP). Organisaties moeten nu al datalekken melden aan de AP. In grote getale zelfs: in 2020 meldden Nederlandse organisaties maar liefst 23.976 datalekken. Nederland is wereldkampioen datalekmelden. Al die meldingen kosten geld, maar het AP doet er heel weinig mee. Dat is ook niet hun taak. De data is een potentiële goudmijn voor onderzoek en beleid. Helaas blijft deze data nu liggen in een digitale bureaulade. Een dure en inefficiënte gang van zaken. 

Dat is inmiddels breed onderkend. In 2020, publiceerde de Cyber Security Raad (CSR) het advies ‘Beschikbaar stellen datalekmeldingen voor onderzoeksdoeleinden’, met als bijlage een protocol voor het ontsluiten van bij de AP gemelde datalekken voor wetenschappelijk en statistisch onderzoek, met strikte voorwaarden om de herleidbaarheid tot personen te voorkomen en vertrouwelijkheid van bedrijfsgegevens te borgen. Dit advies is positief door minister Grapperhaus ontvangen. Het CSR advies sloot aan op (i) het in september 2019 gepubliceerde rapport van de WRR met als titel ‘Voorbereiden op digitale ontwrichting’, waarin wordt opgeroepen tot het breder delen van incidentdata; en (ii) een in 2018 opdracht van de CSR uitgevoerd onderzoek door de Erasmus Universiteit en de Technische Universiteit Delft naar de baten van de meldplicht van datalekken. 

Helaas heeft dit alles nog niet tot het gewenste cybersecuritydashboard geleid, want er is nog steeds geen toegang tot deze data. Wij roepen dan ook de Nederlandse overheid op, en meer specifiek het ministerie van Justitie en Veiligheid, om de AP de financiële middelen te verschaffen om de datalekdata beschikbaar te stellen voor wetenschappelijk en beleidsonderzoek. Zo kunnen we een start maken met een cybersecuritydashboard. En kunnen wij als wetenschappelijke cybersecuritycommunity efficiënter en effectiever bijdragen aan maatschappelijke oplossingen voor optimale cybersecurity. 

Dr. Luca Allodi – Assistant Professor Security Group (Eindhoven University)
Prof. dr. Bibi van den Berg – hoogleraar Cybersecurity Governance (Univ. Leiden)
Prof. dr. ir. Herbert Bos – hoogleraar Systems and Network Security (VU)
Prof. dr. Marten van Dijk – groepsleider Computer Security (CWI)
Prof. dr. Michel van Eeten – hoogleraar governance of cybersecurity (TUD)
Prof. dr. Sandro Etalle – hoogleraar Computer Security (Eindhoven University)
Prof. dr. Bart Jacobs – hoogleraar Security, Privacy and Identity (RUN) 
Prof. dr. ir. Cees de Laat – hoogleraar System and Network Engineering (UvA)
Prof. mr. Arno Lodder – hoogleraar Internetrecht (VU)
Prof. dr. ir. Nele Mentens – hoogleraar Toegepaste Cryptografie en Databeveiliging (Universiteit Leiden)
Mr. dr. ir. Bernold Nieuwesteeg – directeur CLECS (Erasmus Universiteit Rotterdam)
Prof. mr. Lokke Moerel – hoogleraar Global ICT Law (Tilburg University)
Prof. dr. ir. Aiko Pras – hoogleraar internet security (UT)
Prof. dr. Frederik Zuiderveen Borgesius – hoogleraar ICT en recht (RUN)

Vragen, opmerkingen bij deze open brief kunnen gestuurd worden naar: info@accss.nl

Referenties:

• CSR Advies ‘Beschikbaar stellen datalekmeldingen voor onderzoeksdoeleinden’ – CSR-advies 2020, nr. 1 | Advies | Cyber Security Raad
• Voorbereiden op digitale ontwrichting | Rapport | WRR