Veilige
markt
Herbert
Blankesteijn
Kort
geleden is in de VS een 'Nationale strategie voor de beveiliging van
cyberspace' gepresenteerd. Een ontwerpstrategie, bedacht door een commissie die
het Witte Huis heeft ingesteld. Het is bekend hoe belangrijk de Amerikaanse
regering de veiligheid op digitale netwerken vindt, zeker in het licht van de
brandende torens van het World Trade Center. En ook zonder dat is er op het
gebied van cyberveiligheid genoeg aan de hand wat maatregelen rechtvaardigt.
Virussen, aanvallen op websites, creditcardfraude, noem maar op. Naar de
strategische plannen van de regering werd dus reikhalzend uitgekeken.
Wat
die ontwerpstrategie inhoudt? Niets doen. Niets doen is immers ook iets doen,
dat is namelijk: iets laten. Wat de Amerikaanse regering volgens het rapport
moet doen is niet: bedrijven verplichten hun netwerken te beveiligen of
consumenten dwingen virusscanners te installeren. Of programmeurs minimale
eisen voorschrijven op het gebied van behoorlijk programmeren.
De
regering van de VS wil anderen oproepen iets te doen. Programmeurs
worden aangemoedigd degelijker, veiliger software te schrijven.
Bedrijven zouden een veiligheidsbeleid moeten formuleren en regelmatig
controles laten uitvoeren door derden. Thuisgebruikers zullen door advertenties
worden gestimuleerd meer te leren over de gevaren in cyberspace, en
virusscanners en firewalls te installeren. Er komt ook een website, die is er
zelfs al, met veiligheidsinformatie, te vergelijken met het Nederlandse
Surfopsafe.nl. Maar daar kom je natuurlijk alleen als je veiligheid al
belangrijk vindt.
'We
willen dit doen door de krachten van de markt,' zei commissievoorzitter Richard
Clarke bij de presentatie van zijn werkstuk. Een pijnlijke opmerking. Mede door
de krachten van de markt is nu op internet de veiligheid ver te zoeken.
Programmeurs hebben quick and dirty werk geleverd, omdat hun managers ze
achter de vodden zaten, om een nieuwe versie sneller te kunnen uitbrengen dan
de concurrent. Thuisgebruikers en bedrijven hebben hun computers en netwerken slecht
beveiligd, omdat het teveel tijd kostte om daarover kennis te vergaren en
teveel geld om de benodigde software te kopen. Dat zijn de krachten van de
markt, die de wereld hebben gebracht waar die nu is, tot een soort digitale
achterbuurt.
Welbegrepen
eigenbelang heeft de laatste jaren alleen bedrijven tot veiliger gedrag
gebracht. Netwerken worden dichtgetimmerd, virusscanners geupdate, en
medewerkers worden kort gehouden bij het internetten en bij het knoeien aan hun
eigen pc's. Terecht. Bij makers van software is veiligheid inmiddels wel een
verkoopargument, maar wie met half werk kan wegkomen, doet dat. Voorbeeld: de
firewall in Windows XP houdt alleen inkomend verkeer in de gaten, en niet de
mogelijk verdachte uitgaande bezigheden van programma's op de eigen pc. De
gebruiker wordt hierover door MS niet geïnformeerd.
Huiskamervraag
1: Wat zal de vrije markt op de lange termijn brengen? Veilig of onveilig
internetten?
'De
regering kan niet dicteren,' stelde Clarke. Ik dacht dat de regering van de VS
dat prima kon. Die kan het kraken van kopieerbeveiligingen bij wet verbieden,
en ze kan na 11 september de FBI extra ruime bevoegdheden geven om burgers
digitaal af te luisteren. Wat kunnen ze in het VS nog meer dicteren: op straat
aan het verkeer een maximumsnelheid opleggen. Het zijn maar voorbeelden.
Waarom
zou het dan niet mogelijk zijn veiligheidseisen te stellen aan software, zoals
er ook milieu- en veiligheidseisen worden gesteld aan fysieke producten? Daar
zijn ze in de VS ook goed in. Waarom zou je bedrijven en thuisgebruikers niet
kunnen dwingen beveiligingssoftware te installeren, of ze te straffen als ze
dat kennelijk hebben nagelaten? Ze vormen een gevaar voor anderen.
Huiskamervraag
2: Wie is er voor gedwongen veiligheid? Kun je het installeren en updaten van
beveiligingssoftware afdwingen? Zijn hackers toch altijd slimmer?
In
een eerdere versie van het rapport-Clarke stond dat internetaanbieders hun
klanten zouden moeten voorzien van zulke software. Dat is niet voldoende (want
wie zegt dat de klanten dat spul installeren?) maar het is iets. Het lijkt erop
dat de betrokken bedrijven dit punt hebben kunnen weglobbyen. Het zou immers
geld kosten. Dat is nog eens marktwerking!
Het
rapport is nog niet definitief; het staat online op www.securecyberspace.gov.
Daar kan tot 18 november ook commentaar worden gegeven. Doe dat. Daarna gaat
het naar de president.
Deze
column verschijnt ook in het weekblad Intermediair.