Cyberbeveiliging van 5G: passende beveiligingsmaatregelen vereist

Abonneer je gratis op Techzine!

5G wordt de nieuwe standaard voor mobiele netwerken. De opvolger van 4G is sneller, stabieler en heeft meer capaciteit. 5G zal de samenleving flink veranderen doordat innovatie versnelt en data explosief toeneemt. Er zijn regelmatig discussies over hoe dit in goede banen geleid moet worden, waarbij vanuit de EU ook zorgen zijn over de mogelijke cybersecurityrisico’s. Illustratief is de discussie over mogelijke spionage door de Chinese overheid indien Huawei als leverancier zou worden gekozen voor 5G-infrastructuur. De EU heeft inmiddels strenge regels vastgesteld om de introductie van 5G veilig te laten verlopen en de daarmee gepaard gaande (digitale) veiligheidsrisico’s zoveel mogelijk te beperken.

Privacy- en beveiliging issues bij gebruik 5G

Voor het goed functioneren van de Nederlandse samenleving zal men steeds meer afhankelijk zijn van 5G. Toch kleven er ook nadelen aan de toetreding tot dit netwerk.

Via 5G is er veel meer dataverkeer en worden gegevens op nog grotere schaal uitgewisseld met andere apparaten/applicaties (‘Internet of Things’; IoT). Omdat daar bijna altijd persoonsgegevens bij zijn betrokken, kunnen er nog meer dan voorheen privacy issues gaan spelen. 5G heeft ook gevolgen voor (de goede werking van) cruciale sectoren zoals banken, transport, de energievoorziening, de zorg en industriële controlesystemen. De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) heeft in de zomer van 2019 de Tweede Kamer er al op gewezen dat de introductie van 5G substantiële risico’s oplevert voor de privacy van burgers en voor de vertrouwelijkheid van gevoelige bedrijfs- en overheidsinformatie (en de openbare orde).  

Het is dus essentieel dat 5G veilig is en dat de toeleveranciers van 5G-technologie betrouwbaar zijn en hun beveiliging op orde hebben.

Tip: Moet Europa ook streven naar technologische werelddominantie?

Regelgeving op het gebied van privacy en cybersecurity

De laatste jaren is het onderwerp van beveiliging van data en persoonsgegevens erg belangrijk geworden. Niet verwonderlijk, want de samenleving wordt steeds meer afhankelijk van digitale processen met als gevolg dat IT-incidenten de samenleving kunnen ontwrichten. Denk bijvoorbeeld aan de kwetsbaarheden in de Citrix-servers, de ransomware-aanval op de Universiteit van Maastricht en de onbereikbaarheid van 112 vanwege een storing bij KPN. In de huidige COVID-19-tijdperk met steeds meer ‘thuiswerkers’, worden we meer afhankelijk van IT en dus ook meer kwetsbaar voor cybercrime. Op hoger niveau wordt vaak gesproken over de noodzaak van het vergroten van de ‘digitale weerbaarheid’. Dit alles wordt uitvoerig belicht in het ‘Cybersecuritybeeld Nederland 2020’ (CSBN 2020) van de NCTV.

Cybersecurity en privacy zijn daarom ‘hot topics’. Er worden niet alleen regels gesteld over het gebruik van persoonsgegevens, maar ook regulering/wetgeving op het gebied van cybersecurity heeft prioriteit in zowel Brussel als de lidstaten. Vertrouwen in en veiligheid van de Europese (online) markt is van groot belang. Een goede en gestructureerde aanpak van cybersecurity is daarbij essentieel. Naast de introductie van de Europese privacywet ‘AVG’ zijn op het gebied van cybersecurity diverse Europese en nationale wetten geïntroduceerd. Al die wetten (inclusief de AVG) bepalen kort gezegd dat men als onderdeel van een zorgplicht ‘passende beveiligingsmaatregelen’ moet treffen.

Passende beveiligingsmaatregelen?

In welke gevallen zijn passende beveiligingsmaatregelen verplicht?  

Bij de verwerking van persoonsgegevens (AVG)

Bijna elk bedrijf heeft te maken met de AVG, aangezien altijd wel persoonsgegevens worden verwerkt. De AVG eist dat men “passende technische of organisatorische maatregelen” neemt om die data te beveiligen. Het komt erop neer dat die maatregelen een passend beveiligingsniveau garanderen dat in verhouding staat tot het risico, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging.

Voor aanbieders van essentiële diensten en digitale dienstverleners (NIB Richtlijn / Wbni)

De Europese ‘Netwerk- en informatiebeveiligingsrichtlijn’ (NIB-richtlijn) uit 2016 heeft als doel het harmoniseren van beveiligingseisen voor netwerk- en informatiesystemen. De NIB-richtlijn geldt voor “aanbieders van essentiële diensten” (AED’s) en “digitale dienstverleners” (DSP’s). Bij AED’s gaat het om (staats)bedrijven waarbij een IT-incident grote maatschappelijk gevolgen kan hebben. Denk hierbij aan Schiphol of een drinkwaterbedrijf. DSP’s zijn ‘onlinemarktplaatsen’, ‘onlinezoekmachines’ en ‘cloudcomputerdiensten’ (met een bepaalde omvang), zoals Google of Bol.com. AED’s en DSP’s moeten “passende en evenredige technische en organisatorische maatregelen” nemen om hun ICT adequaat te beveiligen. Ook hier geldt: een passend beveiligingsniveau dat in verhouding staat tot het risico, waarbij rekening wordt gehouden met de huidige stand van de techniek en de kosten. Deze beveiligingseisen zijn erg vergelijkbaar met die uit de AVG. De NIB-richtlijn is in Nederland geïmplementeerd via de ‘Wet beveiliging netwerk- en informatiesystemen’ (Wbni).

Tip: Huawei stevent af op faillissement, wanhopig op zoek naar uitweg

Bij telecomaanbieders (Privacyrichtlijn, Kaderrichtlijn en de Nederlandse Telecommunicatiewet)

Ook voor aanbieders van elektronische communicatienetwerken en -diensten (zoals telecomproviders) gelden vergelijkbare beveiligingseisen. Die moeten zij nemen met het oog op de beveiliging van zowel hun gebruikers (klanten) als hun ICT. Deze verplichtingen zijn neergelegd in de e-Privacyrichtlijn, de Kaderrichtlijn en de Nederlandse Telecommunicatiewet. Het gaat hier om “passende technische en organisatorische maatregelen”, welke moeten worden genomen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers. Voor de uitleg en toepassing daarvan wordt (vooral) gekeken naar de AVG. Daarnaast moeten telecomaanbieders vanuit het oogpunt van continuïteit ten aanzien van hun ICT-netwerk of diensten “passende technische en organisatorische maatregelen” treffen. Die moeten ervoor zorgen dat de risico’s voor de veiligheid en de integriteit van de netwerken en diensten worden beheerst.

Toepassing in de praktijk?

De vraag is hoe in de praktijk moet worden omgegaan met deze ‘zorgplicht’. De beveiligingseisen kunnen op verschillende manieren worden uitgelegd en zijn vooral ‘open normen’ die niet specifiek in de regelgeving zijn uitgewerkt. Men moet de maatregelen zelf inpassen en afstemmen op de bedrijfsvoering, daarbij rekening houdend met de ‘state of the art’ van de netwerken en diensten. Wat is dan ‘passend’ als beveiligingsmaatregel? Denk hierbij vooral aan een beveiligingsmaatregel die proportioneel is gelet op de te beschermen gegevens. Afhankelijk van het geval kan dat zijn het gebruik van algemeen geaccepteerde beveiligingsstandaarden (bijv. ISO-norm ISO27001 voor informatiebeveiliging), certificering, aansluiting bij gedragscodes en of toepassing van ‘tweefactorauthenticatie’ en/of security patches.

Gebruik van Huawei-apparatuur: “passend”?  

Vanwege de dreiging van 5G is onder leiding van de NCTV een ‘taskforce’ opgericht. Met behulp van KPN, VodafoneZiggo en T-Mobile is een risicoanalyse gemaakt. Daaruit is naar voren gekomen dat telecomaanbieders aanvullende beveiligingsmaatregelen moeten nemen, vooral ten aanzien van de zogenaamde ‘kritieke onderdelen’ in het telecomnetwerk. Die zijn namelijk extra kwetsbaar voor misbruik en moeten veilig zijn. Overigens is ook op Europees niveau een 5G-risicoanalyse gemaakt en een ‘toolbox’ gepubliceerd met bevindingen en aanbevelingen voor maatregelen die lidstaten moeten nemen. Lidstaten mogen niet afhankelijk zijn van aanbieders van infrastructuur uit ‘schurkenstaten’.  

In het “Besluit veiligheid en integriteit telecommunicatie” van 28 november 2019 is neergelegd dat Nederlandse telecomaanbieders voor bepaalde door de minister aangewezen kritieke onderdelen van hun netwerk alleen gebruik mogen maken van vertrouwde leveranciers. Het mag geen gebruikmaken van leveranciers die onder invloed staan van ‘een staat, entiteit of persoon’ waarvan bekend is of vermoed wordt dat ze het communicatienetwerk willen ‘misbruiken of uit laten vallen’ dan wel ‘nauwe banden’ hebben met een dergelijke partij. De minister kan uiteindelijk via een beschikking bepalen welke partijen geen diensten en producten mogen leveren voor de kritieke onderdelen van een 5G-netwerk en mogelijk de naam Huawei noemen. Daarnaast kan de minister nadere regels stellen aan de telecomaanbieders over hoe zij aanvullende technische en organisatorische beveiligingsmaatregelen moeten nemen.

Tip: Om China’s werelddominantie te stoppen, moet Huawei kapot

Dit besluit is een nadere uitwerking van de passende beveiligingsmaatregelen die telecomaanbieders moeten treffen op grond van de Telecommunicatiewet en geeft uitvoering aan de ‘Aanbeveling Cyberbeveiliging van 5G-netwerken’ van de Europese Commissie. Het is vooralsnog onduidelijk of de Nederlandse regering Huawei op de ‘zwarte lijst’ zet, in die zin dat providers zoals KPN van die partij geen onderdelen mogen afnemen voor hun 5G-infrastructuur. Voor zover mij bekend is daarover in Nederland nog altijd geen besluit genomen. Chinese partijen als Huawei en ZTE mogen nog altijd onderdelen leveren. Maar gelet op alle ‘heisa’ rondom Huawei, lijkt het wel verstandig(er) om als Nederlandse telecomaanbieder geen risico te nemen en vooralsnog te kiezen voor concurrenten Ericsson of Nokia. In ieder geval als het gaat om kritieke onderdelen van de 5G-infrastructuur. Hierdoor wordt ook recht gedaan aan de zorgplicht voor passende beveiliging.

Hoe zit het dan met de Nederlandse (staats)bedrijven die straks (in)direct gebruik gaan maken van 5G-netwerken? Gelet op hun belangrijke maatschappelijke functie en de huidige cybersecurityregelgeving, zullen DSP’s en AED’s bij hun Nederlandse 5G-aanbieders moeten informeren van welke leveranciers zij gebruikmaken in hun mobiele netwerk. Dit om eventuele risico’s te signaleren en waar nodig actie te ondernemen. In Nederland zelf zullen denk ik geen alarmbellen afgaan gelet op de strenge regels voor gebruik van (kritieke onderdelen van) 5G-infrastructuur.

Maar wat is wijsheid als Nederlandse ondernemingen in het buitenland actief zijn (bijvoorbeeld China) en aldaar bewust of onbewust gebruikmaken van een buitenlandse mobiele provider van 5G die wel werkt met Huwaei onderdelen? Niet ondenkbaar is dat een werknemer in het buitenland via zijn/haar laptop of mobiele telefoon gebruik gaat maken van het lokale 5G-netwerk en een hack plaatsvindt waarbij gevoelige bedrijfs- of persoonsdata worden gestolen. De meeste bedrijven zullen om aan de AVG te voldoen al sinds enige tijd een passend beleid hebben om privacy risico’s te beperken. Maar zijn die voldoende om hacks via het 5G-netwerk tegen te gaan? Gelet op de nieuwe cybersecurity regelgeving en de hiervoor genoemde aanvullende ‘5G-maatregelen’ is het voor internationaal opererende ondernemingen (en met name de DSP’s!) alleen maar belangrijker geworden om hun ICT adequaat te beveiligen. Hun beveiligingsbeleid zal ook passend moeten zijn in het nieuwe 5G-tijdperk!

De tijd zal leren hoe de ‘digitale koude oorlog’ tussen het Westen en China zich verder ontwikkelt.

Dit is een ingezonden bijdrage van Jasper Hulsebosch, advocaat IE/IT bij De Vos & Partners Advocaten. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.