Veilige markt

Herbert Blankesteijn

 

Twee weken geleden is in de VS een 'Nationale strategie voor de beveiliging van cyberspace' gepresenteerd. Het is bekend hoe belangrijk de Amerikaanse regering de veiligheid op digitale netwerken vindt, zeker in het licht van de brandende torens van het WTC.

 

Wat die strategie inhoudt? Niets doen. Althans, wat de Amerikaanse regering volgens het rapport moet doen is: anderen oproepen iets te doen. Programmeurs worden aangemoedigd degelijker, veiliger software te schrijven. Bedrijven zouden een veiligheidsbeleid moeten formuleren en regelmatig controles laten uitvoeren door derden. Thuisgebruikers zullen door advertenties worden gestimuleerd meer te leren over de gevaren in cyberspace, en virusscanners en firewalls te installeren.

 

'We willen dit doen door de krachten van de markt,' zei commissievoorzitter Richard Clarke bij de presentatie van zijn werkstuk. Een pijnlijke opmerking. Mede door de krachten van de markt is op internet de veiligheid ver te zoeken. Programmeurs hebben quick and dirty werk geleverd, omdat hun managers ze achter de vodden zaten om een nieuwe versie sneller te kunnen uitbrengen dan de concurrent. Thuisgebruikers en bedrijven hebben hun computers en netwerken slecht beveiligd, omdat het teveel tijd kostte om daarover kennis te vergaren en teveel geld om de benodigde software te kopen.

 

Tot dusver heeft de vrije markt (anders gezegd: eigenbelang) alleen bedrijven tot veiliger gedrag gebracht. Bij makers van software is veiligheid inmiddels wel een verkoopargument, maar wie met half werk kan wegkomen, doet dat. Voorbeeld: de firewall in Windows XP houdt alleen inkomend verkeer in de gaten, en niet de mogelijk verdachte uitgaande bezigheden van programma's op de eigen pc.

 

'De regering kan niet dicteren,' stelde Clarke. Ik dacht dat de regering van de VS dat prima kon. Die kan exportbeperkingen opleggen aan cryptografische technieken, het kraken van kopieerbeveiligingen bij wet verbieden, en ze kan ook heel slagvaardig pal na 11 september de FBI extra ruime bevoegdheden geven om burgers digitaal af te luisteren. Verder blijkt het in de VS mogelijk op straat een maximumsnelheid in te stellen, en ook is kort geleden voor topmensen van bedrijven de verplichting ingesteld onder ede te verklaren dat hun boekhouding in orde is.

 

Waarom zou het dan niet mogelijk zijn veiligheidseisen te stellen aan software, zoals er ook milieu- en veiligheidseisen worden gesteld aan fysieke producten? Waarom zou je bedrijven en thuisgebruikers niet kunnen dwingen beveiligingssoftware te installeren, of ze te straffen als ze dat kennelijk hebben nagelaten? Ze vormen een gevaar voor anderen.

 

In een eerdere versie stond dat internetaanbieders hun klanten zouden moeten voorzien van zulke software. Dat is niet voldoende (wie zegt dat de klanten dat spul installeren?) maar het is iets. Het lijkt erop dat de betrokken bedrijven dit punt hebben kunnen weglobbyen. Dat is nog eens marktwerking!

 

Het rapport is nog niet definitief; het staat online op www.securecyberspace.gov. Daar kan tot 18 november ook commentaar worden gegeven. Doe dat. Daarna gaat het naar de president.