Veilige markt

Herbert Blankesteijn

 

Twee weken geleden is in de VS een 'Nationale strategie voor de beveiliging van cyberspace' gepresenteerd. Een ontwerpstrategie, bedacht door een commissie die het Witte Huis heeft ingesteld. Het is bekend hoe belangrijk de Amerikaanse regering de veiligheid op digitale netwerken vindt, zeker in het licht van de brandende torens van het World Trade Center. En ook zonder dat is er op het gebied van cyberveiligheid genoeg aan de hand wat maatregelen rechtvaardigt. Virussen, aanvallen op websites, creditcardfraude, noem maar op. Naar de strategische plannen van de regering werd dus reikhalzend uitgekeken.

 

Wat die ontwerpstrategie inhoudt? Niets doen. Niets doen is immers ook iets doen, dat is namelijk: iets laten. Wat de Amerikaanse regering volgens het rapport moet doen is niet: bedrijven verplichten hun netwerken te beveiligen of consumenten dwingen virusscanners te installeren. Of programmeurs minimale eisen voorschrijven op het gebied van behoorlijk programmeren.

 

De regering van de VS wil anderen oproepen iets te doen. Programmeurs worden aangemoedigd degelijker, veiliger software te schrijven. Bedrijven zouden een veiligheidsbeleid moeten formuleren en regelmatig controles laten uitvoeren door derden. Thuisgebruikers zullen door advertenties worden gestimuleerd meer te leren over de gevaren in cyberspace, en virusscanners en firewalls te installeren. Er komt ook een website, die is er zelfs al, met veiligheidsinformatie, te vergelijken met het Nederlandse Surfopsafe.nl. Maar daar kom je natuurlijk alleen als je veiligheid al belangrijk vindt.

 

'We willen dit doen door de krachten van de markt,' zei commissievoorzitter Richard Clarke bij de presentatie van zijn werkstuk. Een pijnlijke opmerking. Mede door de krachten van de markt is nu op internet de veiligheid ver te zoeken. Programmeurs hebben quick and dirty werk geleverd, omdat hun managers ze achter de vodden zaten, om een nieuwe versie sneller te kunnen uitbrengen dan de concurrent. Thuisgebruikers en bedrijven hebben hun computers en netwerken slecht beveiligd, omdat het teveel tijd kostte om daarover kennis te vergaren en teveel geld om de benodigde software te kopen. Dat zijn de krachten van de markt, die de wereld hebben gebracht waar die nu is, tot een soort digitale achterbuurt.

 

Welbegrepen eigenbelang heeft de laatste jaren alleen bedrijven tot veiliger gedrag gebracht. Netwerken worden dichtgetimmerd, virusscanners geupdate, en medewerkers worden kort gehouden bij het internetten en bij het knoeien aan hun eigen pc's. Terecht. Bij makers van software is veiligheid inmiddels wel een verkoopargument, maar wie met half werk kan wegkomen, doet dat. Voorbeeld: de firewall in Windows XP houdt alleen inkomend verkeer in de gaten, en niet de mogelijk verdachte uitgaande bezigheden van programma's op de eigen pc. De gebruiker wordt hierover door MS niet ge´nformeerd.

 

'De regering kan niet dicteren,' stelde Clarke. Ik dacht dat de regering van de VS dat prima kon. Die kan het kraken van kopieerbeveiligingen bij wet verbieden, en ze kan na 11 september de FBI extra ruime bevoegdheden geven om burgers digitaal af te luisteren. Wat kunnen ze in het VS nog meer dicteren: op straat aan het verkeer een maximumsnelheid opleggen. Het zijn maar voorbeelden.

 

Waarom zou het dan niet mogelijk zijn veiligheidseisen te stellen aan software, zoals er ook milieu- en veiligheidseisen worden gesteld aan fysieke producten? Daar zijn ze in de VS ook goed in. Waarom zou je bedrijven en thuisgebruikers niet kunnen dwingen beveiligingssoftware te installeren, of ze te straffen als ze dat kennelijk hebben nagelaten? Ze vormen een gevaar voor anderen.

 

In een eerdere versie van het rapport-Clarke stond dat internetaanbieders hun klanten zouden moeten voorzien van zulke software. Dat is niet voldoende (want wie zegt dat de klanten dat spul installeren?) maar het is iets. Het lijkt erop dat de betrokken bedrijven dit punt hebben kunnen weglobbyen. Het zou immers geld kosten. Dat is nog eens marktwerking!

 

Het rapport is nog niet definitief; het staat online op www.securecyberspace.gov. Daar kan tot 18 november ook commentaar worden gegeven. Doe dat. Daarna gaat het naar de president.