De luide politieke roep om samenwerking

de pous

Het beeld toont zich duaal. Te gekke vindingen enerzijds. De techniek dendert voort met draagbare technologie, robotisering, virtuele valuta, big data, Internet of Things en wat dies meer zij, gecomplementeerd met hooggespannen verwachtingen. Anderzijds tekenen massale inbreuken op persoonsgegevens de tijdgeest. Criminelen, veiligheidsdiensten, toezichthouders, onderzoekers, maar tevens mismanagement en gammele informatietechniek, leggen telkens, maar op uiteenlopende wijze, de vinger op de zere plek. Een maatschappij met een fragiel, ronduit kwetsbaar karakter. Quo Vadis?

Terwijl overheidsorganisatie en bedrijf graag zoveel mogelijk gegevens willen registreren, vastleggen, bewaren en analyseren, is het individu uit oogpunt van informatiebeveiliging en privacybescherming waarschijnlijk beter af met minder gegevensverwerking. De kans op dataminimalisatie lijkt klein.

Wat echter sowieso behoort plaats te vinden, is de feitelijke en juridische borging - en natuurlijk naleving - van hoge kwaliteitsnormen voor elektronische technologie en infrastructuur. Als de Nederlandse overheid de veiligheid en betrouwbaarheid van elektronisch stemmen nog altijd niet kan garanderen, waarom zouden andere toepassingen dan wel veilig zijn?

Hoe het ook zij, ICT - tegenwoordig vaak met cyber aangeduid - staat volop in de belangstelling. Geen wonder dat onze minister president op dezelfde dag zowel de Global Conference on CyberSpace 2015 (GCCS2015) als de AutoRAI opende. Twee totaal verschillende evenementen, maar bij nader inzien met een onlosmakende verbindende factor. Zelfs letterlijk. Hoogwaardig-technologische, zelfrijdende auto's bewegen zich op de openbare weg en in cyberspace. Dat kan uiteindelijk alleen veilig plaatsvinden, wanneer de netwerk- en informatiebeveiliging op orde is.

De hamvraag is wie waar voor verantwoordelijk is. Nederland geeft stoer en onvoorwaardelijk aan dat het voorstander is van een open, vrij en veilig Internet. In de aanloop naar de GCCS2015 luidde de gedachte van de regering: 'Door te investeren in internationale samenwerking tussen publieke en private partijen verbetert Nederland niet alleen de eigen digitale veiligheid, maar worden ook kansen gecreëerd voor economische groei en innovatie.' Maar zonder duidelijke taken en verantwoordelijkheden van partijen, gecomplementeerd met een gedetailleerde marsroute voor deze beoogde co-creatie, verandert zo'n politieke verklaring nooit in een zichzelf waarmakende voorspelling.

Digitale veiligheid begint weliswaar bij de ICT-sector, of juister gezegd, bij degenen die de informatietechniek ontwikkelen. Toch worden kleine stappen bij gebruikers vaak over het hoofd gezien. Om een dwarsstraat te noemen. Het Witte Huis komt pas nu op het idee de 1.200 openbaar toegankelijke websites van federale overheidsorganisaties te voorzien van de standaard Hypertext Transfer Protocol Secure of HTTPS. Veelal wordt het minder veilige HTTP ingezet, hoewel er ook uitzonderingen zijn. HealtCare.gov, FTC.gov en bijvoorbeeld de CIA, die sinds 2006 het verkeer van en naar haar site versleutelt. Hoe paradoxaal het vanuit deze kant van de Atlantische oceaan wellicht mag klinken, het ‘HTTPS-Only Standard’-beleid moet burgers beschermen tegen online eavesdroppers.

Ondanks vage aankondigingen neemt politieke aandacht voor samenwerking in het domein digitale veiligheid toe. Met alle diametrale gevolgen van dien. Zo wil de Amerikaanse overheid medewerking van Apple, Google en Microsoft wanneer het gaat om het verkrijgen van toegang tot versleutelde informatie van hun klanten. Tegelijkertijd horen we het pleidooi van president Obama. Overheid en Silicon Valley moeten samen optrekken om de kwetsbaarheid van de informatiemaatschappij terug te dringen. Het Witte Huis zegt klip en klaar dat zij het niet alleen kan. Informatie delen is een van de belangrijkste middelen, maar vormt tegelijkertijd de grootste drempel. De president heeft het voortouw genomen en nieuwe regelgeving biedt de overheid meer ruimte voor het delen van vertrouwelijke informatie over digitale aanvallen met het bedrijfsleven. En vice versa? In Nederland was Rabobank bezorgd dat informatie die zij deelde in het Nationaal Cyber Security Center met een beroep op de Wet openbaarheid van bestuur kan worden opgevraagd door derden, waardoor de beveiligingsmaatregelen van de bank mogelijk worden verzwakt.

Mr. V.A. de Pous is bedrijfsjurist en industrie-analist