Het internet der ondingen
Moderne informatie en communicatie-technologie (ICT) is een onlosmakelijk deel geworden van ons sociale en maatschappelijke leven. Door de vele fouten en zwakheden in deze technologie zijn we ons ook pijnlijk bewust geworden van nieuwe kwetsbaarheden. De geringe mate waarin de ICT-sector verantwoordelijkheid neemt wordt een acuut probleemiDn het internet der dingen, en vraagt om actie.
De afgelopen zomer bleek de Amerikaanse regering niet in staat eigen digitale gegevens te beschermen, na beschamende hacks in het Office of Personnel Management waar persoonlijke gegevens van miljoenen ambtenaren opgeslagen zijn, enDvan het speciale email systeem van de hoogste militaire leiders. In augustus 2015, vertoonde het actualiteitenprogramma Nieuwsuur twee opeenvolgende items (uitzending 10 aug. en uitzending 11 aug.)Dover recente digitale kwetsbaarheden in Nederland. Eerst ging het over draadloos internet thuis. Bij door miljoenen mensen gebruikte routers wordt het wachtwoord automatisch gegenereerd, door het internetkastje zelf, maar op een manier die simpel te achterhalen blijkt. De door de leverancier ingestelde bescherming faalt. In de Nieuwsuur uitzending vanD10 augustus zeg Bart Hoogendoorn, voorzitter van de branche vereniging van ICT-bedrijven, simpelweg tegen de eigenaars van kwetsbare routers: “dat is het moment dat je toch echt zelf je verantwoordelijkheid moet pakken”.
De Nieuwsuur uitzending van 11 augustus ging over zwakheden in chips in startonderbrekers, waardoor tientallen miljoenen auto’s wereldwijd zonder sleutel gestart kunnen worden. Vele autofabrikanten zijn te lang een oude chip blijven gebruiken en maken daarbovenop vaak configuratiefouten, hetgeen het beveiligingsniveau nog verder naar beneden haalt. In de Nieuwsuur uitzending zegt woordvoerder Bresser van de brachevereniging RAI van autofabrikanten: “daar zal de consument waarschijnlijk zelf wat aan moeten doen”, bijvoorbeeld door een stuurslot te kopen, jawel, op eigen rekening!
Verontrustend aan deze beide reacties is dat de branche geen verantwoordelijkheid meent te hoeven nemen voor het eigen falen en de consument laat zitten met de problemen. Als mijn watermeter thuis een probleem heeft dat te wijten is aan het waterbedrijf komt een monteur dit kostenloos verhelpen. Waarom werkt dit niet zo voor een internet router? Waarom behandelen we de internet infrastructuur inclusief diensten als zoeken en communicatie niet als nutsvoorziening, waar elementaire zorgplichten bij horen?
Auto’s moeten aan allerlei veiligheidseisen voldoen voordat ze toegelaten worden tot de Nederlandse wegen. Maar digitale beveiligingseisen zijn er (nog) niet. Amerikaanse Jeeps bleken relatief eenvoudig te hacken, waardoor de remmen op afstand in en uitgeschakeld konden worden. Deze auto’s werden teruggeroepen voor een software update. Waarom doen fabrikanten echter niks met de kwetsbare startonderbrekers?
De nieuwe droom van de ICT-sector is het ‘internet der dingen’, waardoor nog meer apparaten aan internet gehangen worden en gegevens versturen naar achterliggende databanken. Het standaardvoorbeeld is de ijskast die zelf levensmiddelen die opraken bijbestelt. Deze droom wordt snel een nachtmerrie als de ICT- sector verantwoordelijkheid blijft ontlopen: onze hele omgeving is straks volgebouwd met communicerende apparaatjes, waarvan een groot deel oude software en beveiligingfouten bevat die niet door de fabrikanten verholpen worden. Het is urgent nu een andere houding af te dwingen.
Wat niet werkt is de sector specifieke eisen opleggen voor ICT-apparatuur. Bij een auto kun je redelijk precies beschrijven waar die aan moet voldoen. Maar een computer is een open apparaat dat voor heel veel doeleinden gebruikt kan worden. Belangrijker is het dus om fabrikanten te dwingen tot zorgzaamheid ten opzichte van hun klanten. Van belang is om (1) vooraf fouten in software zoveel mogelijk te vermijden, en om (2) achteraf bij problemen zo snel mogelijk te herstellen en eventuele schade te vergoeden. Voor dat laatste moet de fabrikant (update) mechanismen hebben uitgewerkt, zeker voor producten die langere tijd mee gaan.
Consumenten, industrie en overheden hebben gezamenlijk (strategisch) belang bij uitgebreidere zorgplichten in de ICT.
Mocht de ICT-sector zich blijven gedragen alsof klantenzorg voor hen niet geldt, dan zijn mogelijke onorthodoxe maatregelen nodig. Te denken valt aan een wettelijke eis dat software die door de fabrikant niet meerwD ordt onderhouden automatisch open source wordt, zodat anderen het desnoods over kunnen nemen. Het is sowieso verstandig om het internet der dingen meer op open source software te bouwen, om afhankelijkheden te beperken.
ICT heeft de afgelopen jaren een slechte naam gekregen heeft, mede door het rapport Elias van de Tweede Kamer dat wees op de gevolgen van zwakke aansturing van ICT-projecten bij de overheid. De resulterende kostbare mislukkingen zijn natuurlijk niet alleen aan de sector te wijten, maar ook aan onszelf, omdat wij als samenleving en politiek de sector te vaak ongestraft er een potje van laten maken. Het ontbreekt aan zorgplicht, niet aan toezicht.
Zie ook de blog When tech gets its Nader moment.
30/09/15