Sinds afgelopen weekeinde weten we dat het Engelse wannacry niet alleen betekent dat je wel kunt huilen, maar ook dat Britse ziekenhuizen, de Duitse spoorwegen, Russische banken en het Nederlandse Q-park van Wannacry ook daadwerkelijk gingen huilen. Een grote cyberaanval met de gijzelsoftware Wannacry legde deze en nog vele andere bedrijven lam door hun computers te hacken. Wat zegt dit eigenlijk over flow security in Nederland en andere landen?
Tot vorige week had ik dat woord flow security nog nooit gehoord. Maar het toeval wil dat de Wetenschappelijke Raad voor het Regeringsbeleid uitgerekend een paar dagen voor de Wannacry-aanval een rapport uitbracht met de titel Veiligheid in een wereld van verbindingen, met als ondertitel Een strategische visie op het defensiebeleid. Als we door iets met elkaar in verbinding staan anno 2017, dan is het wel door het dataverkeer.
Moderne oorlogvoering is niet alleen het gooien van bommen of het op een menigte inrijden met een vrachtwagen, maar ook het saboteren van de dataverbindingen, zodat artsen geen operaties meer kunnen uitvoeren omdat ze niet bij het patiëntendossier kunnen, zodat banken geen geld meer kunnen overmaken, treinen noodgedwongen stilstaan en parkeergarages auto’s alleen met een noodprocedure naar buiten kunnen laten gaan. Van een wapen als Wannacry dus, maar dan gebruikt door terroristen en niet door criminelen, zoals nu, die geld eisen voor het weer vrijgeven van alle data.
De samenstellers van het WRR-rapport hebben de recente cyberaanval mogelijk stiekem toegejuicht. Weliswaar is het toeval, weliswaar is het vreselijk, maar die aanval benadrukt op het eerste gezicht wel hun punt: het veiligheidsbeleid in Nederland moet gecoördineerder, centraler, beter afgestemd en vooral ook gezien worden in een bredere context. Met niet alleen oog voor de nationale veiligheid, national security, waaronder de meer traditionele veiligheidstaken van de overheid worden verstaan van politie, defensie en inlichtingendiensten, maar ook voor human security en de al genoemde flow security. De eerste behelst zowel het persoonlijke welzijn van mensen als hun maatschappelijke omstandigheden en vertrouwen in overheidsdiensten. Flow security slaat niet alleen op het dataverkeer, maar geldt ook voor de aanvoer van veilig voedsel en van grondstoffen.
De WRR, adviesorgaan van de regering, maakt zich zorgen over het defensiebeleid. Defensie – in dit geval wordt dan wel alleen de krijgsmacht bedoeld – staat onder druk. Jarenlang is de krijgsmacht uitgehold, aldus de WRR, terwijl het aantal taken er door allerlei bedreigingen niet minder op is geworden. Als je in het rapport leest waardoor onze wereld allemaal wordt bedreigd, ga je niet meer rustig slapen. De beste samenvatting van die dreigingen zit in de woorden Post-Truth, Post-West, Post-Order?, de titel van een recent rapport voor een internationale veiligheidsconferentie, waarin de schrijvers zich afvragen of we leven in een wereld waarin de waarheid niet meer bestaat, het Westen niet meer de dienst uitmaakt en van enige ordening en machtsblokken ook geen sprake meer is.
De WRR voorspelt als gevolg van al die bedreigingen – en zij staat daarin niet alleen – een langdurige periode van wereldwijde spanningen, dicht bij huis en ver weg. Dat vraagt volgens de WRR om een coördinerende Algemene Raad voor de Veiligheid, in te stellen bij wet, met de minister-president als voorzitter, en vervolgens als leden een aantal betrokken ministers zoals die van Defensie, Buitenlandse Zaken en Veiligheid & Justitie, de hoogste militaire en burgerlijke ambtenaren, en op hun professionele kennis gekozen deskundigen. Te vergelijken dus met de National Security Council in Washington.
De samenstellers van het WRR-rapport hebben blijkbaar voorvoeld dat er door die vergelijking met de Verenigde Staten kritiek zou komen. Kom op, een klein land als Nederland?! Daarom schrijven ze dat een dergelijke Algemene Raad voor de Veiligheid niet is voorbehouden aan grote landen, maar dat juist kleine landen moeten excelleren in strategievorming. Want we ‘kunnen er niet zonder meer op vertrouwen’ dat onze veiligheid, zoals nu nog het geval is, decentraal of via individuele politici goed kan worden geregeld. Volgens de WRR is het Nederlandse veiligheidsbeleid te verkokerd, te versnipperd over verschillende departementen en te traditioneel, lees onvoldoende gericht op bijvoorbeeld flow security.
Ook staatkundig zou een dergelijke Veiligheidsraad in Nederland kunnen, staat er in het WRR-rapport te lezen. Daarmee wordt eveneens geprobeerd kritiek voor te zijn. De minister-president heeft in Nederland niet dezelfde macht als de Amerikaanse president. Mark Rutte is de eerste onder zijn gelijken, kan niet in z’n eentje beslissen en ministers niet wegsturen; Donald Trump kan wel zelf beslissen, ook om onwelgevallige ministers te ontslaan.
President Trump heeft als voorzitter van zijn Veiligheidsraad de uiteindelijke macht, minister-president Rutte niet. Maar wie zou er na de instelling van een Veiligheidsraad in Nederland dan verantwoordelijk zijn als er op bijvoorbeeld het terrein van cruciaal dataverkeer een cyberaanval komt? De minister-president als voorzitter van de Veiligheidsraad? Of toch een departementsminister? Rutte schijnt er niet op te zitten wachten om telkens naar de Tweede Kamer te worden geroepen om daar voor zijn collega-ministers de kooltjes uit het vuur te moeten halen als er op dat hele brede terrein van veiligheid iets mis gaat.
Op het Binnenhof bestaat ook huiver voor de organisatorische rompslomp die met de instelling van een Veiligheidsraad gepaard zou gaan. Reorganisaties slurpen vaak energie en zijn even zo vaak brandstof voor ruzies over macht en invloed. Daarom de vraag, inclusief verzuchting, van Kamerleden of een betere coördinatie in de huidige onderraad, waarin een groep ministers al overlegt over veiligheid, niet kan volstaan.
Dat de flow security ook mét een Veiligheidsraad niet gegarandeerd is, blijkt wel uit de recente Wannacry-aanval. De Amerikaanse veiligheidsdienst NSA was al eerder op de hoogte van het lek waarvan afgelopen weekeinde misbruik is gemaakt door onwelwillenden. De NSA hield dit lek echter geheim, zodat bedrijven en organisaties zich niet konden beschermen. De flow in de eigen NSA-werkzaamheden ging blijkbaar voor. Dat zal tegenstanders van een Veiligheidsraad een wapen in handen geven: dat samenwerking en coördinatie vooral om een mindset gaat. Om dan ook maar bij het Engelse jargon te blijven.