Overheid moet digitale dijk bewaken

De controle op de ICT-ontwikkelingen is de overheid echter sinds die tijd steeds meer ontglipt, meent Nico Schouten, voorzitter van de Nederlandse Orde van Register EDP Auditors (Norea). “Door de ongeveer gelijktijdig gestarte deregulering en het vrijgeven van de telecommarkt, is de verantwoordelijkheid voor de infrastructuur bij verschillende, veelal, commerciële partijen komen te liggen. De overheid heeft het beleid gericht op het stimuleren van initiatieven en veel aan de markt overgelaten, maar heeft daarmee ook de greep verloren op de infrastructuur. De controle is versnipperd en het ontbreekt aan overzicht van de kwetsbaarheden. Cruciale storingen kunnen keteneffecten veroorzaken met grote risico’s voor bijvoorbeeld de energievoorziening en de gezondheidszorg. Bovendien komt de economie vrijwel plat te liggen als het dataverkeer wordt stilgelegd.” Om een dergelijke ‘digitale ramp’ te voorkomen, wil Norea dat de overheid verregaande maatregelen neemt. De kwetsbaarheid van ICT-infrastructuur en de verantwoordelijkheden moeten in kaart worden gebracht, de overheid moet veiligheidsnormen vaststellen en daarop moet worden gecontroleerd, met sancties als stok achter de deur. Zware minister Om dat allemaal mogelijk te maken is een ‘zware’ ICT-minister, mèt portefeuille, nodig, meent Schouten. “Op dit moment is de dijkbewaking en het beleid wat daarmee samenhangt, verspreid over vijf of zes departementen. Dat moet naar één minister met ruime coördinerende bevoegdheden. ” Overheden moeten op hun verantwoordelijkheden kunnen worden aangesproken, aldus Schouten. “Zoals vorige week bekend werd gemaakt dat 30 procent van de gemeentelijke websites eenvoudig te hacken was en dat voor een deel ook het netwerk openlag, dat kan dus niet. Die ICT-minister moet beveiligingsniveaus vaststellen en toezicht daarop instellen.” Dat geldt niet alleen voor de overheid, maar ook voor ‘de bv Nederland’. “Het maatschappelijk belang van de ICT binnen een bedrijfstak moet worden vastgesteld. In geval van een groenteboer met een geautomatiseerde kassa is dat niet groot, maar bij bijvoorbeeld telecombedrijven of grote zakelijke dienstverleners is dat enorm. Die organisaties moeten een wettelijke verplichting hebben om verantwoording af te leggen over de kwaliteit van hun ICT-infrastructuur, net zoals dat geldt voor hun financiële jaarverslagen en, steeds meer, voor hun milieubeleid. Bedrijven moeten transparant zijn op die gebieden die maatschappelijk van belang zijn.” Dat vereist een aanpassing van de wet- en regelgeving, weet Schouten. “In de wet moeten harde uitgangspunten en sancties worden gedefinieerd. De precieze criteria, die tenslotte met de technologie mee- evolueren, moeten steeds opnieuw worden vastgesteld en gepubliceerd. Voor de implementatie kun je denken aan het vastleggen in vergunningen, zoals dat voor bijvoorbeeld de horeca gebeurt.” Zelfregulering Net zo goed als bijvoorbeeld de brandweer controles houdt bij diezelfde horeca, moet er in de kritische bedrijfstakken worden gecontroleerd. “Daartoe moet een orgaan in het leven worden geroepen. Dat hoeft niet perse een overheidsdienst te worden, ik geloof in zelfregulering. Dat kan vanuit de verschillende sectoren gebeuren. Maar het moet wel om controleerbare, transparante organisaties gaan.” Schouten is realistisch als het gaat om de termijn. “Dit moet tussen vijf en tien jaar gerealiseerd zijn. Het onderwerp moet eerst op de politieke agenda komen en dat kost tijd. De politiek lijkt is zich nog nauwelijks bewust van de maatschappelijke implicaties van ICT en vooral de risico’s. Maar er zijn meer gremia die deze boodschap brengen. Ik zie het als een druppelende kraan: uiteindelijk wordt het wel opgemerkt.”