Regering ziet slechts deel van digitaal kader

  1. 15 dec 2017
  2. 0 reacties

Victor de Pous

Veiligheid is één van de twee kerndomeinen waarin het kabinet Ruttte III het ICT-beleid plaatst en nader bepaald vertaalt zich dat vooral in het voorkomen en vervolgen van strafrechtelijke handelingen ter zake. Zonder enige twijfel noodzakelijk.

Om twee gronden te noemen: het OM verwacht dat in 2021 de helft van de misdaad computer-gerelateerd is. Een trendbreuk. Volgens het CBS heeft ruim 20 procent van de bedrijven met minstens tien werkzame personen in 2016 te maken gehad met de gevolgen van cyber-aanvallen.

De nieuwe regering kiest voor een reeks van personele en andersoortige maatregelen en maakt daar geld voor vrij. Meer IT-professionals voor (i) internationale opsporing, (ii) bij departementen en (iii) voor de uitvoering van de door de Wet computercriminaliteit III aan te passen strafwetgeving. Daarnaast wordt de aandacht gericht op standaarden voor IoT-toepassingen, veiligere software (kennelijk via een bijzondere juridische aansprakelijkheid), versterking van het bestaande publiek-private expertisecentrum NCSC en het verbeteren van informatiecampagnes.

De maatschappelijke problematiek is echter breder dan digitale criminaliteit. ICT maakt ons generiek kwetsbaar vanwege de sterke afhankelijkheid van de beschikbaarheid er van. Niet alleen elektronische misdaad zorgt op allerlei wijzen voor onder meer systeemuitval en directe en gevolgschade, ook gammele informatietechniek (onvoldoende kwaliteit algemeen van producten en diensten door bugs in soorten en maten) creëert voortdurend digitale incidenten. En laten we menselijke fouten niet vergeten. Digitale kwetsbaarheid is de keerzijde van de zo geprezen wondere wereld van de informatiemaatschappij, waar wetgever, beleidsmaker en (openbaar) bestuurder alsmede individu nog altijd onvoldoende aan willen.

Dit is interessant. Hoe de - grove - verhouding tussen niet-opzettelijke digitale incidenten en computercriminaliteit ligt, hangt waarschijnlijk af van de gekozen benadering. Het CBS becijferde dat ‘aanvallen van buitenaf’ minder vaak voorkomen dan ‘niet-opzettelijke cyberincidenten’. Onderbouwing van deze onderzoeksgegevens vinden we bijvoorbeeld in de voornaamste oorzaak van de 5.500 datalekken, die vorig jaar zijn gemeld op grond van artikel 34a Wbp: menselijk falen.

De Autoriteit Persoonsgegevens detecteerde namelijk de volgende, veelvoorkomende datalekken. Een klant ziet in een klantportaal de gegevens van iemand anders, iemand raakt een USB-stick kwijt met (vaak onversleutelde) persoonsgegevens, een poststuk met persoonsgegevens komt niet aan bij de ontvanger of komt geopend terug en een e-mail met persoonsgegevens komt bij de verkeerde ontvanger terecht. Criminaliteit lijkt bij een inbreuk op de beveiliging van persoonsgegevens dus grotendeels te ontbreken (overigens met uitzondering van de traditionele diefstal van laptop of smartphone met - opnieuw - onversleutelde persoonsgegevens). Buitengemeen opmerkelijk, mede omdat de geruchtmakende datalekzaken in de VS juist wel het gevolg van hacking zijn.

Wie iedere poging tot computercriminaliteit als opzettelijk digitaal incident beschouwt, komt op basis van alle met Internet verbonden systemen en apparatuur uit op een andere verhouding. Ontelbare moedwillige incidenten vinden continu plaats, de niet-opzettelijke in veelvoud overschrijdend. Hacking, malware-besmetting, DDoS-aanval en meer zijn immers aan de orde van de seconde.

Een belangrijk complicerend deelprobleem betreft het vrijwel zeker structurele tekort aan IT-professionals in ons land. De eerste signalen in deze arbeidsmarkt dateren van ruim tien jaar terug. De schaarste aan programmeurs en softwaretesters van toen is vandaag niet opgelost. Sterker nog, we moeten daar het tekort aan deskundigen in het belangrijke vakgebied netwerk- en informatiebeveiliging bij optellen. Ons hoger onderwijs levert te weinig IT-professionals af.

Deze constatering wringt niet alleen met de plannen van de regering, die graag meer goed-opgeleid ICT-(beveiligings)personeel wil werven, maar raakt Nederland in de volle breedte. Dat tekort plaatsen we ook nog in een ander licht. Wet- en regelgeving, zowel uit Nederland als Europa, schrijft steeds vaker netwerk- en informatiebeveiliging als plicht voor. Hoe kan bedrijf of overheidsorganisatie de wet nakomen als het gebrek aan gespecialiseerde mankracht een blijvend probleem vormt?

Mr. V.A. de Pous is sinds 1983 strategisch-juridisch adviseur voor digitale technologie, gegevensverwerking en de informatiemaatschappij (www.newsware.nl).