Toespraak staatssecretaris Bijleveld voor congres TU Twente ‘dependable ICT – who cares’
Dank voor uw uitnodiging om hier op mijn - eigen - universiteit te spreken over een onderwerp - ICT - dat tijdens mijn studiejaren hier in de jaren 80 vooral nog een belofte was.
Speech staatssecretaris Bijleveld voor congres TU Twente ‘dependable ICT – who cares’
1 juni 2010
Dank voor uw uitnodiging om hier op mijn - eigen - universiteit te spreken over een onderwerp - ICT - dat tijdens mijn studiejaren hier in de jaren 80 vooral nog een belofte was.
Terug naar de actualiteit. Over een week zijn de verkiezingen. De campagnes draaien op volle toeren. Niet eerder waren zoveel politici actief met Twitter, Hyves of Facebook, en niet eerder speelde internet zo’n rol als bij deze verkiezingen; denk bijvoorbeeld aan de stemwijzers.
Hoe groot is het contrast met het stemmen zelf.
Op woensdag 9 juni staan we gewoon in een stemhokje met niets anders dan het papieren stemformulier en een rood potlood aan een touwtje. Geen elektronica te bekennen.
U kent de discussie over stemmachines die hieraan vooraf is gegaan.
Die discussie geeft goed weer welke spanning er bestaat tussen de betrouwbaarheid van ICT en het vertrouwen van de burgers.
Het illustreert ook goed onze neiging om alle risico’s in de samenleving uit te willen bannen in onze slag om het vertrouwen van het publiek terug te winnen.
Daarover wil ik het graag met u hebben.
De spanning tussen technische betrouwbaarheid en het vertrouwen van het publiek verdient een nadere verdieping en ik wil dit congres graag aangrijpen om dit specifieke punt eens aan de orde te stellen.
Het belang is evident. De overheid heeft legitimiteit nodig voor de omgang met gegevens van mensen, zeker omdat we op een groot aantal terreinen monopolist zijn. Mensen kunnen niet zomaar overstappen naar een andere dienstverlener.
Het vertrouwen dat mensen en instellingen in ons - en onze ICT-systemen - stellen is de beste legitimiteit.
Hoewel je er regelmatig alarmerende berichten over leest is het vertrouwen dat mensen in de Nederlandse overheid stellen nog steeds groot. Maar dat vertrouwen is allang niet meer vanzelfsprekend. We moeten daar iedere dag aan werken, ook op het gebied van ICT.
Het lastige is dat de veiligheid van ICT geen product is van toegepaste wetenschap.
Het is geen eenduidig begrip.
Het gaat altijd samen met een politieke en bestuurlijke afweging.
Aan alle maatregelen die we nemen om de veiligheid te verhogen zitten nadelen, zoals hoge kosten, regeldruk of moeilijke uitvoerbaarheid.
De vraag is: staan de gekozen maatregelen met alle nadelen in verhouding met wat we ermee bereiken? En welk risico-niveau accepteren we nog wel en wat niet?
Dat is natuurlijk geen wetenschappelijk maar meer een bestuurlijk vraagstuk.
Los hiervan hebben we wel de wetenschap nodig, bijvoorbeeld om meer grip te krijgen op de mate van betrouwbaarheid.
Zo wordt momenteel veel gesproken over gegevensbestanden die zo worden opgezet dat de privacy goed is gewaarborgd.
De wetenschap is nodig om te bepalen welk soort van standaarden - zoals Privacy Enhancing Technologies - moet worden toegepast om die waarborgen te kunnen geven.
Maar daarmee zijn we er niet omdat de technische betrouwbaarheid nog iets anders is dan het vertrouwen van mensen in ICT-systemen.
Dat loopt zeker niet één op één en we hebben u ook nodig om manieren te vinden om die technische betrouwbaarheid beter tot uitdrukking te brengen, in de hoop dat het bijdraagt aan meer vertrouwen.
Laat ik iets meer ingaan op het belang van vertrouwen in ICT vanuit het perspectief van de overheid.
Ik noem een paar punten die ik in dit verband erg belangrijk vind.
Ten eerste moeten we onze verantwoordelijkheid nemen en er alles aan doen om te zorgen voor betrouwbare en veilige ICT-systemen.
De overheid heeft wat dat betreft een voorbeeldfunctie.
Er zijn veel mensen die doorlopend werken aan het verbeteren van een betrouwbare dienstverlening aan burgers en bedrijven door onder andere inzet van ICT. Dat is vaak onzichtbaar werk maar werk dat onmisbaar is.
Zo doen we als Nederland bijvoorbeeld actief mee aan de Common Criteria for Information Technology Security Evaluation. Dat gebeurt in een internationaal samenwerkingsverband met andere landen.
De Common Criteria bieden een gezamenlijke set van eisen voor veiligheid van IT-produkten; je zou het kunnen beschouwen als een soort keurmerk waarmee de afnemer kan aflezen hoe betrouwbaar een product is.
Dat is van belang omdat een product nooit 100% betrouwbaar is; er is altijd sprake van grijstinten en deze Common Criteria zijn een hulpmiddel waarmee je dit tot uitdrukking kunt brengen.
Nederland - onder andere TNO - helpt mee om deze criteria verder te ontwikkelen en ik zie daarin mogelijkheden om meer verbinding te leggen tussen technische betrouwbaarheid en daadwerkelijk vertrouwen bij de afnemers en gebruikers.
Een ander voorbeeld ligt op een wat specifieker terrein.
De overheid kan zich op het gebied van staatsgeheimen helemaal niets permitteren. Staatsgeheimen moeten staatsgeheimen blijven.
Daarom hebben we – als onderdeel van de AIVD - een Nationaal Bureau voor Verbindingsbeveiliging dat voor de overheid de beveiligingswaarde van ICT-producten beoordeelt en bevordert.
Onlangs heeft het kabinet besloten hier extra middelen voor vrij te maken waardoor er meer aandacht kan worden besteed aan de betrouwbaarheid van onze meest cruciale systemen.
Als het gaat om privacy en risicomanagement leggen we de lat hoog.
De overheid zet tal van instrumenten in om preventief en curatief een betrouwbare werking van de ICT-infrastructuren te borgen.
We zijn bijvoorbeeld nu bezig met een baseline informatiebeveiliging voor de hele rijksdienst, namelijk de Voorschriften Informatiebeveiliging Rijk (VIR). Ieder ministerie had al een eigen baseline, maar door de toename van gegevens-uitwisseling tussen ministeries, ontstond behoefte aan een rijksbrede baseline.
Al deze min of meer technische afspraken en codes, zijn - hoe nuttig ook - onvoldoende voor een warm gevoel van vertrouwen onder de burgers dat het met de ICT met goed zit.
Er is minstens nog één ander ding heel wezenlijk voor de overheid, en dat is transparantie.
We kunnen het ons niet veroorloven dat we wegkijken van incidenten.
Ik vind dat we er alles aan moeten doen om een compleet beeld te krijgen van de veiligheidsinbreuken in de ICT-infrastructuren.
Daarom heb ik een onderzoek laten instellen – dat is net van start gegaan – naar de mogelijkheid voor een meldplicht voor overheidsorganisaties voor ICT-incidenten.
We laten in kaart brengen hoe we dit het beste in de praktijk kunnen organiseren en ik verwacht daarover later dit jaar meer duidelijkheid te kunnen geven.
Ik noem nog één ander cruciaal punt en dat is het punt van realistische verwachtingen. Het verwachtingenniveau dat burgers hebben van de overheid op het gebied van veiligheid is hoog.
De overheid heeft een functie als symbool voor het gemeenschappelijke in de samenleving, maar dat behoort niet ten koste te gaan van de eigen verantwoordelijkheid van burgers, bedrijven en instellingen.
Burgers en instellingen hebben zelf ook een verantwoordelijkheid voor betrouwbare ICT-diensten.
Laat ik het voorval met DigiD noemen dat onlangs in het nieuws was. Een meneer uit Castricum was zijn inlognaam/wachtwoord combinatie vergeten en deed een aantal pogingen om in te loggen.
Per toeval koos hij de gebruikersnaam/wachtwoord combinatie van iemand anders.
Blijkbaar leken niet alleen de inlognamen, maar ook de gekozen wachtwoorden erg op elkaar. Dat kan voorkomen bij een systeem met circa 8 miljoen gebruikers en 17 miljoen transacties in de eerste vier maanden van dit jaar.
Maar het belang van een goed gekozen wachtwoord wordt hierdoor wel onderstreept. Een sterk wachtwoord voorkomt zowel dat iemand per ongeluk inlogt, als opzettelijk misbruik.
DigiD kijkt nu hoe sterke wachtwoorden beter kunnen worden gestimuleerd; of eventueel zelfs afgedwongen.
Daarbij speelt de balans met gebruiksgemak natuurlijk wel een rol: aan wachtwoorden die te moeilijk zijn om te onthouden heeft niemand iets.
De uiteindelijke betrouwbaarheid van ICT blijft een samenspel tussen voorziening en gebruiker.
Met publiekscampagnes willen we mensen attenderen op de eigen verantwoordelijkheid en het gedrag op internet.
Ik kom tot een afronding.
Het is duidelijk dat betrouwbare ICT de ruggengraat is van de samenleving. Als overheid hebben we hierbij een cruciale rol, als dienstverlener en als zorgvuldige hoeder van gegevens die mensen ons in vertrouwen verstrekken.
We moeten er alles aan doen om dat vertrouwen waar te maken en daar hoort wat mij betreft ook bij dat we open moeten zijn over wat mensen wel en niet van onze ICT-systemen kunnen verwachten.
100% Betrouwbaarheid is een zeer kostbare utopie!
Het is een illusie om te denken dat we in onze samenleving alle risico’s weg kunnen nemen. De recente gebeurtenissen rondom de vulkaanuitbarsting in IJsland en de discussie over de genomen maatregelen, maken dat weer eens duidelijk.
Ik ben voorstander van een meer open benadering van risico’s, die recht doet aan alle voor- en nadelen.
Het motto moet zijn ”Prepare for the worst, hope for the best”, maar laten we dit wel op een verantwoorde wijze doen.
Het is altijd zoeken naar een balans tussen gebruikersgemak, kostenefficiëntie en veiligheid, vanuit het besef dat een risicoloze samenleving een illusie is.
We kunnen dit niet als overheid alleen. Daar hebben we ook u als deskundigen voor nodig. De vraag is bijvoorbeeld hoe we meer grip kunnen krijgen op de technische betrouwbaarheid van ICT-systemen.
En – als we daar meer grip op hebben – hoe we dit beter kunnen vertalen naar de burgers. Want daarin ligt volgens mij een van de sleutels tot meer vertrouwen van de burger.
Ik nodig u van harte uit om daar zo’n dag als vandaag ook voor te gebruiken. Dank u wel.