De gevolgen van de terroristische aanvallen in de VS kunnen voor de ict-branche verstrekkend zijn. Deskundigen voorspellen dat de Amerikaanse overheid een ijzeren greep op de ict-branche zal uitoefenen om de informatievoorziening te waarborgen en computerterreur voor te zijn. In Nederland zijn zulke doomscenario’s nog ondenkbaar.
Ict-econoom Paul Strassmann voorspelt dat de Amerikaanse overheid een vergunningensysteem invoert, waarbij softwarebouwers, netwerkbedrijven en internetaanbieders zich moeten schikken naar gedragscodes en strafrechtelijk aansprakelijk zijn voor nalatigheid (zie pagina 11). Edo Roos Lindgreen, partner bij Kpmg Information Risk Management, zegt in een reactie dat er volgens hem in Nederland vooralsnog weinig wezenlijks verandert. Opsporing van cybercriminelen is afdoende afgedekt in de wet Computercriminaliteit II die twee jaar geleden is ingegaan. "Opsporingsdiensten kunnen binnen dit wettelijke kader in bedrijfssystemen op zoek gaan naar informatie over bijvoorbeeld terroristen. Daarvoor is geen nieuwe wet- en regelgeving nodig. Wel zullen inlichtingen- en opsporingsdiensten een stuk actiever gaan worden."
Roos Lindgreen wijst op een ander aspect: beveiliging van ict-systemen. "Bedrijven en instellingen zullen door de aanslagen in de VS intensiever aandacht schenken aan het beveiligings- en continuïteitsvraagstuk. Maar ook hier zal de overheid niet ingrijpen, tenzij sprake is van een toezichthouder die hogere eisen stelt." Hij noemt als voorbeeld De Nederlandsche Bank, die al langer van banken ict-beveiligingsmaatregelen eist.
Bernd Taselaar, werkzaam bij Fenit, meldt dat de ict-branche-organisatie niet is overstelpt met vragen van leden over beveiligingsaspecten. Ook hij meent dat het niet zinvol is om met nieuwe, strengere wet- en regelgeving te komen. "De aandacht voor beveiliging is absoluut belangrijk. Maar het is een illusie te denken dat alles gegarandeerd 100 procent te beveiligen valt." Net als Roos Lindgreen wijst hij op het belang van goed geregelde uitwijkfaciliteiten. Sommige bedrijven, die in het WTC zijn weggevaagd, waren 24 uur later alweer in de lucht. Dat geeft volgens Taselaar ook de robuustheid van internet aan. "Dat is niet in één aanval plat te leggen."
Paul de Graaf, secretaris informatiebeleid van werkgeversorganisatie VNO Nccw, ziet niets in een eventueel vergunningenstelsel voor ict-leveranciers. "Dat vormt de krachtigste rem op innovatie." Zo’n stelsel is in zijn ogen ook niet nodig. De overheid hanteert reeds controlemechanismen als audits, benchmarks en programma’s van eisen. De Graaf verwacht wel dat ontwerpspecificaties en leveringsvoorwaarden aangescherpt worden.
Kenniscentrum
De Nederlandse overheid start begin oktober een voorlichtingscampagne om computergebruikers bewust te maken van het belang van beveiliging. In diverse rapporten en beleidsnota is inmiddels geconstateerd dat de oprichting van een centraal kenniscentrum over beveiliging een goede zaak zou zijn. Joop Wijn, CDA-kamerlid, vraagt zich af waar nu het wachten op is. Hij acht zo’n centrum belangrijker dan een campagne. Wijn, die eerder dit jaar een pleidooi afstak om de vitale infrastructuur in Nederland beter te beschermen, verwacht overigens dat de overheid een actievere rol gaat spelen in de discussie over beveiliging. Ook kan hij zich voorstellen dat een aantal aspecten opnieuw ter discussie komt te staan, zoals de rol van internetaanbieders, de bevoegdheden van de politie en de aansprakelijkheid van hackers en slecht presterende ict-bedrijven. Maar", stelt hij, "we moeten ook niet te hard van stapel lopen. We zullen eerst de analyse over hoe terroristen eigenlijk opereren moeten afwachten."