DIT DEBAT IS GEANNULEERD

Nationaal Cybersecurity Debat: Waarom ontwikkelt de industrie geen veilige software?

Na blockchain (14 mei 2019) en kunstmatige intelligentie (8 oktober 2020) werken het netwerk First Life en de Koninklijke Nederlandse Vereniging van Informatie- en ICT- professionals KNVI opnieuw samen. Het eerstvolgende nationale debat gaat over een groot maatschappelijk probleem dat wereldwijd speelt: gebrekkige software, waardoor informatie- en telecommunicatiesystemen kunnen falen en gebruikers slachtoffer kunnen worden van digitale criminaliteit. Om met de Amerikaanse juriste Jane Chong te spreken: “Cybersecurity is a very big set of problems, and bad software is a big part of the mess.”

Centrale vraag

Waarom produceren softwarebedrijven geen veilige computerprogramma’s? Daar begint immers de reeks van te nemen beveiligingsmaatregelen mee om mens en organisatie digitaal weerbaar(der) te maken. Deze vraag staat centraal in het Nationaal Cybersecurity Debat op dinsdag 12 mei 2020 in het Auditorium van het FD (Café restaurant Dauphine) in Amsterdam. Inloop 15:00 uur, debat 15:30-17:00 uur en vervolgens netwerkborrel van 17:00-19:00 uur. Geen kosten voor deelname, maar registratie is verplicht.

Security patching als oplossing

Nog altijd vindt de industrie de oplossing voor ‘digitale kwetsbaarheden’ in patching: het veranderen van slechte softwarecode, bijvoorbeeld door het maken en ter beschikking stellen van een stukje software ter vervanging. Maar wat heeft deze werkwijze voor zin als je een computerprogramma qua veiligheid kunt vergelijken een “flatgebouw waar alle ramen openstaan”, zoals mede-oprichter Ronald Prins van Fox-IT dit stelt? Waarom neemt de digitale sector zijn verantwoordelijk niet?

Onveilige computerprogramma’s

Eind 2012 legde Nederland ICT (thans NLdigital) de oorzaak van het gebruik van “onveilige software” — vooral — bij de klant. Er kan best veilig worden ontwikkeld, maar als afnemers hiervoor niet kiezen, gebeurt er niets, aldus de brancheorganisatie. Een opmerkelijke visie. In november 2017 publiceerde ECP Platform voor de Informatiemaatschappij een twintig-bouwstenen-actieplan. Nummer 16 luidt: “Veiligheid in de keten van leveranciers wordt gerealiseerd door een ‘roadmap’ voor secure software. Kwetsbaarheden in software worden opgelost door zelfregulering en samenwerking tussen gebruikers en leveranciers.”

Regering komt met nieuwe aansprakelijkheidswetgeving

Daar denkt het kabinet Rutte III echter anders over. Geen zelfregulering, maar wetgeving, zo blijkt uit het Regeerakkoord van 10 oktober 2017. Het kabinet wil bedrijven stimuleren om veiliger software te maken via een nieuwe, bijzondere vorm van juridische aansprakelijkheid. Nota bene: de maatregel beperkt zich dus tot veiligheidsaspecten van computerprogramma’s (en richt zich niet tot gebreken in informatietechniek algemeen).

En: aansprakelijkheid voor digitaal verzuim?

Ondertussen wil minister Grapperhaus (Justitie en Veiligheid) kunnen ingrijpen bij cybersecurity-incidenten die zich in de markt voordoen. Samenwerking met bedrijven om het veiligheidsprobleem op te lossen of zelfs een bedrijf tijdelijk helemaal kunnen overnemen, verkiest hij overigens boven het opleggen van boetes. Belangrijk is de vraag wie onze minister eventueel wil beboeten. De producent c.q. leverancier van onveilige softwarecode en/of de gebruikersorganisatie (de klant) die verzuimt een security software patch onmiddellijk na levering te implementeren? De minister lijkt — uitsluitend — voor de tweede categorie ‘verzuimers’ te kiezen. Daar ligt niet de primaire oorzaak van een digitale ‘kwetsbaarheid’, beseffen nu ook Citrix-gebruikers in Nederland.

Kwetsbaarheid digitale samenleving

Over één zaak zijn wij het met de minister (en het Nationaal Cybersecurity Centrum) eens. Een zo te benoemen “digitaal verzuim” kan verstrekkende bedrijfseconomische en maatschappelijke gevolgen hebben. Dat weten inmiddels kredietbeoordelaar Equifax en een groot deel van de Amerikaanse samenleving als geen ander. Beknopt gezegd, zegge en schrijve één systeembeheerder verzuimde in 2017 tijdig zegge en schrijve één patch te installeren, die al twee maanden beschikbaar was. De omissie maakte een omvangrijk datalek mogelijk: persoonsgegevens in de vorm van sociaal-zekerheidsnummer en financiële informatie van 147 miljoen Amerikanen werden gelekt (naar onlangs werd gesteld door de Amerikaanse minister van Justitie William Barr: via een inbraak uitgevoerd door vier Chinese militairen). Zo kwetsbaar is de digitale maatschappij geworden.

Waarom wacht het kabinet dan met de aansprakelijkheidswet voor de levering van onveilige softwarecode?