image

Column: Het wordt zeker onveiliger

maandag 27 oktober 2008, 16:28 door Peter Rietveld, 8 reacties

Het veiligheidsbeleid in Nederland moet op de schop. Het is niet toekomstbestendig. De grondwet moet er zelfs voor worden aangepast. Dat schrijft de Wetenschappelijke Raad voor de Regering (WRR) in een zeer lijvig rapport vol lulkoek, getiteld Onzekere Veiligheid, dat op 1 oktober uit kwam. Het rapport is een antwoord op een kabinetsverzoek uit 2004 voor herijking en deregulering in de veiligheid en gaat in de eerste plaats om fysieke veiligheid. Hoewel er op dat terrein in ons land zeer weinig misgaat, is het volgens de WRR toch zaak dat alles ingrijpend verandert. Er moet worden gedereguleerd en de verantwoordelijkheden van burgers en bedrijven moeten worden versterkt.

Volgens de WRR beperkt verantwoordelijkheid zich niet langer tot de voorzienbare schadelijke gevolgen van handelingen, maar is de kwetsbaarheid van de omgeving het belangrijkste. Dus als je iets maakt dat in bepaalde gevallen veel mensen in gevaar kan brengen, moet je daar voorzieningen voor treffen. De 'blikrichting' moet worden gedraaid, weg van het traditionele risicomanagement. Daaruit vloeit de noodzaak voort om potentiële risico's te identificeren en actief op zoek te gaan naar onzekerheid, en zonodig maatregelen te nemen ook als nog onzekerheden blijven bestaan, stelt de WRR. Dit noemt de raad het voorzorgsbeginsel. Zij benadrukt keer op keer dat dit voorzorgsbeginsel geen negatieve invloed mag hebben op de innovatie, maar legt niet uit hoe dat dan zou gaan.

ICT en veiligheid is via het onderzoek van media- en cultuurdeskundige Dr. Hoefnagel expliciet onderdeel van het WRR-advies. Hij noemt voorbeelden als falende ICT-projecten met ondermaats management, ongeschoolde technici, chantage door cybercriminelen, te weinig patchen in verband met virusgevaar, een gebrek aan best practices en de kwetsbaarheid van de glasvezelkabel. Maatregelen voor bovenstaande problemen en generieke oplossingen als verplichte scholingseisen voor ICT-ers, TTP's en PKI en biometrie zullen dan ook grondwettelijk vastgelegd moeten worden, is de boodschap van de WRR. Als MCSE-er stiekem even een routertje configureren is er dan niet meer bij. En als de ICT in Nederland alleen bevolkt mag worden door geldig gecertficeerden, hebben we voorlopig een héleboel vacatures erbij. Ik vrees dat we hier te maken hebben met een wetenschappelijk expert die op ICT-gebied het niveau van de gemiddelde PC Consument-lezer niet haalt.

De WRR benadrukt in navolging van Hoefnagel de noodzaak van 'Internet Governance' zoals bepaald in de verklaring van Tunis, waarin vertegenwoordigers van alle belanghebbenden hun achterban zullen vertegenwoordigen in het waarnemen van hun eigen verantwoordelijkheid.

Wat betekent dat nu eigenlijk? Die ‘vertegenwoordiger’ bijvoorbeeld: waar en wanneer kan ik stemmen op mijn vertegenwoordiger? Precies, niet dus. De vertegenwoordiger zal dus wel aangewezen worden. Ik vermoed dat het gewoon onze minister van Binnenlandse Zaken zal worden, die immers ook ICT in de portefeuille heeft. Nu trekken alle Nederlandse burgers zich altijd al veel aan van mevrouw ter Horst, maar of dat zich ook uitstrekt in het soort software dat ze draaien en of ze al dan niet de updates van Flash draaien, durf ik (voorzichtig) te betwijfelen. Maar in de toekomst volgens de WRR zal onze minister (of een andere vertegenwoordiger) de ‘achterban’ op moeten dragen hoe met Internet, de computer en de mobiele telefoon om te gaan. En dat afdwingen.

Veiligheidsbeleid is volgens de WRR in hoge mate het domein van experts. Tegengeluiden van buiten de wetenschap kunnen volgens de hoogleraren echter 'niet worden gemist'. Niet-experts zijn in deze gedachtegang alle 'niet-wetenschappers', de echte experts zijn mensen met een universitaire aanstelling, zoals Hoefnagel. Zij dienen volgens de WRR bovendien veel meer budget, aanzien en gehoor te krijgen. In Den Haag zit dat wel snor – het merendeel van de WRR leden is CDA-er, maar daarbuiten wil het niet zo lukken met dat aanzien. Daar zal deze aanmatigende redenering ook niet bij helpen.

Het bontst maken ‘de experts’ van de WRR het in het advies om vergunningen voor risicovolle technologieën in te voeren en deze te koppelen aan de eis om via verzekeringen of de kapitaalmarkt substantiële dekking te verschaffen voor schade die mogelijk later aan het licht komt. Dit betekent dat als je een mogelijk riskante technologie ontwikkelt, je naar een verzekeraar of bank moet stappen voor financiële dekking van niet te voorziene gevolgen. Dit is, zeker voor een kleine onderneming, ten ene male onmogelijk. Denk niet dat dit niet voor de ICT opgaat; als je software bouwt die per ongelijk de DNS root servers onderuit zou kunnen schoffelen, moet je je financieel indekken tegen de indirecte kosten daarvan. Zoals een schadevergoeding aan patiënten van een ziekenhuis dat voor het EPD afhankelijk is van publieke DNS adressen. Wat de gevolgen zijn voor innovatie in de ICT en Open Source in het bijzonder, laat zich raden.

Volgens de WRR dient de politiek bepaalde technologie vergunningsplichtig te verklaren, indien deze mogelijk onkenbare risico's met zich meebrengt. Je zult dus voor iedere mogelijk 'riskante' technologie vooraf de juiste formulieren bij het juiste loket moeten inleveren, om te horen of je daadwerkelijk vergunningsplichtig bent. En dan maar afwachten of achter dat loket de procedure tijdig afgehandeld wordt en of je daarna nog een market window overhoudt. In deze procdure zou het onderzoek WRR uitgevoerd worden door wetenschappers, die hiermee een interessante nieuwe markt aanboren. En als je daadwerkelijk vergunningsplichtig zou zijn, wat moet je allemaal overleggen en voor welke bedragen moet je je indekken? De tussenpersoon ziet je al aankomen voor een verzekeringspolis tegen onbekende risico’s voor een ongelimiteerd bedrag.

Hoe gaan deze extra verplichtingen nu leiden tot het verminderen van de regeldruk? Welnu, daar heeft de WRR een prachtig antwoord op: "dat regelgeving in de vorm van 'open normen' zal kunnen plaatsvinden" zodat "Het bedrijfsleven ruimere verantwoordelijkheden toegewezen krijgt, maar dat het met minder gedetailleerde regels wordt geconfronteerd".

De gedachte hierachter is kennelijk dat minder gedetailleerde regels gelijk staat aan minder regels. Zoals wij weten uit compliancy is niets minder waar. Als je niet precies weet aan welke regels je moet voldoen, zul je - gegeven de sancties - een 'veilige' interpretatie kiezen waarbij je je aan alle regeltjes houdt die ergens als 'best practice' genoemd zijn. Open normen zijn dan ook vergelijkbaar met zelfcensuur, die zoals bekend strenger is dan formele censuur. Dit goedgedocumenteerde fenomeen, dat gemeengoed is onder “niet-specialisten”, is de wetenschappers blijkbaar ontgaan.

Laat ik er maar over ophouden. De WRR heeft zich met dit voorstel tot deregulering met stip op de eerste plaats gezet in de lange rij overbodige adviescommissies van de rijksoverheid. Daarvan zijn er meer dan 300. De kans dat er echt iets gebeurt met het rapport Onzekere Veiligheid, is statistisch dan ook erg klein. Het enige nut dat ik aan deze professorenclub kan ontdekken is dat ze de afgelopen vier jaar geen tijd hadden om hun slechte invloed op studenten uit te oefenen.

Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -

Vorige columns van Peter

Reacties (8)
28-10-2008, 10:38 door Anoniem
"Volgens de WRR dient de politiek bepaalde technologie vergunningsplichtig te verklaren, indien deze mogelijk onkenbare risico's met zich meebrengt. Je zult dus voor iedere mogelijk 'riskante' technologie vooraf de juiste formulieren bij het juiste loket moeten inleveren, om te horen of je daadwerkelijk vergunningsplichtig bent."

Of deze uitvoering van het voorstel nu de juiste is, valt nog te bezien, maar er is al genoeg software op de markt dat aan bepaalde kwaliteitsstandaards moet voldoen (en dus in feite een vergunning dient te hebben). Denk bijv. aan software voor medische apparatuur. Niets nieuws onder de zon dus.

Proactieve risicoanalyse en het waarborgen van kwaliteit binnen de ICT-markt, maar ook daarbuiten, is niets mis mee. Omdat dit nu decentraal wordt geregeld - dus _niet_ wordt geregeld - is er niemand die men kan aanspreken in het geval dat er iets misgaat. Door ICT bij een minister of staatssecretaris neer te leggen, kan je een duidelijk beleid uitstippelen en eenheid binnen de markt creëren. Dit kan wel degelijk innovatie bevorderen als er goede afspraken worden gemaakt over protocollen en standaarden. Interopabiliteitsproblemen worden dan verleden tijd.

Het is altijd de vraag of je dat bij de overheid moet neerleggen, maar anderzijds lijkt de markt het ook niet te willen oplossen. Als ik bovenstaand stuk ook lees, zie ik vooral commentaar zonder alternatieven van iemand die duidelijk de boot heeft gemist als het gaat om een wetenschappelijke opleiding.
28-10-2008, 13:35 door Anoniem
Als ik bovenstaand stuk ook lees, zie ik vooral commentaar zonder alternatieven van iemand die duidelijk de boot heeft gemist als het gaat om een wetenschappelijke opleiding. Goed argument. Maar zijn linked in zegt:

Universiteit UtrechtDrs., Security Affairs, War History and International Law
1982 – 1989

Security Affairs, War History & Eastern European Studies at History Dept.
International Law at Law Dept.
Graduated "Met Genoegen" with Prof. P.M.E. Volten,
30-10-2008, 08:27 door [Account Verwijderd]
[Verwijderd]
30-10-2008, 12:21 door Anoniem
Door Anoniem
Als ik bovenstaand stuk ook lees, zie ik vooral commentaar zonder alternatieven
Dit is wel redelijk de definitie van peter Rietveld. Ik snap niet dat Traxion hem dit soort stukken laat schrijven zonder zich iets aan te trekken van de impact die dit soort stukken heeft op de naam Traxion.
30-10-2008, 12:21 door spatieman
nog effe en linux wordt verboten omdat veel hackers het gebruiken.
03-11-2008, 09:53 door Anoniem
Door Anoniem
Door Anoniem
Als ik bovenstaand stuk ook lees, zie ik vooral commentaar zonder alternatieven
Dit is wel redelijk de definitie van peter Rietveld. Ik snap niet dat Traxion hem dit soort stukken laat schrijven zonder zich iets aan te trekken van de impact die dit soort stukken heeft op de naam Traxion.
Daarom hebben ze hem waarschijnlijk ook aangenomen? Iemand die een visie uitdraagt en discussie uitlokt.
07-11-2008, 17:37 door [Account Verwijderd]
[Verwijderd]
10-11-2008, 10:46 door Anoniem
Door Anoniem
Door Anoniem
Door Anoniem
Als ik bovenstaand stuk ook lees, zie ik vooral commentaar zonder alternatieven
Dit is wel redelijk de definitie van peter Rietveld. Ik snap niet dat Traxion hem dit soort stukken laat schrijven zonder zich iets aan te trekken van de impact die dit soort stukken heeft op de naam Traxion.
Daarom hebben ze hem waarschijnlijk ook aangenomen? Iemand die een visie uitdraagt en discussie uitlokt.
Het ontbreken van visie is nou juist het hele probleem. Peter schopt tegen van alles en nog wat, komt niet met voorstellen hoe het beter zou kunnen en plaats zijn stukken niet in een groter (beveiligings)kader. En dan hebben we het nog niet over het gehalte van de discussies.....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.