Wat staat er in de nieuwe Amerikaanse internationale cyberstrategie? ISMS.online

Wat staat er in de nieuwe Amerikaanse internationale cyberstrategie?

Door Danny Bradbury • 27 juni 2024

Tijdens de RSA-conferentie op 6 mei onthulden de VS een strategie voor het opbouwen van een sterker, veiliger digitaal ecosysteem over de hele wereld. De Internationale cyberspace- en digitale beleidsstrategie van de Verenigde Staten Het onderliggende ethos van (ICDPS) is “digitale solidariteit” in het licht van de toenemende dreigingen vanuit Rusland, China, Noord-Korea en Iran.

Maar welke impact zal dit eventueel hebben op gewone bedrijven? Het zou op zijn minst opnieuw een herinnering moeten zijn aan de noodzaak van goed digitaal bestuur.

Dieper duiken

Dit document verschijnt niet in een vacuüm. Het bouwt rechtstreeks voort op dat van de VS Nationale Cybersecurity Strategie van vorig jaar, dat een hele eigen pijler had die gewijd was aan internationale samenwerking en consensus. Diplomatie is een van de drie principes die ten grondslag liggen aan het nieuwste document, waarin staat dat het “internationaal staatsmanschap” zal toepassen op een hele reeks verschillende gebieden, variërend van applicatiesoftware tot onderzeese kabels.

De andere twee fundamentele principes van het ICDPS zijn het vertrouwen op positieve actie om de voordelen van technologie te verspreiden, en een focus op cyberbeveiliging en veerkracht.

De strategie zal deze principes uitvoeren op vier belangrijke actiegebieden. De eerste draait om het bouwen van een open, veilig digitaal ecosysteem. Dit ecosysteem is gebaseerd op telecommunicatienetwerken, die hun eigen subsectie in het document krijgen, waarin expliciet aandacht wordt besteed aan 5G en de komende 6G-telecommunicatie. Een ander aandachtsgebied zijn de cloud en datacenters. Onderzeese kabels (die de vervelende gewoonte hebben om te worden geknipt of besnuffeld) en satellieten (de Amerikaanse regering was onlangs gealarmeerd toen ze dat ontdekte Rusland was van plan een in de ruimte gestationeerd antisatellietsysteem) zijn ook aandachtsgebieden.

Het tweede actieterrein vraagt om afspraken over data governance met internationale partners die de mensenrechten respecteren. De ICDPS roept op tot vrije gegevensstromen tussen landen en schetst het werk dat de VS al hebben gedaan om grensoverschrijdende privacyregels met andere landen op te stellen. Er werd ook zijdelings naar Europa gekeken: “De opkomst van een groeiend digitaal soevereiniteitsverhaal dat door enkele van onze naaste partners en bondgenoten is omarmd, heeft het potentieel om belangrijke doelstellingen van de digitale economie en cyberveiligheid te ondermijnen”, aldus het rapport.

Andere aandachtspunten op dit actieterrein zijn de ontwikkeling van open, onpartijdige standaarden. Hier neemt het document een expliciete uithaal naar China, dat naar eigen zeggen een ‘top-down benadering van de ontwikkeling van standaarden’ nastreeft en zijn economische invloed gebruikt om steun voor zijn standaardvoorstellen te stimuleren. Het ministerie van Buitenlandse Zaken heeft een punt, aangezien China zijn eigen beleid heeft aangescherpt internetstandaarden bij de ITU, en heeft met eigen uitrusting geholpen bij het opbouwen van infrastructuur voor autoritaire regimes.

Het document benadrukt ook de noodzaak om de deelname van burgers aan technologiebeslissingen, de bevordering van burgerrechten online en de totstandkoming van een verdrag inzake cybercriminaliteit uit te breiden. De takenlijst omvat ook de bevordering van betrouwbare AI en de strijd tegen desinformatie.

Slechte acteurs aansprakelijk stellen

Het derde actiegebied richt zich op het opbouwen van consensus onder statelijke actoren over verantwoordelijk gedrag in cyberspace. Het richt zich specifiek op het tellen van bedreigingen voor kritieke infrastructuur. Het zal misschien geen verrassing zijn dat het document Rusland, China, Noord-Korea en Iran als belangrijke agitatoren noemt.

Deze activiteitenpijler omvat onder meer het versterken van kritieke infrastructuur tegen cyberaanvallen door andere staten door middel van internationale samenwerking en het isoleren van slechte actoren op het wereldtoneel. Dit omvat het herbevestigen van wederzijdse defensieverdragen met andere landen, zoals deze van toepassing zijn op cyberspace. Artikel Vijf van het NAVO-Verdrag van Washington – dat leden toestaat elkaar te hulp te schieten in geval van een aanval – komt hier in gedachten, gezien de aanhoudende spanningen tussen Rusland en de alliantielanden over Oekraïne.

Het terugdringen van criminele activiteiten – vooral ransomware – krijgt een eigen onderdeel in de derde pijler, wat weerklank vindt in de roep om een cybercriminaliteitsverdrag in de tweede pijler. De strategie roept “enkele staten” op (ze hebben het over jou, Rusland) die “ransomware-actoren als proxy gebruiken of een oogje dichtknijpen voor hun activiteiten en de aanzienlijke impact van hun cyberaanvallen op kritieke infrastructuur”.

Interessant genoeg is er ook een speciale sectie voor spyware. In maart voegden de VS zes landen toe aan de oorspronkelijke tien die een toezegging van het Witte Huis hadden ondertekend om de verspreiding van deze categorie aanvalsinstrumenten tegen te gaan. Israël, de thuisbasis van de beruchte NSO-spywaregroep, is opvallend afwezig.

Ten slotte richt het vierde gebied van de strategie zich op het internationaal versterken van digitaal beleid en cybercapaciteit. Op dit gebied beloven de VS samen te werken met andere staten om hen te helpen hun cyberweerbaarheid te versterken, onder meer door nieuwe instrumenten en sterke samenwerkingsnetwerken te creëren om hen te helpen nieuwe uitdagingen het hoofd te bieden, zoals aanvallen op de infrastructuur.

Een rol in de particuliere sector?

Wat moet de particuliere sector van dit alles meenemen? De strategie roept specifiek op tot een multistakeholderbenadering van de digitale solidariteitsdoelstellingen, waarbij bedrijven betrokken zijn, en niet alleen overheden. Hoewel dit beleidsdiscussies op hoog niveau zijn waarvan de resultaten hopelijk in de loop van de tijd zullen doorsijpelen, zullen bedrijven die zich houden aan goede praktijken op het gebied van digitaal bestuur – variërend van cyberveiligheidshygiëne tot het verantwoord gebruik van nieuwe technologieën – in dezelfde algemene richting gaan als de strategie.

Het is een lastig probleem, deze internationale cyberdiplomatie-aangelegenheid. Op dit niveau spelen de VS op een terrein waar heel weinig wetten bestaan en waar inlichtingendiensten vaak achter gesloten deuren werken, waarbij ze het ene zeggen en het andere doen.

Aan de ene kant moeten de VS actie ondernemen om dezelfde soort invloed op het mondiale beleid in cyberspace uit te oefenen als zij al zo lang in de fysieke wereld hebben gedaan, vooral omdat de digitale wereld een cruciaal theater is geworden voor allerlei soorten geheime oorlogvoering; infrastructureel, economisch en informatief.

Deze ambitieuze inspanning vergt veel geloofwaardigheid en slagkracht. Toch is dit hetzelfde land als digitaal bespioneerde zijn eigen burgers en masse, naar men zegt buitenlandse bedrijven gehackt, heb het afgeluisterd eigen bondgenoten op het hoogste niveau, en ondermijnd versleutelingsstandaarden om technische zwakheden te introduceren. Naast vele andere escapades.

En uiteraard zou alles binnen zes maanden weer kunnen veranderen als de politieke munt in de VS weer gaat draaien. Als een nieuwe, beruchte isolationistische regering de macht overneemt, wat dan? In de onstuimige wereld van mondiaal beleid is niets zeker en ligt alles voor het oprapen.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 15 januari 2026

Van perimeterbeveiliging naar identiteit als beveiliging.

Je kunt tegenwoordig geen beveiligingsevenement bekijken zonder de term 'zero trust' tegen te komen. Het is inderdaad een modewoord, maar...

Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury