Op 31 oktober sprak Michel van Eeten de Van Slingelandt-lezing uit. Lees hier zijn speech terug.

Dat de toenemende digitalisering van de samenleving ook nieuwe kwetsbaarheden introduceert, is een waarheid als een koe. Maar welke conclusies moeten we daaraan verbinden? Recent betoogde de WRR in haar rapport Voorbereiden op digitale ontwrichting dat de overheid onvoldoende middelen zou hebben voor het omgaan met een cyberramp en dat er een ‘digitale brandweer’ moet komen. Het rapport past in een bredere trend om te waarschuwen voor maatschappelijke ontwrichting als gevolg van cyberincidenten. Als bewijs voor de noodzaak van nieuwe overheidsmiddelen voert men een reeks bekende en onbekende cyberincidenten op. Maar bewijzen die incidenten wel dat een stevigere rol van de overheid wenselijk is? Wat is eigenlijk ‘digitale ontwrichting’? In het denken over de gevolgen van digitalisering wordt de technologie vaak gemythologiseerd in plaats van doorgrond. Die mythologisering heeft tragische consequenties. Als we niet oppassen leidt de drang van de overheid om orde te garanderen juist tot het kwetsbaarder maken van de samenleving. 

Afhankelijkheid roept angst op. Dat zien we in onze relatie met geliefden, met de landen waar onze energie vandaan komt, en met de technologie waarmee we ons omringen. Onze toenemende afhankelijkheid van digitale technologie stelt ons bloot aan nieuwe kwetsbaarheden. Dat is een waarheid als een koe. Maar welke conclusies moeten we daaraan verbinden? Moeten we bang zijn dat onze samenleving ontwricht raakt door verstoringen in digitale systemen? 

De Wetenschappelijke Raad voor het Regeringsbeleid meent van wel en daarin staat de raad bepaald niet alleen. Twee dagen geleden stuurde minister Grapperhaus een brief naar de Kamer waarin hij verwees naar het rapport van de WRR en aankondigde dat overheid zal gaan ingrijpen bij bedrijven in vitale sectoren die beveiligingsadviezen van de overheid niet opvolgen. Een paar maanden eerder publiceerde zijn ministerie het jaarlijkse Cyber Security Beeld Nederland. Daarin valt het woord ontwrichting liefst 20 keer, vergeleken met 13 keer in 2018 en 6 keer in 2017. Kortom, hier wordt een probleem omhoog geduwd op de politieke agenda.

Wat is dat probleem precies? De WRR betoogt, in het rapport Voorbereiden op digitale ontwrichting, dat de overheid te weinig middelen en bevoegdheden heeft om Nederland te beschermen tegen digitale storingen. In een notendop is de redenering als volgt:

Digitalisering maakt ons kwetsbaarder voor ontwrichting. Digitale ontwrichting vereist een digitale responscapaciteit. Die responscapaciteit is er nu onvoldoende. Dus is een grotere rol van de overheid nodig, met nieuwe bevoegdheden en beleid. 

Nogmaals, deze redenering is niet nieuw en de WRR is ook niet de enige partij die dit geluid laat horen. De waarde van het WRR-rapport is dat ze deze argumenten nu eens expliciet en zorgvuldig gearticuleerd op tafel legt. Dus nu kunnen we ontrafelen wat er precies beweerd wordt. 

Op het eerste gezicht klinkt het logisch. Digitale ontwrichting vereist een digitale respons. Fysieke rampen hebben immers ook hun eigen responsorganisatie. Voor branden, bijvoorbeeld, hebben we de brandweer. Maar wie kunnen we bellen voor een ‘digitale brand’? vraagt de WRR zich af. De raad stelt dat we een ‘digitale brandweer’ nodig hebben.

Hoe vanzelfsprekend deze redenering ook lijkt, ze rammelt aan alle kanten. Dat niet alleen, de kans is reëel dat deze redenering leidt tot contraproductieve interventies, tot het onveiliger maken van Nederland. Daarom is het belangrijk om haar kritisch te evalueren. 

In deze lezing zal ik de vijf tegenargumenten onderbouwen:

1. Digitalisering maakt ons niet kwetsbaarder.
2. Digitale ontwrichting bestaat niet. 
3. Er is al effectieve responscapaciteit. 
4. De overheid moet de responsecapaciteit niet verstoren met haar eigen behoeften en angsten. 
5. Digitale branden blus je niet met nullen en enen. 

Na deze vijf argumenten, zal ik kort reflecteren op wat de overheid dan wel kan doen. 

Stelling 1. Digitalisering maakt ons niet kwetsbaarder.

Natuurlijk introduceert digitalisering nieuwe kwetsbaarheden. In de jaren vijftig had de Rotterdamse haven geen last van ransomware-aanvallen. Maar de opkomst van nieuwe kwetsbaarheden wil niet zeggen dat we over het geheel kwetsbaarder worden. De valkuil is dat we in ons hoofd die nieuwe kwetsbaarheden optellen bij alle bekende oude kwetsbaarheden en dan lijkt het totaal alleen maar te groeien. Maar als dat zo zou zijn, dan zou de huidige samenleving de meest kwetsbare samenleving sinds het stenen tijdperk moeten zijn. Er zijn immers talloze nieuwe technologieën en structuren bijgekomen, die allemaal nieuwe kwetsbaarheden introduceerden. De waarheid is echter dat we welvarender, talrijker, gezonder, langlevender zijn dan ooit. Dat kan niet als de samenleving om ons heen steeds kwetsbaarder wordt en steeds vaker ontwricht.

Kortom, we leiden aan een soort gezichtsbedrog. We blijven nieuwe kwetsbaarheden optellen bij de oude. En toch worden we netto niet kwetsbaarder. 

Rara hoe kan dat? Ik zou zeggen om twee redenen. Ten eerste zijn we beter in het omgaan met die afhankelijkheden dan we denken. Elektriciteit, bijvoorbeeld, schept een enorme afhankelijkheid, maar die afhankelijkheid is zo gegroeid omdat we hebben gemerkt dat we steeds meer op elektriciteit konden vertrouwen. Het werkt ook in de omgekeerde richting. Elektriciteit is zo betrouwbaar geworden omdat we ons er afhankelijk van maakten. Omdat het belangrijk is voor zoveel processen, hebben we heel veel middelen gestoken in het beheer van elektriciteitsnetwerken, in het omgaan met een heel scala aan verstoringen. En dat is ons gelukt. In de loop der tijd is elektriciteit voortdurend betrouwbaarder geworden en inmiddels zijn we ver achter de komma bezig. Heeft Nederland ooit een grootschalige uitval van het elektriciteitsnetwerk meegemaakt? Voor zover ik weet niet. Er zijn alleen regionale storingen geweest. Dus zijn we als samenleving wel afhankelijker geworden, maar niet per se kwetsbaarder. 

Ook bij digitalisering zien we op allerlei plekken dit duet van afhankelijkheid en betrouwbaarheid.

De tweede reden waarom we niet kwetsbaarder worden, hangt samen met wat Aaron Wildavsky het ‘hardlopers dilemma’ noemde. Als je gaat hardlopen, heb je een verhoogd risico op een hartinfarct. Het is een gevaarlijke activiteit. Je zou ervoor kunnen kiezen om dat gevaar te vermijden. Maar als je nooit gaat hardlopen, is dat uiteindelijk veel ongezonder. Oftewel: je moet op korte termijn een risico nemen om uiteindelijk veel veiliger te worden. De veiligheidsbaten van dat risico zijn veel groter, ordegrootte groter, dan de veiligheidskosten op de korte termijn. 

Wildavsky schrijft dat decennia aan onderzoek hebben laten zien dat er maar één keiharde causale voorspeller is van veiligheid en dat is niet overheidsbeleid, maar welvaart. Hoe meer welvaart, hoe meer veiligheid. Nieuwe vormen van welvaartsgroei gaan vaak gepaard met nieuwe technologieën en dus met nieuwe risico’s. Maar de veiligheidsbaten op de lange termijn zijn veel groter – net als bij de hardloper. Kortom, we leiden aan bijziendheid. We kijken naar digitalisering en staren ons blind op de risico’s op de korte termijn. 112 kan uitvallen. Een haventerminal kan plat komen te liggen. Er zou een cyberaanval op het elektriciteitsnetwerk kunnen plaatsvinden.

De moraal van dit verhaal is dat we niet steeds kwetsbaarder worden. We moeten oppassen dat onze wens om de kortetermijnrisico’s te bezweren niet de welvaartsgroei belemmert, want de veiligheidsbaten van die groei zijn vele malen groter. De overheid moet niet de dokter worden die de hardloper aanraadt om op de bank te gaan zitten zodat hij geen hartinfarct krijgt.

Stelling 2. Digitale ontwrichting bestaat niet.

We worden kwetsbaarder voor digitale ontwrichting, zegt de WRR. Wat is digitale ontwrichting? De eerste vraag is dan: wat is ontwrichting? De WRR definieert het als volgt: ‘Bij maatschappelijke ontwrichting is sprake van een verstoring van het normale maatschappelijke leven’ (p. 41). Dit is een tautologie. Ontwrichting is wanneer het normale leven ontwricht is. Later schrijft de raad: ‘Het is duidelijk dat er van ontwrichting van de samenleving kan worden gesproken bij grote rampen.’ 

Dus elke grote ramp is per definitie een vorm van maatschappelijke ontwrichting?

Dat lijkt me niet correct. Het hangt er natuurlijk helemaal vanaf hoe er met die ramp wordt omgegaan, welke gevolgen deze heeft. De kracht van onze samenleving is nu juist dat ze bij uitstek normaal functioneert na een ramp. De rampenbestrijding treedt in werking en wordt na afloop weer gedemobiliseerd. Nieuwsvoorziening produceert grote hoeveelheden nieuws. De doden worden herdacht. Politieke partijen nemen posities in. Commissies bestuderen het gebeurde en trekken conclusies. Et cetera. Ondertussen ronkt de economie gestaag door. Mensen verschijnen elke ochtend weer op kantoor. Business as usual. 

Arjen Boin werkt op dit moment aan een stuk om te definiëren wat maatschappelijke ontwrichting nu precies is. Ik verwijs u naar zijn stuk voor een heldere analyse, maar hij stelt dat het niet gaat om de ramp zelf, maar om een collectieve reactie op die ramp; een collectieve reactie die de situatie niet verbetert, want dat gebeurt ook vaak genoeg, maar bestendigt of zelfs verergert. Denk aan: vluchten, plunderen, negeren van wetten, hamsteren en stakingen.

Het gaat dus om de reactie op de ramp. Maatschappelijke ontwrichting is per definitie een sociaal proces. 

Dan komen we bij het begrip digitale ontwrichting. Dat is dus een raar begrip. Digitale ontwrichting bestaat niet. De ontwrichting zelf is niet digitaal, alleen de aanleiding is dat. Doet deze terminologische fijnslijperij er toe? Ja, die doet er toe. Want het begrip verdoezelt een paradox: omdat digitale verstoringen op steeds meer plekken kunnen optreden, zijn we er beter op voorbereid.

Dat moet ik even uitleggen. Volgens de WRR vormen digitale verstoringen een grotere dreiging dan vroeger om dat de digitale en fysieke wereld steeds verder vervlochten raken (p. 61). Daardoor kunnen digitale storingen leiden tot fysieke gevolgen. Dat is waar. 

De WRR en anderen verwijzen graag naar het voorbeeld van Maersk, de containerrederij die getroffen werd door de NotPetya ransomware. De bedrijfsvoering viel stil en dat had gevolgen voor de Rotterdamse haven. Het belangrijkste gevolg dat de WRR noemt is: lange files. 

Dus ja, er zijn fysieke gevolgen. Juist in het fysieke domein neemt de verstoring echter een bekende gedaante aan. We hebben al omgangsvormen voor deze verstoringen. Er treden allerlei processen in werking als er grootschalige files ontstaan. Zodra je het woord digitaal of cyber weghaalt uit het verhaal van Maersk, wordt het een bijna banale aangelegenheid. Storing bij groot bedrijf, dus files. 

Er zit een hele rare kronkel in het verhaal. Digitale verstoringen hebben steeds meer impact omdat ze fysieke gevolgen hebben en daarom hebben we een digitale responsecapaciteit nodig. Huh? Hebben we computernerds nodig om de files in de Rotterdamse haven op te lossen? Nee, daarvoor hebben we politie, verkeersbegeleiders en wegbeheerders nodig. 

Ziehier de paradox: naarmate digitale verstoringen ons meer fysiek raken, zijn we er beter op voorbereid. Want storingen in die fysieke processen, daar gaan we al decennia lang mee om. Er zijn talloze “threat agents” die een verstoring kunnen veroorzaken. Digitaal is er slechts een van. Door daar de nadruk op te leggen, wordt ten onrechte de indruk gewekt dat we hier met nieuwe vormen van ontwrichting te maken hebben waarop we niet voorbereid zijn. Hoe meer alles digitaliseert, hoe meer digitaal ophoudt een eigen domein te zijn, zo het dat ooit al was. 

Stelling 3. Er is al effectieve responscapaciteit.

De volgende stap in de redenering is dat we onvoldoende voorbereid zouden zijn op digitale verstoringen. Het WRR-rapport opent met een lijst van incidenten die de ernst van de situatie moeten aantonen. Diginotar, een DDoS aanval op Dyn, de ransomware-uitbraken van WannaCry en NotPetya, inclusief de verstoring van Maersk, de disruptie van Google Cloud en Amazon Web Services, en de uitval van 112.

Vervolgens merkt het rapport op de gevolgen van deze incidenten verrassend genoeg meevielen. Je zou zeggen dat dat goed nieuws is, maar niet volgens de WRR. Volgens de raad maakt dit het namelijk ‘lastig om het thema van ‘brand’ in een digitaliserende wereld te agenderen, laat staan de urgentie daarvan te onderstrepen (p. 19). Tja.

Hier gebeurt iets geks. We zouden inadequate responscapaciteit hebben en toch zijn de gevolgen van al deze incidenten beperkt. In twee, drie decennia aan explosieve digitalisering hebben we geen enkel voorbeeld van ontwrichting gezien. 

Hoe kan dat? Ik zou zeggen: omdat de diagnose niet deugt. Er is wel degelijk responscapaciteit. 

Je moet dan eerst zien wat IT eigenlijk is. Achter die twee letters gaat een ratjetoe schuil, een onwaarschijnlijk complexe optelsom van componenten die elk op zich al complex zijn. Zelfs een bescheiden apparaat als je routertje thuis of je telefoon kent tientallen hardware-onderdelen, elk met firmware die niet inzichtelijk is voor de rest van het apparaat, met daarbovenop een besturingssysteem en software stack dat makkelijk meer dan 50 miljoen regels code bevat. Dat is één component. Een bedrijfsnetwerk heeft al snel tienduizenden of honderdduizenden componenten en de interacties daartussen zijn maar zeer gedeeltelijk begrepen. Sterker nog, organisaties zijn al niet eens in staat om te weten welke componenten er überhaupt draaien in hun netwerken. In de cybersecurity is een bekend en onopgelost probleem dat van de schaduw-IT: alle IT waarvan de beheerders niet weten dat hij er is of waarover ze geen controle hebben. 

Dit is nog maar het niveau van een enkele organisatie. Dit moet je dan vervolgens plaatsen in de context van ontelbare interdependenties met andere organisaties en met de rest van het online ecosysteem.

In die omgeving is, met al die interdependenties, het normaal dat dingen foutgaan. Daar hoef je niet voor te waarschuwen, dat gebeurt al. Elke dag zijn er talloze verstoringen; grensoverschrijdend, onvoorzien, onbegrepen. En toch kukelt de hele boel niet in elkaar. Omdat er wel degelijk effectieve responscapaciteit bestaat. Dat kan niet anders. Je kunt een paar keer geluk hebben, maar niet elke keer, decennia lang. Het is alleen niet de responscapaciteit waar de WRR naar gezocht heeft. Het zijn niet rampenplannen en escalatieprotocollen – al zijn die er ook, hier en daar. Het is vooral de veerkracht van organisaties die gewend zijn aan het feit dat op elk moment iets kan uitvallen. Ze oefenen zich ongans, zou je kunnen zeggen. 

Ja maar, er waren toch incidenten met grote schade, zoals de Britse ziekenhuizen die door WannaCry getroffen werden? Hoezo veerkracht? 

Het wijzen naar die incidenten lijdt echter aan een vorm van selectiebias. Ja, er ging ziekenhuizen onderuit. Maar dit was een fractie van het totale aantal. De meeste ziekenhuizen werden niet getroffen. In Nederland werden sowieso weinig instellingen getroffen. Waarom niet? Omdat de meerderheid wel responscapaciteit had en tijdig maatregelen had genomen.

Zeker, af en toe begaan organisaties pijnlijke en kostbare missers. Van een vaccin kun je ook behoorlijk ziek worden, maar uiteindelijk verhoogt het je immuniteit. Reken maar dat Maersk nu anders omgaat met IT dan voor NotPetya. En dat veel andere bedrijven ook hun risico-afwegingen opnieuw tegen het licht houden. Is dat een garantie tegen herhaling? Nee, maar garanties zijn heel erg duur. Die moet je alleen inzetten als falen echt geen optie is. Zoals bij kernenergie. Moet je garanties willen bij het verslepen van containers? Ik denk het niet. Daar moet je falen kunnen tolereren. En zo was het ook. De Rotterdamse haven loste de verkeersproblemen op, Maersk herstelde de IT, schreef het verlies af en ging daarna vrolijk door met marktleider zijn. De CEO gaf aan dat de crisis tot een 20% reductie in het vervoersvolume had geleid. Niet niets, maar ook niet totale disruptie. Hoezo geen responscapaciteit? 

Stelling 4: De overheid moet de responsecapaciteit niet verstoren met haar eigen behoeften en angsten.

Volgens de WRR en anderen is er meer overheidsbemoeienis nodig bij de afhandeling van digitale verstoringen. ‘Als het onverhoopt misgaat,’ aldus de WRR, ‘dan dient de overheid een ‘digitale brand’ meester te kunnen worden.’ Wat stelt men voor?  ‘Creëer een helder afgebakende wettelijke bevoegdheid voor digitale hulptroepen ten dienste van de bestrijding van digitale verstoringen die een maatschappelijk ontwrichtend effect kunnen hebben.’ 

OK. Wat gaat de digitale brandweer dan doen? Dat is niet duidelijk, want het rapport geeft eigenlijk geen voorbeelden, met één uitzondering. Toen Maersk platlag vanwege NotPetya, kreeg de gemeentelijke crisisorganisatie van Rotterdam aanvankelijk geen toegang tot de terminals en systemen van Maersk. Daardoor kon de gemeente zich geen goed beeld vormen van de ernst van de situatie. Dat, zegt de WRR, wijst op een tekort aan bevoegdheden. De gemeente kon niets afdwingen.

Laten we ons even die dag voorstellen. Bij Maersk is het op dat moment een totale chaos. Er is een prachtige reconstructie gemaakt van die chaos door Andy Greenberg voor Wired Magazine.^[1] Alle IT’ers zijn al bezetenen bezig te begrijpen hoe en waar ze backups kunnen vinden en op welke manier ze zo’n 50 duizend systemen op een gecontroleerde manier in de lucht kunnen krijgen zonder dat ze opnieuw besmet worden of dat alles weer omvalt, iets dat ze nog nooit gedaan hebben. Op dat moment belt de digitale brandweer van de gemeente Rotterdam aan. Of ze even toegang kunnen krijgen tot het systeem. 

Wat gaat die brandweer doen? Maersk begrijpt zijn eigen complexe IT infrastructuur al amper, heeft alle hens aan dek nodig voor de bestrijding van deze crisis en nu komt er een stel buitenstaanders die ook iets willen doen. Wat is de kans dat die buitenstaanders iets zinnigs kunnen bijdragen? Vrij klein. De kans dat ze de situatie onbedoeld verergeren, is daarentegen tamelijk groot. IT’ers in de complexe operationele realiteit van dit soort organisaties beseffen heel goed dat ze hun eigen systemen maar gedeeltelijk doorgronden. En dus hanteren ze als principe: first, do no harm.

Hier is de metafoor van de brandweer dan ook totaal misleidend. Een brand is een goed begrepen en tamelijk homogeen fenomeen. Je kunt altijd een extra spuit gebruiken, belendende panden nathouden of speciale blusmiddelen inzetten. Maar een IT-crisis is geen brand. Sterker nog, de ene IT-crisis is de andere niet. Je kunt niet een bataljon nerds naar binnen rijden die de boel even komen oplossen. 

Natuurlijk, soms hebben bedrijven extra handen of expertise nodig. Maar daarvoor bestaat allang een digitale brandweer. Die heet Fox-IT, Compumatica, CGI en noem ze allemaal maar op. Er is een bloeiende markt van commerciële aanbieders van incidentresponsediensten. Kan de overheid dat beter?

Nee. 

Maar hoe kan de overheid dan haar taak vervullen en de samenleving beschermen tegen ontwrichting? Door zich te richten op de ontwrichting en niet op de digitale verstoring. Nogmaals: ontwrichting is een sociaal proces. Wat waren die gevolgen bij Maersk in Rotterdam? Verkeersopstoppingen. Dan heb je niets aan een digitale brandweer. Voor verkeersproblemen heeft de overheid allang capabele diensten. Als Maersk dan niet wil of kan vertellen hoe lang de verstoring nog duurt, dan moet je je daar in je crisisrespons rekening mee houden. Jezelf op grond van de wet toegang te verschaffen tot het bedrijf gaat je geen betere informatie opleveren. 

Een andere aanbeveling van de WRR is om verschillende typen digitale verstoringen te gaan onderscheiden en dan per type precies aan te geven welke bevoegdheden door welke overheid ingezet mogen worden. De WRR vindt het allemaal te onduidelijk nu. 

Dat deed me denken aan de cyberrampoefening ISIDOOR I, een jaar of tien geleden. Ik mocht erbij zijn als observator. Een groot deel van de discussie in het Nationaal Crisiscentrum, waar het allerhoogste echelon van de Rijksoverheid bijeen was gekomen, werd opgesoupeerd door de vraag of er sprake was van terrorisme of van een ongeluk. Het was heel belangrijk, want het betekende dat andere organisaties de leiding hadden en dat andere bevoegdheden ingezet mogen worden. Men kwam er niet uit. Niemand wist of de malware-uitbraak een ongeluk was of een gerichte aanslag. Helder verantwoordelijkheden beleggen klinkt leuk, totdat je beseft dat je de crisisbestrijding lamlegt met vragen waarop de antwoorden doorgaans lang uitblijven. 

Kortom, de belangrijkste voorstellen van de WRR maken de situatie eerder slechter. Ze lijken vooral ingegeven door de behoefte om te handelen. Men kijkt naar een crisis als Diginotar en zegt: er was onvoldoende responsecapaciteit, want er lag geen draaiboek, dit scenario was niet voorzien, er was niet op geoefend, de verantwoordelijkheden waren niet duidelijk belegd. Daar gaat de overheid op aangesproken worden. Maar in de realiteit werd de verstoring zeer voortvarend aangepakt. Niks geen ‘black-out’, zoals het NRC die had aangekondigd.^[2] Ondanks het gebrek aan een draaiboek. Ik zou eerder zeggen: dankzij. 

Ja prima, zullen sommigen nu zeggen, deze keer ging het toevallig goed. Mazzel gehad. Laten we nu snel een protocol maken waarin we dit scenario netjes vastleggen. Voor de volgende keer.

Nee.

In 2003, twee jaar na 9/11, sprak ik een Amerikaanse onderzoeker op het gebied van High Reliability Organizations. Hij had gekeken naar hoe op die fatale dag de FAA ineens duizenden vliegtuigen op de grond had gezet of gehouden. Het besluit om het luchtruim geheel leeg te maken kwam van een operations manager, iemand vrij laag in de hiërarchie van de FAA. Het was ook nog eens zijn eerste werkdag. Je verzint het niet. Een enorme operatie. Het was een doorslaand succes. Zonder ongelukken werd iets gedaan dat nog nooit eerder gedaan was. Waar zelfs nooit eerder over was nagedacht. De conclusie na afloop: geluk gehad. Laten we snel een protocol opstellen. Nee, zei de onderzoeker. Dat is precies de verkeerde conclusie. Dit ging goed omdat capabele professionals in het complexe operationele proces ruimte hadden om te handelen en te improviseren. Dat is precies wat het protocol stuk zou maken.

Met protocollen en waarborgen en verantwoordelijkheden en bevoegdheden geeft de overheid vooral ruimte aan haar eigen behoefte om de samenleving te ordenen. Of zoals de antropoloog James C. Scott dat ooit omschreef in zijn boek Seeing Like a State: de overheid probeert de samenleving voor haarzelf ‘leesbaar’ te maken. Protocollen, verantwoordelijkheden, bevoegdheden dat is orde die de overheid begrijpt, die ze kan lezen. De overheid kan niet lezen hoe orde emergent ontstaat uit een gekrioel aan mensen en bedrijven die zelf keuzes maken. Daarin ziet de overheid slechts de afwezigheid van orde. Ze ziet toeval, geluk, paniek. Wie echter oog heeft voor wat er daadwerkelijk gebeurt, ziet veerkracht.

Het protocol is een totem. Andere culturen hadden de regendans, de pauselijke zegen en het bloedoffer. Onze samenleving heeft het protocol. Met het protocol in de hand, geloven we dat we de complexe en chaotische realiteit onze wil hebben opgelegd.

Stelling 5: Digitale branden blus je niet met nullen en enen.

De laatste stelling is de optelsom van het voorafgaande. Een digitale brand is niet geholpen met een digitale brandweer die komt blussen met nullen en enen. Waar digitale verstoringen tot fysieke gevolgen leiden, hebben ze wellicht meer impact, maar komen ze ook op terreinen waar we al gewend zijn met verstoringen om te gaan. Daar heeft de overheid al capaciteiten voor. 

Onder het hele discours van de digitale ontwrichting gaat een mythologisering schuil rond het begrip ‘cyber’. Cyber wordt gezien als een eigen domein, een andere wereld met zijn eigen wetten en logica. Je zet het woord cyber ergens voor en ineens is alles anders. Nieuw. Spannend. Eng. Onbegrepen. Maar vooral: anders. Cyberrampen zijn geen gewone rampen. 

Dit soort cyber-exceptionalisme schept de optische illusie dat er een leemte is, dat we onvoldoende responscapaciteit zouden hebben en dat we speciaal voor cyber iets moeten inrichten. 

Het woord cyber heeft ook een homogeniserend effect. Het veronderstelt dat alle cyberincidenten een gemene deler hebben. Het WRR-rapport gooit dan ook een absurde verscheidenheid aan dreigingen op dezelfde hoop: kabelbreuken, Stuxnet, ransomware, Russische trollen in de Amerikaanse verkiezingen, afgebrande telecomswitchen, de marktmacht van de grote techbedrijven, een cyberaanval op het Oekraïense elektriciteitsnetwerk, een softwarestoring in 112, en ga maar door. 

Deze gebeurtenissen hebben eigenlijk niets met elkaar te maken, behalve dat ze vagelijk iets met het internet van doen hebben. Maar die verwantschap doet er niet toe voor het voorkomen van ontwrichting. Als storingen zijn ze totaal anders en de vereiste respons is dus is ook totaal anders. Het uitvallen van de elektriciteitsvoorziening, of dat nou door cyber komt of een andere oorzaak, is een bekend en verwacht probleem waarvoor elke samenleving zijn eigen antwoord heeft ingericht. Aan dat antwoord heb je niets als je de buitenlandse trollen wil bestrijden die politieke tegenstellingen proberen te polariseren op sociale media. Oftewel, het hele idee van een cyberbrandweer is gebaseerd op de misvatting dat er zoiets is als het cyberdomein, een domein zonder brandweer. Maar als cyber aanwezig is in alle processen in de samenleving, kan het natuurlijk niet langer een eigen domein zijn. Nogmaals: de paradox is dat wanneer allerlei fysieke processen digitaliseren, dat daarmee dus ook de gevolgen van digitale storingen normaliseren. 

Waar je deze normalisering goed kunt aanschouwen, is in de wereld van de cyberverzekeringen. Het WRR-rapport wijst terecht op de rol die verzekeringen gaan spelen in de omgang met risico’s. Maar weet u wat hét gesprek is in verzekeringsland de afgelopen jaren? Niet dat cyberverzekeringen zo belangrijk worden. Nee, men worstelt enorm met het probleem van ‘silent cyber’. Wat is dat? Het feit dat cyberverstoringen nu al, in stilte, onder de normale bedrijfspolissen vallen voor fysieke schade en continuïteitsverlies. In die polissen staat niet: deze schade wordt niet vergoed als het door cyber is veroorzaakt. Daar zijn de verzekeraars op pijnlijke wijze achter gekomen door de claims die werden ingediend na Petya en NotPEtya. Een industrierapport schat dat 90% van de verzekeringsschade door NotPetya afkomstig is van dit silent cyber exposure.^[3] Oftewel: cyberrisico’s zijn genormaliseerd en vallen in hele hoge mate al onder bestaande risicoverzekeringen.

De termen cyber en digitalisering zullen over een paar jaar potsierlijk klinken. We spreken ook niet meer over de elektrificering van de samenleving. En al helemaal niet over de noodzaak van een elektrische brandweer die dwars door alle sectoren heen kan opereren, bijstand kan verlenen en bevoegdheden kan opeisen, omdat elektriciteit steeds meer met de normale wereld verweven raakt. 

Zolang we doen alsof cyber een eigen domein, met een eigen logica, lokt het contraproductieve interventies uit. Alleen als je gelooft in die mythe, klinkt het logisch om te vragen om nieuwe bevoegdheden, om een cyberbrandweer te willen inrichten, om te geloven dat het maken van een overkoepelend cyberafhankelijkheidsbeeld ook maar enig inzicht zal geven, en om te denken dat ‘centrale normstelling’ een goed idee is tegenover deze enorme variëteit aan verschijnselen. 

Tot slot: wat dan wel?

Mijn betoog is, ten diepste, een optimistisch betoog. De overheid al heel veel doet om ontwrichting te voorkomen. En dat doet ze goed. Voor de maatschappelijke reactie op, zeg, stroomuitval, maakt het weinig uit of de oorzaak ‘cyber’ heet. Ontwrichting voorkomen gaat niet over oorzaken, het gaat over gevolgen. De rol van de overheid is niet het voorkomen van storingen, maar het stoppen van de escalatie van storing naar ontwrichting.

Dus laten we ophouden met de mythologie te voeden dat cyber een eigen domein is waarin alles opnieuw moet worden uitgevonden. Anders roepen we de ontwrichting over onszelf af. Op een gegeven moment gaan burgers nog geloven dat stroomuitval door cyber erger is dan stroomuitval door een helikopter die in een hoogspanningsleiding is gevlogen. Cyber en digitalisering zullen verdwijnen als begrippen. De overheid moet naar de lange termijn kijken en risico’s normaliseren, niet paniekerige institutietjes uit de grond stampen. 

Een tweede conclusie is dat de overheid haar verlangen naar een leesbare samenleving moet beteugelen. Het is vorm van blindheid om het uitblijven van ontwrichting af te doen als ‘toeval’. Er is veel responscapaciteit die niet begrepen wordt. Onduidelijke en overlappende verantwoordelijkheden zijn daarin eerder een positieve factor. Het laat ruimte voor initiatief en creativiteit, voor veerkracht. Precies wat we nodig hebben in de omgang met nieuwe technologieën. Het is heel makkelijk om die veerkracht te verstoren met de plannen die nu voorgesteld worden.

We hebben de veiligste samenleving in de historie van de mensheid omdat we risico’s hebben genomen. Laten we dat blijven doen.

^[1] https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/

^[2] Marc Hijink en Steven Derix, Een mooie dag voor een black-out, NRC Handelsblad 10 september 2011.

^[3] https://www.agcs.allianz.com/news-and-insights/expert-risk-articles/risk-barometer-2019-cyber-incidents.html