Wachten op de grote klap

<Webwereld column>

Het stof van Diginotar is netjes opgeveegd bij de bonte verzameling van ICT-fails in de publieke sector, de glazen zijn leeg en de plassen gedaan. Tot nu toe wijst niets erop dat er echt iets gaat veranderen aan de wijze waarop de Nederlandse overheid ICT projecten laat uitvoeren. Tijdens het overleg (mp3) in de Tweede Kamer was het duidelijk dat zowel de OPTA als PwC vinden dat hen niets te verwijten valt, ondanks het feit dat ze als toezichthouders jarenlang het stempel “OK” hebben gezet op Diginotar. De uitspraak van PwC dat de audits uiteraard goed zijn gedaan omdat “deze worden uitgevoerd door professionals met een eigen verantwoordelijkheid” zal hartverwarmend zijn voor Iraanse burgers die hiervan nu de consequenties ondervinden (denk aan iets met knieschijven en elektrisch gereedschap).

Door de chaos bij Diginotar kan nooit meer met zekerheid worden vastgesteld op welke momenten er bij het bedrijf is ingebroken en wat de gevolgen daarvan waren. Iemand die een compleet netwerk overneemt kan namelijk kinderlijk eenvoudig alle logs manipuleren. Het enige wat we dus echt met zekerheid kunnen zeggen is dat er tot nu toe geen reden is om aan te nemen dat de IT-security in het verleden veel beter was dan de recentelijk door FoxIT aangetroffen puinhoop.  Want de audits van PwC zijn overduidelijk niet in staat een dergelijke puinhoop te detecteren en de OPTA kijkt er kennelijk niet eens naar. Mogelijk was Diginotar dus al jaren van onder tot boven gehackt en is dat gewoon nooit iemand opgevallen. Een echte slimme cybercrimineel of spion doet zijn werk zo dat niemand ooit iets door heeft. In allerlei detaildiscussies over de exacte tijdslijn en omvang wordt volledig voorbij gegaan aan dit feit. Socrates glimlacht vanuit zijn graf bij de vaststelling dat we alleen zeker weten dat we niets zeker weten.

De, in mijn ogen veel belangrijkere, vraag: “hoe kan het dat een dergelijke cruciaal deel van onze ICT infrastructuur in buitenlandse handen kan vallen?” was niet kennelijk eens op de radar van toezichthouders of Kamerleden. Met name in relatie tot de recente discussies over Amerikaanse veiligheidsdiensten die zonder rechterlijke toetsing in onze systemen mogen grasduinen, lijkt dit van enig belang. Maar wellicht heb ik een wat te naive verwachting als het gaat om de positie van mijn overheid die als soevereine staat zowel capabel als gemotiveerd is om de belangen van haar burgers te behartigen.

Teamwork; it spreads the blame
Diginotar is het zoveelste voorbeeld van een publieke ICT functie waar het werkelijk op alle denkbare niveaus fout ging (selectie, uitvoering, toezicht). Maar toch is niemand verantwoordelijk voor de consequenties hiervan. Waarbij het belangrijk is om vast te stellen dat we waarschijnlijk nooit zullen weten hoe ernstig de echte consequenties zijn – met name voor een onbekend aantal Iraanse burgers. Gevolg is dat er dus ook niks hoeft te veranderen aan de personen die bijvoorbeeld het toezicht uitvoeren of de ‘methoden’ die zij daarvoor gebruiken. Hetzelfde blijven doen en toch andere uitkomsten verwachten is een van de definities van waanzin.

Niet weten, niet kunnen
Als er een centrale oorzaak aan te wijzen is voor de meeste grote ICT-fails van de overheid, dan het is wel gebrek aan inhoudelijke expertise bij de overheid zelf. Alles is geprivatiseerd en gebrek aan kennis is van een ongelukkige consequentie tot een uitgangspunt van beleid verworden. In plaats van gebrek aan inhoudelijke expertise te identificeren als een probleem dat moet worden opgelost, wordt het beschreven als onveranderlijke natuurwet. “Het is nu eenmaal zo” dat de overheid geen mensen in dienst heeft die de inhoudelijke expertise hebben om ICT projecten beoordelen, uit te voeren of toezicht te houden (op de ingehuurde leveranciers voor het beoordelen of uitvoeren). Tegelijkertijd wordt van ons burgers verwacht dat we diezelfde overheid moeten vertrouwen met het correct beoordelen van de haalbaarheid en consequenties van steeds meer megalomane ICT projecten. Nog zo’n symptoom van institutionele waanzin.

De discussie over eventuele speciale bescherming van hackers als klokkenluiders is, hoe goed bedoeld ook, in mijn optiek dan ook symptoombestrijding. De overheid hoort zelf de kennis in huis te hebben om in ieder geval de goeie vragen te kunnen stellen en de antwoorden op die vragen zelfstandig te evalueren. Of zullen we het toezicht op onze zeedijken ook gewoon afschaffen en wachten tot een paar burgers op hun vrije zondag komen melden dat er een gat in een dijk zit?

Lektober zal vrees ik weinig veranderen aan de manier hoe men in Den Haag omgaat met deze problemen. Een mega-fail zoals Diginotar levert geen enkel rollend hoofd op en de implementatie van zowel het EPD als de OV-chip gaat rustig door.

Wat is er dan nodig voor een doorbraak? Zoals ik tijdens een debat over het EPD in 2005 al zei; een gebeurtenis die te heftig is om te negeren. Want dat is altijd wat nodig is in Nederland om ons politiek-bestuurlijke systeem te bewegen dingen echt anders te gaan doen. Pas dan is men bereid om bestaande commerciële belangen onder druk te zetten en een paar mensen hun baantjes te laten verliezen. Door de complexiteit van de Nederlandse samenleving en economie komt dat moment vanzelf. Of het nu een nationale EPD-storing, een ontploffende Botlek of iets met ons nationale aardgas netwerk is. Genoeg zwakke plekken om uit te kiezen.

Ik vermoed dat er een ‘sweetspot’ is qua aantal doden versus effectieve politieke impact. Ergens tussen de vuurwerkramp (23 doden) en de watersnoodramp (1835 doden) in zeg maar. Ik deel de analyse van Rop Gongrijp dat er na Diginotar niks gaat veranderen (want geen doden op TV). Het wachten is op de grote klap die hard genoeg is om echte verandering mogelijk te maken. Dan pas komt er ruimte voor andere mensen, met meer inhoudelijke expertise. Een veel hoger niveau van technische eisen en vanzelfsprekende transparantie rond alle processen zoals ontwerp, selectie en implementatie van nieuwe systemen.

Wellicht een gruwelijke cyberaanval met schattige biggetjes?