Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
Inhoud pagina: Toespraak staatssecretaris Bijleveld voor congres TU Twente
`dependable ICT - who cares'
Dank voor uw uitnodiging om hier op mijn - eigen - universiteit te
spreken over een onderwerp - ICT - dat tijdens mijn studiejaren hier in
de jaren 80 vooral nog een belofte was.
Speech staatssecretaris Bijleveld voor congres TU Twente `dependable
ICT - who cares'
1 juni 2010
Dank voor uw uitnodiging om hier op mijn - eigen - universiteit te
spreken over een onderwerp - ICT - dat tijdens mijn studiejaren hier in
de jaren 80 vooral nog een belofte was.
Terug naar de actualiteit. Over een week zijn de verkiezingen. De
campagnes draaien op volle toeren. Niet eerder waren zoveel politici
actief met Twitter, Hyves of Facebook, en niet eerder speelde internet
zo'n rol als bij deze verkiezingen; denk bijvoorbeeld aan de
stemwijzers.
Hoe groot is het contrast met het stemmen zelf.
Op woensdag 9 juni staan we gewoon in een stemhokje met niets anders
dan het papieren stemformulier en een rood potlood aan een touwtje.
Geen elektronica te bekennen.
U kent de discussie over stemmachines die hieraan vooraf is gegaan.
Die discussie geeft goed weer welke spanning er bestaat tussen de
betrouwbaarheid van ICT en het vertrouwen van de burgers.
Het illustreert ook goed onze neiging om alle risico's in de
samenleving uit te willen bannen in onze slag om het vertrouwen van het
publiek terug te winnen.
Daarover wil ik het graag met u hebben.
De spanning tussen technische betrouwbaarheid en het vertrouwen van het
publiek verdient een nadere verdieping en ik wil dit congres graag
aangrijpen om dit specifieke punt eens aan de orde te stellen.
Het belang is evident. De overheid heeft legitimiteit nodig voor de
omgang met gegevens van mensen, zeker omdat we op een groot aantal
terreinen monopolist zijn. Mensen kunnen niet zomaar overstappen naar
een andere dienstverlener.
Het vertrouwen dat mensen en instellingen in ons - en onze ICT-systemen
- stellen is de beste legitimiteit.
Hoewel je er regelmatig alarmerende berichten over leest is het
vertrouwen dat mensen in de Nederlandse overheid stellen nog steeds
groot. Maar dat vertrouwen is allang niet meer vanzelfsprekend. We
moeten daar iedere dag aan werken, ook op het gebied van ICT.
Het lastige is dat de veiligheid van ICT geen product is van toegepaste
wetenschap.
Het is geen eenduidig begrip.
Het gaat altijd samen met een politieke en bestuurlijke afweging.
Aan alle maatregelen die we nemen om de veiligheid te verhogen zitten
nadelen, zoals hoge kosten, regeldruk of moeilijke uitvoerbaarheid.
De vraag is: staan de gekozen maatregelen met alle nadelen in
verhouding met wat we ermee bereiken? En welk risico-niveau accepteren
we nog wel en wat niet?
Dat is natuurlijk geen wetenschappelijk maar meer een bestuurlijk
vraagstuk.
Los hiervan hebben we wel de wetenschap nodig, bijvoorbeeld om meer
grip te krijgen op de mate van betrouwbaarheid.
Zo wordt momenteel veel gesproken over gegevensbestanden die zo worden
opgezet dat de privacy goed is gewaarborgd.
De wetenschap is nodig om te bepalen welk soort van standaarden - zoals
Privacy Enhancing Technologies - moet worden toegepast om die
waarborgen te kunnen geven.
Maar daarmee zijn we er niet omdat de technische betrouwbaarheid nog
iets anders is dan het vertrouwen van mensen in ICT-systemen.
Dat loopt zeker niet één op één en we hebben u ook nodig om manieren te
vinden om die technische betrouwbaarheid beter tot uitdrukking te
brengen, in de hoop dat het bijdraagt aan meer vertrouwen.
Laat ik iets meer ingaan op het belang van vertrouwen in ICT vanuit het
perspectief van de overheid.
Ik noem een paar punten die ik in dit verband erg belangrijk vind.
Ten eerste moeten we onze verantwoordelijkheid nemen en er alles aan
doen om te zorgen voor betrouwbare en veilige ICT-systemen.
De overheid heeft wat dat betreft een voorbeeldfunctie.
Er zijn veel mensen die doorlopend werken aan het verbeteren van een
betrouwbare dienstverlening aan burgers en bedrijven door onder andere
inzet van ICT. Dat is vaak onzichtbaar werk maar werk dat onmisbaar is.
Zo doen we als Nederland bijvoorbeeld actief mee aan de Common Criteria
for Information Technology Security Evaluation. Dat gebeurt in een
internationaal samenwerkingsverband met andere landen.
De Common Criteria bieden een gezamenlijke set van eisen voor
veiligheid van IT-produkten; je zou het kunnen beschouwen als een soort
keurmerk waarmee de afnemer kan aflezen hoe betrouwbaar een product is.
Dat is van belang omdat een product nooit 100% betrouwbaar is; er is
altijd sprake van grijstinten en deze Common Criteria zijn een
hulpmiddel waarmee je dit tot uitdrukking kunt brengen.
Nederland - onder andere TNO - helpt mee om deze criteria verder te
ontwikkelen en ik zie daarin mogelijkheden om meer verbinding te leggen
tussen technische betrouwbaarheid en daadwerkelijk vertrouwen bij de
afnemers en gebruikers.
Een ander voorbeeld ligt op een wat specifieker terrein.
De overheid kan zich op het gebied van staatsgeheimen helemaal niets
permitteren. Staatsgeheimen moeten staatsgeheimen blijven.
Daarom hebben we - als onderdeel van de AIVD - een Nationaal Bureau
voor Verbindingsbeveiliging dat voor de overheid de beveiligingswaarde
van ICT-producten beoordeelt en bevordert.
Onlangs heeft het kabinet besloten hier extra middelen voor vrij te
maken waardoor er meer aandacht kan worden besteed aan de
betrouwbaarheid van onze meest cruciale systemen.
Als het gaat om privacy en risicomanagement leggen we de lat hoog.
De overheid zet tal van instrumenten in om preventief en curatief een
betrouwbare werking van de ICT-infrastructuren te borgen.
We zijn bijvoorbeeld nu bezig met een baseline informatiebeveiliging
voor de hele rijksdienst, namelijk de Voorschriften
Informatiebeveiliging Rijk (VIR). Ieder ministerie had al een eigen
baseline, maar door de toename van gegevens-uitwisseling tussen
ministeries, ontstond behoefte aan een rijksbrede baseline.
Al deze min of meer technische afspraken en codes, zijn - hoe nuttig
ook - onvoldoende voor een warm gevoel van vertrouwen onder de burgers
dat het met de ICT met goed zit.
Er is minstens nog één ander ding heel wezenlijk voor de overheid, en
dat is transparantie.
We kunnen het ons niet veroorloven dat we wegkijken van incidenten.
Ik vind dat we er alles aan moeten doen om een compleet beeld te
krijgen van de veiligheidsinbreuken in de ICT-infrastructuren.
Daarom heb ik een onderzoek laten instellen - dat is net van start
gegaan - naar de mogelijkheid voor een meldplicht voor
overheidsorganisaties voor ICT-incidenten.
We laten in kaart brengen hoe we dit het beste in de praktijk kunnen
organiseren en ik verwacht daarover later dit jaar meer duidelijkheid
te kunnen geven.
Ik noem nog één ander cruciaal punt en dat is het punt van realistische
verwachtingen. Het verwachtingenniveau dat burgers hebben van de
overheid op het gebied van veiligheid is hoog.
De overheid heeft een functie als symbool voor het gemeenschappelijke
in de samenleving, maar dat behoort niet ten koste te gaan van de eigen
verantwoordelijkheid van burgers, bedrijven en instellingen.
Burgers en instellingen hebben zelf ook een verantwoordelijkheid voor
betrouwbare ICT-diensten.
Laat ik het voorval met DigiD noemen dat onlangs in het nieuws was. Een
meneer uit Castricum was zijn inlognaam/wachtwoord combinatie vergeten
en deed een aantal pogingen om in te loggen.
Per toeval koos hij de gebruikersnaam/wachtwoord combinatie van iemand
anders.
Blijkbaar leken niet alleen de inlognamen, maar ook de gekozen
wachtwoorden erg op elkaar. Dat kan voorkomen bij een systeem met circa
8 miljoen gebruikers en 17 miljoen transacties in de eerste vier
maanden van dit jaar.
Maar het belang van een goed gekozen wachtwoord wordt hierdoor wel
onderstreept. Een sterk wachtwoord voorkomt zowel dat iemand per
ongeluk inlogt, als opzettelijk misbruik.
DigiD kijkt nu hoe sterke wachtwoorden beter kunnen worden
gestimuleerd; of eventueel zelfs afgedwongen.
Daarbij speelt de balans met gebruiksgemak natuurlijk wel een rol: aan
wachtwoorden die te moeilijk zijn om te onthouden heeft niemand iets.
De uiteindelijke betrouwbaarheid van ICT blijft een samenspel tussen
voorziening en gebruiker.
Met publiekscampagnes willen we mensen attenderen op de eigen
verantwoordelijkheid en het gedrag op internet.
Ik kom tot een afronding.
Het is duidelijk dat betrouwbare ICT de ruggengraat is van de
samenleving. Als overheid hebben we hierbij een cruciale rol, als
dienstverlener en als zorgvuldige hoeder van gegevens die mensen ons in
vertrouwen verstrekken.
We moeten er alles aan doen om dat vertrouwen waar te maken en daar
hoort wat mij betreft ook bij dat we open moeten zijn over wat mensen
wel en niet van onze ICT-systemen kunnen verwachten.
100% Betrouwbaarheid is een zeer kostbare utopie!
Het is een illusie om te denken dat we in onze samenleving alle
risico's weg kunnen nemen. De recente gebeurtenissen rondom de
vulkaanuitbarsting in IJsland en de discussie over de genomen
maatregelen, maken dat weer eens duidelijk.
Ik ben voorstander van een meer open benadering van risico's, die recht
doet aan alle voor- en nadelen.
Het motto moet zijn "Prepare for the worst, hope for the best", maar
laten we dit wel op een verantwoorde wijze doen.
Het is altijd zoeken naar een balans tussen gebruikersgemak,
kostenefficiëntie en veiligheid, vanuit het besef dat een risicoloze
samenleving een illusie is.
We kunnen dit niet als overheid alleen. Daar hebben we ook u als
deskundigen voor nodig. De vraag is bijvoorbeeld hoe we meer grip
kunnen krijgen op de technische betrouwbaarheid van ICT-systemen.
En - als we daar meer grip op hebben - hoe we dit beter kunnen vertalen
naar de burgers. Want daarin ligt volgens mij een van de sleutels tot
meer vertrouwen van de burger.
Ik nodig u van harte uit om daar zo'n dag als vandaag ook voor te
gebruiken. Dank u wel.