64e FD Column: Industriestandaard zonder marktprikkels maakt internet der dingen niet veiliger

Deze column staat in Het Financieele Dagblad van 7 maart 2019. Volg deze link voor mijn eerdere FD columns.

In maart 2017 legde ransomware-aanval WannaCry 34% van de Britse zorginstellingen een week lang plat. 19.000 afspraken moesten worden verzet, de eerstehulpafdelingen van tientallen ziekenhuizen moesten worden geëvacueerd. In hetzelfde jaar hackten onderzoekers een FiatChrysler Jeep via de internetverbinding van het entertainmentsysteem. Zij konden het dashboard, gaspedaal en zelfs het stuur van ruim 1,7 miljoen auto’s van afstand te besturen.

Illustratie: Hein de Kort voor het FD

Het online ziekenhuis, de connected car en de web-based pacemaker; het klinkt allemaal prachtig, totdat wij ons realiseren dat het internet der dingen levensgevaarlijk is.

Overal ter wereld hebben politici in hoog tempo wetten aangenomen om minimum beveiligingseisen, zorgplichten en meldplichten op te leggen aan fabrikanten van internetdingen en organisaties die kritieke maatschappelijke functies vervullen. Die wetten zijn de afgelopen maanden van kracht geworden. Maar de normen in die wetgeving zijn open en abstract gelaten. De techniek ontwikkelt zich razendsnel en politici wagen zich meestal niet aan de details van cybersecurity.

Financiële prikkel

Die details, die uiteraard de doorslag geven, krijgen vaak pas gestalte in de industriestandaarden. Vaak sterven mooie ambities zo een stille dood. Toch is er recent een veelbelovende industriestandaard aangenomen die het internet der dingen in potentie veel veiliger kan maken, en letterlijk levens kan redden. Het succes van zulke zelfregulering wordt maar door een factor bepaald: geld. Pas als organisaties een financiële prikkel voelen om de standaard te volgen, zal ons digitale leven daadwerkelijk veiliger worden.

De gevaren en gevolgen van een onveilig internet der dingen zijn niet abstract en geen kwestie van kansberekening. Na de Jeep-hack moest FiatChrysler 1,7 miljoen auto’s terugroepen en $105 mln boete betalen (destijds in de Verenigde Staten het maximum). U kunt die onveiligheid met behulp van de prijswinnende zoekmachine shodan.io binnen drie muisklikken zelf ervaren. Toets zoekterm ‘webcamxp’ in, klik op een paar zoekresultaten en kijk direct mee via onveilige webcams in huiskamers en bedrijven over de hele wereld.

Al sinds de baanbrekende conferentie ‘Economics of Information Security’ die in 2002 in Berkeley plaatsvond, zien economen, juristen en computerwetenschappers de noodzaak cybersecurity te reguleren. Niet als technisch ingewikkeld vraagstuk, maar als een doodgewoon issue van marktordening – net als luchtvervuiling. Produceert een markt het publieke goed van cybersecurity, niks aan de hand. Maar als de markt faalt in het leveren van cybersecurity, dan moet regulering de tucht van de markt tot de orde roepen om de informatiesamenleving te beschermen.

Helse week

In Nederland kwam de wake-up call met de Diginotar-kwestie uit 2011, toen het versleutelde internet een week plat lag. De toenmalige minister van Binnenlandse Zaken, Piet-Hein Donner, riep op zaterdagnacht om 01:00 uur de pers bij elkaar, niet om te verkondigen dat de dijken waren doorgebroken, maar dat ‘het internet’ lek was. Donner zei onder meer: ‘doe dat niet meer, werk net als ik met brieven en overschrijvingsbiljetten.’

Geestig, maar ook terecht. Facebook, Gmail en internetbankieren waren wereldwijd dagenlang onbetrouwbaar door de hack bij de Beverwijkse leverancier van digitale certificaten. Nederlandse ziekenhuizen, havens en financiële instellingen konden een week lang niet meer vertrouwen op de integriteit van hun systemen. Nederland kwam er bovenop, de internetgemeenschap repareerde het falende certificaatsysteem, dat nu ook zorgt voor het slotje in uw browser. En iedereen realiseerde zich dat (ten minste) Europese wetgeving nodig was om niet nog eens door zo’n helse week te gaan.

Cybersecurity is net als zuurstof. Je merkt pas echt hoe belangrijk het is, als het er niet meer is.

Het heeft toch nog jaren geduurd voordat die Europese wetgeving er kwam. Uit de Snowden-onthulllingen bleek namelijk dat Europa’s machtige inlichtingendiensten, de GCHQ uit het Verenigd Koninkrijk voorop, meeliftten op de kwetsbaarheid voor spionagedoeleinden. Door grootschalige incidenten kwam de Europese wet er alsnog in 2016. Sinds 1 november 2018 is de Nederlandse vertaalslag daarop, de wet beveiliging netwerk- en informatiesystemen, van kracht. Daarin mogen sectortoezichthouders (onder meer in zorg, verkeersveiligheid en financiële wereld) boetes van €5 mln opleggen als marktpartijen zich niet aan ‘de regels’ houden.

Mogelijk kan de nieuwe ETSI-standaard ‘Cyber Security for Consumer Internet of Things’ die ‘regels’ invullen. De standaard bevat eigenlijk alle elementen van een gezond internetproduct, zoals regelmatige updates, geen ‘single points of failure’ (beide gingen grandioos fout bij Digitnoar) en het minimaliseren van aanvalsingangen. Want waarom, in vredesnaam, was het entertainmentsysteem van de Jeep verbonden met het gaspedaal? Het simpele antwoord: Jeep had pas na de hack een financiële prikkel om een volledig doorgelicht internetproduct op de markt te brengen.

Naleving

De prikkel om een standaard na te leven komt pas als het naleven geld oplevert of kosten bespaart. Vanaf 2002 blijkt uit de jaarlijkse conferenties over de economie van cybersecurity vooral, dat zo’n standaard pas wordt opgepakt als politiek, toezichthouders of consumenten dat van fabrikanten verlangen. Of als het grandioos misgaat.

Wat dat betreft is cybersecurity net als zuurstof. Je merkt pas echt hoe belangrijk het is, als het er niet meer is. Vraag het maar aan de patiënten op de eerste hulp in het Verenigd Koninkrijk in maart 2017.