GroenLinks heeft de overheid opgeroepen om geen technologie van het Chinese bedrijf Huawei toe te laten bij het invoeren van van 5G-netwerken wegens het risico op spionage. Eerder besloot de minister van Justitie en Veiligheid om dezelfde reden niet langer antivirus-software van de Russische leverancier Kaspersky te gebruiken. Ook andere landen vinden het niet langer verantwoord om bepaalde hard- of software te gebruiken omdat ze een veiligheidsrisico zouden inhouden.
De zorgen zijn terecht, maar de voorgestelde oplossing illustreert een simplistische manier van denken over digitale spionage. Nog voordat er harde feiten over de kwestie boven water zijn, lijkt de politiek al de conclusie te trekken dat de veiligheid van onze netwerken niet langer aan de providers kan worden overgelaten. Los van het dédain voor hun expertise, brengt hen dat in een zeer lastige positie. Moeten zij hun plannen voor 5G nu in de ijskast zetten? En per direct tientallen miljoenen euro’s afschrijven op investeringen in zo’n merk? Welke apparatuur is er als alternatief? En zijn we dan wel beschermd tegen spionage?
Alle landen spioneren
Dat landen als China en Rusland spioneren is zeker. Maar dat doen alle landen die de technische mogelijkheden daartoe hebben. Onze eigen inlichtingendiensten hebben onlangs met de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv) de bevoegdheid gekregen om digitaal te spioneren. En, zoals ook de Chinese en Russische overheid doen, bedrijven opgedragen om mee te werken aan dat afluisteren. Een ding is zeker: zodra zulke bevoegdheden er zijn worden ze gebruikt, in de hele wereld.
Ook technisch is er weinig verschil tussen kwaadwillende hackers en inlichtingendiensten. Ze kunnen afluisteren als het ze lukt om afluisterapparatuur in een netwerk te plaatsen. Of door gebruik te maken van een onbekend lek in hard- of software, of via een bekend lek dat nog niet is gedicht. Of nu een leverancier van soft- of hardware een lek over het hoofd heeft gezien, of dat zo’n lek bewust door een hacker, een spion of een bedrijf – al dan niet in opdracht van hun overheid – is ingebouwd, het netto effect is hetzelfde: lek is lek, en data kunnen zo in verkeerde handen terecht komen.
Gelukkig zijn de beheerders van de digitale infrastructuur verre van naïef. Zij kennen de risico’s ook en spannen zich tot het uiterste in om hun datacenters en netwerken veilig te houden.
Symboolbeleid
Terechte zorgen over spionage moeten zich dan ook niet vertalen naar symboolbeleid, zoals het advies om een bepaald merk of type apparatuur te vermijden. Zonder basis in harde feiten suggereert dat eerder technologische xenofobie – het preventief verbieden van producten omdat ze uit een bepaald buitenland komen – dan verstandig omgaan met de risico’s en het beschermen van netwerken en data.
Zulke adviezen kunnen zich bovendien ook tegen onze eigen bedrijven keren. Buitenlandse afnemers kunnen, als bekend zou worden hoe en waar de AIVD afluistert en spioneert, net zo goed beweren dat het onverstandig is om je data in Nederlandse datacenters te plaatsen.
Bedrijven hebben geen behoefte aan onwerkbare adviezen, maar aan concrete hulp. Hier ligt een essentiële taak voor de overheid. In de eerste plaats gaat het om het boven water krijgen van harde feiten, of, zeg ik met enig cynisme, het tegengaan van nepnieuws. Het is daarom verstandig dat de Tweede Kamer de minister heeft gevraagd de geruchten tot op de bodem uit te zoeken. Verder kan de overheid helpen om nog betere tegenmaatregelen te treffen voor bescherming. Investeren in een testlab om hardware en software op de pijnbank te leggen, en investeringen stimuleren voor nog betere detectie van ‘afwijkend netwerkverkeer’. Dat is goed voor alle apparatuur en software in onze netwerken, ongeacht wie deze heeft gemaakt en ongeacht wie het op de data heeft gemunt.
Lekken heb je altijd
We moeten onder ogen zien dat alle hard- en software potentieel lekken kan hebben, bewust of onbewust ingebouwd. Daarom moeten we kunnen rekenen op een overheid die helpt om die risico’s te verminderen. Die geen onbewezen geruchten de wereld instuurt zonder dat er een helder handelingsperspectief is voor bedrijven, en die geen schijnveiligheid propageert door te suggereren dat het ene merk 100 procent veilig is, en het andere niet.
Een overheid die zich keihard inzet om feiten boven water te krijgen en de potentiële gevolgen van kwetsbare apparatuur en software te verminderen. Dat geeft duidelijkheid, en draagt bij aan vertrouwen in onze digitale economie. Dat is essentieel voor innovatie en onze eigen digitale concurrentiepositie.
Dit opinieartikel verscheen op 18 februari 2019 bij NRC