Het veiligheidsbeleid in Nederland moet op de schop. Het is niet toekomstbestendig. De grondwet moet er zelfs voor worden aangepast. Dat schrijft de Wetenschappelijke Raad voor de Regering (WRR) in een zeer lijvig rapport vol lulkoek, getiteld Onzekere Veiligheid, dat op 1 oktober uit kwam. Het rapport is een antwoord op een kabinetsverzoek uit 2004 voor herijking en deregulering in de veiligheid en gaat in de eerste plaats om fysieke veiligheid. Hoewel er op dat terrein in ons land zeer weinig misgaat, is het volgens de WRR toch zaak dat alles ingrijpend verandert. Er moet worden gedereguleerd en de verantwoordelijkheden van burgers en bedrijven moeten worden versterkt.

Volgens de WRR beperkt verantwoordelijkheid zich niet langer tot de voorzienbare schadelijke gevolgen van handelingen, maar is de kwetsbaarheid van de omgeving het belangrijkste. Dus als je iets maakt dat in bepaalde gevallen veel mensen in gevaar kan brengen, moet je daar voorzieningen voor treffen. De 'blikrichting' moet worden gedraaid, weg van het traditionele risicomanagement. Daaruit vloeit de noodzaak voort om potentiële risico's te identificeren en actief op zoek te gaan naar onzekerheid, en zonodig maatregelen te nemen ook als nog onzekerheden blijven bestaan, stelt de WRR. Dit noemt de raad het voorzorgsbeginsel. Zij benadrukt keer op keer dat dit voorzorgsbeginsel geen negatieve invloed mag hebben op de innovatie, maar legt niet uit hoe dat dan zou gaan.

ICT en veiligheid is via het onderzoek van media- en cultuurdeskundige Dr. Hoefnagel expliciet onderdeel van het WRR-advies. Hij noemt voorbeelden als falende ICT-projecten met ondermaats management, ongeschoolde technici, chantage door cybercriminelen, te weinig patchen in verband met virusgevaar, een gebrek aan best practices en de kwetsbaarheid van de glasvezelkabel. Maatregelen voor bovenstaande problemen en generieke oplossingen als verplichte scholingseisen voor ICT-ers, TTP's en PKI en biometrie zullen dan ook grondwettelijk vastgelegd moeten worden, is de boodschap van de WRR. Als MCSE-er stiekem even een routertje configureren is er dan niet meer bij. En als de ICT in Nederland alleen bevolkt mag worden door geldig gecertficeerden, hebben we voorlopig een héleboel vacatures erbij. Ik vrees dat we hier te maken hebben met een wetenschappelijk expert die op ICT-gebied het niveau van de gemiddelde PC Consument-lezer niet haalt.

De WRR benadrukt in navolging van Hoefnagel de noodzaak van 'Internet Governance' zoals bepaald in de verklaring van Tunis, waarin vertegenwoordigers van alle belanghebbenden hun achterban zullen vertegenwoordigen in het waarnemen van hun eigen verantwoordelijkheid.

Wat betekent dat nu eigenlijk? Die ‘vertegenwoordiger’ bijvoorbeeld: waar en wanneer kan ik stemmen op mijn vertegenwoordiger? Precies, niet dus. De vertegenwoordiger zal dus wel aangewezen worden. Ik vermoed dat het gewoon onze minister van Binnenlandse Zaken zal worden, die immers ook ICT in de portefeuille heeft. Nu trekken alle Nederlandse burgers zich altijd al veel aan van mevrouw ter Horst, maar of dat zich ook uitstrekt in het soort software dat ze draaien en of ze al dan niet de updates van Flash draaien, durf ik (voorzichtig) te betwijfelen. Maar in de toekomst volgens de WRR zal onze minister (of een andere vertegenwoordiger) de ‘achterban’ op moeten dragen hoe met Internet, de computer en de mobiele telefoon om te gaan. En dat afdwingen.

Veiligheidsbeleid is volgens de WRR in hoge mate het domein van experts. Tegengeluiden van buiten de wetenschap kunnen volgens de hoogleraren echter 'niet worden gemist'. Niet-experts zijn in deze gedachtegang alle 'niet-wetenschappers', de echte experts zijn mensen met een universitaire aanstelling, zoals Hoefnagel. Zij dienen volgens de WRR bovendien veel meer budget, aanzien en gehoor te krijgen. In Den Haag zit dat wel snor – het merendeel van de WRR leden is CDA-er, maar daarbuiten wil het niet zo lukken met dat aanzien. Daar zal deze aanmatigende redenering ook niet bij helpen.

Het bontst maken ‘de experts’ van de WRR het in het advies om vergunningen voor risicovolle technologieën in te voeren en deze te koppelen aan de eis om via verzekeringen of de kapitaalmarkt substantiële dekking te verschaffen voor schade die mogelijk later aan het licht komt. Dit betekent dat als je een mogelijk riskante technologie ontwikkelt, je naar een verzekeraar of bank moet stappen voor financiële dekking van niet te voorziene gevolgen. Dit is, zeker voor een kleine onderneming, ten ene male onmogelijk. Denk niet dat dit niet voor de ICT opgaat; als je software bouwt die per ongelijk de DNS root servers onderuit zou kunnen schoffelen, moet je je financieel indekken tegen de indirecte kosten daarvan. Zoals een schadevergoeding aan patiënten van een ziekenhuis dat voor het EPD afhankelijk is van publieke DNS adressen. Wat de gevolgen zijn voor innovatie in de ICT en Open Source in het bijzonder, laat zich raden.

Volgens de WRR dient de politiek bepaalde technologie vergunningsplichtig te verklaren, indien deze mogelijk onkenbare risico's met zich meebrengt. Je zult dus voor iedere mogelijk 'riskante' technologie vooraf de juiste formulieren bij het juiste loket moeten inleveren, om te horen of je daadwerkelijk vergunningsplichtig bent. En dan maar afwachten of achter dat loket de procedure tijdig afgehandeld wordt en of je daarna nog een market window overhoudt. In deze procdure zou het onderzoek WRR uitgevoerd worden door wetenschappers, die hiermee een interessante nieuwe markt aanboren. En als je daadwerkelijk vergunningsplichtig zou zijn, wat moet je allemaal overleggen en voor welke bedragen moet je je indekken? De tussenpersoon ziet je al aankomen voor een verzekeringspolis tegen onbekende risico’s voor een ongelimiteerd bedrag.

Hoe gaan deze extra verplichtingen nu leiden tot het verminderen van de regeldruk? Welnu, daar heeft de WRR een prachtig antwoord op: "dat regelgeving in de vorm van 'open normen' zal kunnen plaatsvinden" zodat "Het bedrijfsleven ruimere verantwoordelijkheden toegewezen krijgt, maar dat het met minder gedetailleerde regels wordt geconfronteerd".

De gedachte hierachter is kennelijk dat minder gedetailleerde regels gelijk staat aan minder regels. Zoals wij weten uit compliancy is niets minder waar. Als je niet precies weet aan welke regels je moet voldoen, zul je - gegeven de sancties - een 'veilige' interpretatie kiezen waarbij je je aan alle regeltjes houdt die ergens als 'best practice' genoemd zijn. Open normen zijn dan ook vergelijkbaar met zelfcensuur, die zoals bekend strenger is dan formele censuur. Dit goedgedocumenteerde fenomeen, dat gemeengoed is onder “niet-specialisten”, is de wetenschappers blijkbaar ontgaan.

Laat ik er maar over ophouden. De WRR heeft zich met dit voorstel tot deregulering met stip op de eerste plaats gezet in de lange rij overbodige adviescommissies van de rijksoverheid. Daarvan zijn er meer dan 300. De kans dat er echt iets gebeurt met het rapport Onzekere Veiligheid, is statistisch dan ook erg klein. Het enige nut dat ik aan deze professorenclub kan ontdekken is dat ze de afgelopen vier jaar geen tijd hadden om hun slechte invloed op studenten uit te oefenen.

Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter

• Exit - en dan?
  
• Rijkspas: Het blijft tobben met die chipkaarten
  
• Zet RBAC bij het grof vuil
  
• De nachtmerrie van security managers
  
• Outsourcing: Horen, Zien, Zwijgen?
  
• Certificeringen: Bewijzen van onvermogen
  
• Leuke speledingetjes
  
• Security volgens WC-Eend
  
• Een triviaal bureautje in de periferie
  
• Koud onderzoek
  
• Wie Zwijgt Stemt Toe
  
• Een Lesje in Beveiliging
  
• Voortschrijdend Inzicht Mag Niet
  
• De Chinezen Komen Niet - Ze Zijn Er Al!
  
• Het anti-terrorismehoesje
  
• Niemand is de Baas
  
• Zin en Onzin
  
• This is Me
  
• Wat niet meet, wat niet deert
  
• De Chinezen komen, of niet natuurlijk (deel 2)
  
• Afscheid van het netwerk
  
• De Chinezen komen! Of niet, natuurlijk.
  
• Een kwakkelend dossier
  
• "Nederland is goed voorbereid"
  
• Headhunter incident
  
• Ethiek en Security
  
• De kleren van de keizer zijn dood, leve de nieuwe kleren van de keizer
  
• Over Security Architectuur
  
• Best Practices bestaan niet
  
• Unified Threat Management: dure mensen, goeie spullen?
  
• Security maturity
  
• Komt het nog wel goed
  
• Geen nieuws is goed nieuws
  
• Awareness best belangrijk
  
• Een papieren tijger in een zilveren lijstje
  
• Een goed idee is niet goed genoeg
  
• Uit de loopgraven
  
• Waarom beveiligingsbeleid faalt
  
• Groot slaat dood