Willen we wel weten hoe kwetsbaar de informatiemaatschappij is?
Zo luidde in 1986 de opvatting van het Nederland Genootschap voor Informatica, in haar rol als initiatiefneemster van de internationale conferentie Coping with Computer-Age Vulnerability, die in 1987 in Amsterdam zou worden gehouden maar bij gebrek aan belangstelling niet door ging. Computerbeveiliging en privacy- bescherming spraken in die dagen kennelijk meer aan dat het minder concrete begrip vulnerability, kwetsbaarheid. Waarschijnlijk werd in 1982 voor het eerst aandacht aan het onderwerp besteed bij de Organisatie voor Economische Ontwikkeling en Samenwerking (OECD). In Spanje vond namelijk een Vulnerability Workshop plaats waar experts nationale ervaringen uitwisselden. Twee jaar later rapporteerde het Franse echtpaar Chamoux over The Vulnerability of the Information Conscious Society. Doel van de studie was de kwetsbaarheid van de Europese samenleving door middel van allerlei praktijkgevallen aan te tonen. De Information Technology Task Force van de Europese Gemeenschap had reeds vastgesteld dat de Europeanen hiervoor met uitzondering van de Scandinaviërs – en in tegenstelling tot de Verenigde Staten – weinig belangstelling aan de dag legden. Opvallend in die studie was dat Nederland ontbrak als voorwerp van beschouwing. Toch hadden wij ook al met het fenomeen van doen gehad. Een van de eerste zaken van computercriminaliteit avant le lettre stamt uit 1972. Door verduistering van computertapes en vooral de headline- berichtgeving in het dagblad De Telegraaf, schrok Nederland die zomer wakker toen het hoofd automatisering van een chemisch bedrijf op Rozenburg alle aanwezige tapes, dus ook de back-ups, meenam en deze later zijn werkgever te koop aanbood. Chantage dus. En hoewel de dader vrij snel na het plegen van de strafbare feiten werden gearresteerd, illustreerde dit voorval treffend de kwetsbaarheid van een onderneming door de afhankelijkheid van automatische gegevensverwerking. Boven water Pas op 27 november 1990 werden de eerste nationale cijfers over hightech-misdaad boven water gebracht door het Platform computercriminaliteit. Van alle verschijningsvormen van computercriminaliteit kwam het illegaal kopiëren en gebruiken van computerprogramma’s in Nederland het meeste voor. Daarna volgden het schade toebrengen aan gegevens of programma’s, meestal door virussen, hacken, spionage en computer-gerelateerde valsheden en fraude. Computersabotage en ‘diefstal’ van geautomatiseerde diensten kwamen minder en het onbevoegd onderscheppen van gegevensverkeer deed zich toen niet nauwelijks voor, zo bleek uit de studie. Volgens het Platform volgde uit de rapportage dat ‘computercriminaliteit een serieuze bedreiging vormt voor iedere organisatie waar processen zijn geautomatiseerd, vooral gezien de grote risico’s die eraan verbonden zijn’. Vervolgens waarschuwde het Platform dat computercriminaliteit niet ‘veronachtzaamd’ mag worden en men verwachtte toen dat misbruik van computersystemen in ons land in de toekomst verder toenam. Immers, het gebruik van informatietechnologie stijgt, er komen meer gebruikers komen en de gebruikersvriendelijkheid van apparatuur en programmatuur wordt groter. Bovendien, aldus het Platform, vergroten de technologische ontwikkelingen de bereikbaarheid van computersystemen. Let wel: het World Wide Web was nog niet uitgevonden. In 1995 duikt het onderwerp kwetsbaarheid in relatie tot informatietechnologie in Nederland weer op. De toenmalige minister Sorgdrager (Justitie), in haar functie als voorzitter van het Nationaal Platform Criminaliteitsbeheersing (NCP), gaf namelijk 9 mei van dat jaar het startsein voor de voorlichtingscampagne ‘Bewustwording Kwetsbaarheid Informatiesystemen’. In deze deels ludieke voorlichtingscampagne vormgegeven door een multimediale cd-rom stond de computer als Achilleshiel van de postmoderne maatschappij centraal. De campagne heeft waar- schijnlijk een te verwaarlozen effect gehad. Nieuwe ronde, nieuwe kansen, denkt men in Den Haag want op korte termijn komt het ministerie van Verkeer en Waterstaat met een nota over de kwetsbaarheid van dienstverlening via internet. Mag een eenduidige omschrijving van computerkwetsbaarheid tot nu toe ontbreken, zo relevant is dat voor de begripsvorming en vooral het bewustwordingsproces niet. Goed beschouwd gaat het om – het onderkennen van – een mix van risico’s die in eerste instantie die de juistheid, de volledigheid en de continuïteit van de geautomatiseerde verwerking en communicatie van gegevens bij overheid en bedrijfsleven bedreigen. Brand en fysieke inbraak (het maken van back-ups, aandacht voor computer-uitwijk), computercriminaliteit (virussen, inbraken, sabotage en fraude) en bijvoorbeeld inbreuken op de privacy. Maar daarbij hoort ook wanprestatie (contracten: kwaliteit, service-level, tijdigheid) of monopolisering (technologie) door de industrie, want de doorgaans sterke afhankelijkheid van de ICT-gebruiker ten opzicht van ICT-dienstverleners vormt tevens een bedreiging. Het millennium-probleem ligt nog vers in het geheugen. En wat te denken van al die releases van software die min of meer ernstige gebreken vertonen? De rol van de overheid is in dit alles beperkt. Zeker voor een overheid die graag – infrastructuur – privatiseert. Bovendien zijn verreweg de meest noodzakelijk juridische normen al ontwikkeld. Wellicht dat in strafrechtelijk perspectief opgemerkt kan worden dat de overheid wel moet handhaven. De primaire verantwoorlijkheid ten aanzien van computerkwetsbaarheid ligt bij de organisaties zelf. Die moeten aan vulnerability management doen.