Sjoemelsoftware tast digitaal vertrouwen verder aan

de pous

Er was eens een Amerikaanse bankmedewerker met kennis van automatisering die bedacht dat een beproefde modus operandi van weleer, ook geautomatiseerd kon plaatsvinden. Weliswaar op zich niet onrechtmatig (de kaasschaafmethode voor het beperken van bedrijfskosten), maar vaak wel. Criminologen hebben het dan over de 'salamitechniek'. Een in dit geval omstreden, nee, ronduit illegale werkwijze waarbij telkens een klein deel 'verdwijnt', ter grootte van het spreekwoordelijke flinterdunne plakje Italiaanse worst. Om het idee te bepalen: dat kan zelfs een cent of minder per financiële transactie zoals een overboeking zijn. Doorgaans kraait er geen haan naar - het verlies valt immers niet of nauwelijks op - en degene die zich van deze techniek bedient, wordt rijk, mits het om volume gaat.

Na deze vorm van elektronische vermogensmisdaad - een van de oudste in zijn soort - ontstaat er medio tachtiger jaren ontluikende aandacht voor computervirussen. De aanleiding hiervoor was gelegen in het stijgende gebruik van de gestandaardiseerde IBM PC en zijn klonen, die allemaal op IBM Dos of PC dos draaien. Zelfs voor Internet kwam computercriminaliteit dus in zwang. Enkele jaren na de opkomst van de eerste generatie malware verhaalde een medewerker van de toenmalige Centrale Recherche Informatiedienst over de volgende fraudecase. Een Amsterdams kappersbedrijf met verschillende zaken was fiscaal tegen de lamp gelopen. De kassasoftware was namelijk zo geprogrammeerd dat 20 of 25 procent van de aangeslagen omzet niet werd geregisterd in het grootboek. Aan het einde van de werkdag kwam de baas afromen. Een softwarehuis had op zijn verzoek de code aangepast.

Nu zorgt VW dankzij de inzet van 'sjoemelsoftware' (het woord van het jaar) voor krantenkoppen. Wat klokkenluider Edward Snowden deed ten aanzien van brede toegang van Amerikaanse veiligheidsdiensten tot communicatie en opslag van digitale data, doet 'Dieselgate' met betrekking tot misleidende computerprogramma's. Ineens wordt de wereld wakker geschud en het vertrouwen in de informatiemaatschappij krijgt opnieuw een forse knauw. Niet alleen Duitse auto's maar bijvoorbeeld ook Japanse koelkasten bedienden zich van softwarecode om keuringsinstituut en klant en samenleving te misleiden. De crux betreft echter in alle zaken telkens hetzelfde: verborgen en tenminste voor gebruikers ongewenste softwarefunctionaliteit. 

We zoomen uit. Producent en leverancier behoren betrouwbaar te zijn; ook voor wat betreft de werking van ICT. Of wellicht moeten we zeggen: juist ten aanzien van deze techniek als blackbox in allerhande producten en diensten opgenomen. Geen verborgen functionaliteiten; in welke modaliteit dan ook. Uiteindelijk vervult de ICT-er een cruciale rol. Ontwikkelaars bouwen, al dan niet in opdracht van derde of werkgever, malafide programmatuur. Rogue developers. Mede op grond hiervan - maar bijvoorbeeld ook ten aanzien van de mislukte overheidsprojecten - vragen wij ons af waarom de ICT-sector geen regeling voor klokkenluiders kent.

Iemand die ransomware ontwikkelt of exploiteert, wordt meteen als heuse boef weggezet. Maar hoe kijken we tegen ontwikkelaars aan die bij gerespecteerde bedrijven, wereldmarktleiders zelfs zoals Volkswagen AG, in dienst zijn en hun talent misbruiken voor de bouw van softwarecode met verborgen functionaliteit? Zouden deze ICT-ers zelfgenoegzaam meewerken aan malafide handelspraktijken die het management bedenkt? Hoog tijd om de ethische lat hoog te leggen en ook om een klokkenluidersregeling te maken. Plaats vertrouwen in de informatiemaatschappij centraal. 

Wettelijke borging is hierbij van groot belang. Ten aanzien van financiële software zijn er al juridische vorderingen te melden. Zo gaat de fiscus niet zonder detailgegevens akkoord met boekhouding, die gebaseerd is op een elektronisch kassasysteem. Op 26 juni 2015 benadrukte ons hoogste rechtscollege namelijk dat ook de detailgegevens van een geautomatiseerd kassasysteem in beginsel onder de fiscale bewaarplicht vallen. Alleen met behulp van deze gegevens kan de volledigheid van de verantwoording van de omzet worden geverifieerd en ze kunnen ook van belang zijn voor de belastingheffing.

Het juridische net wordt heus aangetrokken. En terecht.