Een cyber hub als bijenkorf voor multidisciplinaire samenwerking
Op een zonnige vrijdagmiddag delen Cyber Security Raadsleden Lokke Moerel en Bibi van den Berg hun opvattingen over de oprichting van een Cyber onderzoeksinstituut. Eind 2017 nam de Tweede Kamer een motie aan waarin de regering werd verzocht de mogelijkheden daarnaar te onderzoeken. Die verkenning is inmiddels in volle gang. Heet hangijzer is vooral of dit onderzoeksinstituut een virtuele samenwerking wordt tussen de betreffende universiteiten of dat er een fysiek instituut komt waar de betreffende wetenschappers elkaar ook zullen tegenkomen. Moerel en van den Berg gaat het allemaal niet ver en snel genoeg, … we hebben een bijenkorf nodig waar iedereen in en uit vliegt en waarin veel publieke en private samenwerking is.
Lokke Moerel is Senior Of Counsel Morrison & Foerster LLP en hoogleraar Global ICT Law aan de Universiteit Tilburg. Zij helpt bedrijven wereldwijd met de implementatie van nieuwe digitale technologieën en verleent crisis-assistentie als bedrijven te maken krijgen met een cyber aanval. Bibi van den Berg is hoogleraar Cybersecurity Governance aan de Universiteit Leiden. Zij kijkt in haar onderzoek met een sociaal- en geesteswetenschappelijke bril naar cybersecurity als maatschappelijk en bestuurlijk vraagstuk. Moerel: Als er een serieuze cyber aanval is op een bedrijf, zie ik knelpunten in de beschikbare kennis en handjes om bedrijven goed bij te kunnen staan. In grote zaken moeten we uitwijken naar aanbieders uit andere landen om genoeg op te kunnen schalen. De expertise in Nederland hangt op een handjevol aanbieders en dan nog op specifieke individuen. Die kunnen ook zo maar vertrokken zijn naar bijvoorbeeld een bedrijf als Google of een initiatief zoals in Saarbrücken in Duitsland, waar tientallen miljoenen in cybersecurity onderzoek worden geïnvesteerd.’
Van den Berg: ‘Cybersecurity is een groot domein, en nog vrij versnipperd. Verschillende actoren zijn bezig op een ander continentje op de landkaart en er zijn niet veel verbindingen tussen deze continenten.’ Moerel: ‘Cybersecurity gaat verder dan techniek. Het is een multidisciplinair domein, en dat vergt nieuwe vormen van samenwerking en oplossingen. Op dit moment wordt er nog te weinig samengewerkt. We hebben daarom een specifieke interdisciplinaire organisatie nodig om daar meer op te sturen. Een papieren samenwerkingsorganisatie is daarvoor niet genoeg. Je moet er echt een instituut van maken, waar mensen elkaar tegen komen in de gang en bij de koffieautomaat.’
Van den Berg: ‘De beste manier om een samenwerking duurzaam te verankeren is inderdaad om mensen daadwerkelijk een aantal dagen per week samen te brengen op één locatie. Dan krijg je loyaliteit en draagvlak.’ Moerel: ‘In het begin lopen de universiteiten hier waarschijnlijk niet warm voor. Maar zodra een instituut toegevoegde waarde heeft boven wat afzonderlijke instellingen zelf kunnen doen, krijgt het vanzelf een aanzuigende werking.’
Zet alles bij elkaar
Van den Berg: ‘Bij de discussie over een instituut roept iedereen altijd “Niet weer een hub met een gebouw want dat kost alleen maar extra geld.” Ik zeg: het oude gebouw van het Ministerie van Sociale Zaken en Werkgelegenheid staat leeg. Breng daar de Nederlandse cybersecurity onderzoeksgroepen in deeltijd bij elkaar en maak ook ruimte voor cybersecurity bedrijven en leg een verbinding met organisaties zoals het Nationaal Cyber Security Centrum en het Digital Trust Center. Dan zitten ze nog direct naast NWO ook.’
Moerel: ‘Moet je eens opletten wat er dan gebeurt. Ik weet zeker dat dan ook een stad als Den Haag bereid is in deze ‘cyberhub ‘ te investeren. En als er geld is, gaat iedereen samenwerken. Toen Frankrijk zwaar ging investeren om Parijs tot een AI (artificial intelligence) te maken voor publiek onderzoek en AI startups, lanceerde Google daar prompt ook een AI research center. Hoe je het Cyber instituut financiert is natuurlijk wel bepalend voor wat je uiteindelijk aan wetenschap en innovatie realiseert.’
Van den Berg: ‘Kijk naar de laatste cybersecurity call van NWO. Daar was een harde eis dat private partijen mee zouden betalen. Cybersecurity is echter ook voer voor een stevig maatschappelijk debat. Daar lopen private partijen minder warm voor. Door deze eis hadden sociale en geesteswetenschappers heel veel moeite om aan de ingangseisen voor de call te voldoen. Als je een instrument zo inricht dat bepaalde publieke partijen niet of nauwelijks kunnen participeren, schiet je jezelf in de voet.’
Moerel: ‘Zo’n instituut moet wel een duidelijke missie en taakomschrijving hebben, een duidelijk idee van wat het gaat doen, en de mensen die er werken moeten daaraan loyaal zijn en niet aan een individuele onderzoeksgroep van universiteit van herkomst. Ik heb voor het Horizon2020 programma een aantal cyber onderzoek aanvragen beoordeeld waarvoor telkens minimaal 15 instituten moesten samenwerken. Het viel me op dat de projecten waarbij er militairen in het zadel zaten stuk voor stuk een duidelijke projectorganisatie hadden, met een gezamenlijk doel. Universiteiten zijn minder gewend aan projectmanagement. Defensie wel, en dat heb je bij zo’n grensoverschrijdend onderwerp ook wel nodig.’
Van den Berg: ‘Wat mij betreft moeten we eerst eens prioriteiten stellen. Waar zijn we als Nederland van als het op cybersecurity aankomt? We hebben bijvoorbeeld stevig ingezet op cyberdiplomatie, en daar zijn we ook goed in. Samen met Estland zijn we in toenemende mate een gidsland op dat terrein.’
Moerel: ‘Het mooie aan Nederland is dat het een piepklein landje is. In de VS zouden ze dolgraag zoiets hebben als een Cyber Security Raad, maar dat is daar niet te doen. In Nederland beginnen we elkaar te kennen. Als we nu zorgen dat we de belangrijke poppetjes aan één tafel krijgen, zou het zo maar kunnen gaan lukken om hier als klein land toch een vuist te maken.’
Van den Berg: ‘dcypher heeft een neutrale verbindende rol in het digitale landschap. Dat is alle andere initiatieven die iets vergelijkbaar ambieerden niet gelukt. Daarom zou ik zeggen: Stop dit nou vooral niet, we zijn net goed bezig.’ Moerel: ‘Inderdaad, het begin is er al. Bouw dcypher uit tot een instituut. Je kunt dit op nationaal niveau in een land als Nederland nog runnen als een bedrijf. Echt, ik heb cliënten die groter zijn dan Nederland…’