Pittig nieuws uit Duitsland: geen backdoors meer in ICT-apparatuur voor de overheid
Wat doen overheden eigenlijk om hun burgers, bedrijven en zichzelf te beschermen tegen spionage, gegevensdiefstal en andere vormen van cybercriminaliteit? Soms levert een blik over de grens inzichten op. In Duitsland bijvoorbeeld heeft de regering nieuwe regels bekendgemaakt voor de koop van hardware. Deze regels gelden voor alle instellingen van de rijksoverheid. Te verwachten valt dat ook veel deelstaten en gemeentes de regels in hun contracten met ICT-leveranciers zullen opnemen.
De regels zijn best wel pittig. Veel leveranciers zullen niet in staat zijn om eraan te voldoen. De cruciale passage luidt:
“Auftragnehmer müssen [.] gewährleisten, dass die von ihnen zu liefernde Hardware frei von Funktionen ist, die die Integrität, Vertraulichkeit und Verfügbarkeit der Hardware, anderer Hard- und/oder Software oder von Daten gefährden und dadurch den Vertraulichkeits- oder Sicherheitsinteressen des Auftraggebers zuwiderlaufen [.].”
“Opdrachtnemers moeten [.] waarborgen, dat de door hen te leveren hardware vrij is van functies, die de integriteit, betrouwbaarheid en beschikbaarheid van de hardware, van andere hard- en/of software of van data in gevaar brengen en daardoor in strijd zijn met het betrouwbaarheids- en veiligheidsbelang van de opdrachtgever [.].”
Dit betekent in het kort: No More Backdoors!
Naast de positie over encryptie zijn de regels over backdoors het belangrijkste punt voor de veiligheid van gegevens. Over encryptie heeft ook de Nederlandse overheid zich recentelijk uitgesproken. In een brief aan de Tweede Kamer leggen de ministers van veiligheid en justitie en van economische zaken hun standpunt over het gebruik van encryptie-producten uit. Na de voor- en nadelen te hebben overwogen komen de ministers tot de conclusie dat “het op dit moment niet wenselijk is om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland”. Dit houdt dus ook in dat de regering niet om het gebruik van backdoors of andere kwetsbaarheden in encryptieproducten vraagt.
Dat is dus al een belangrijke stap en wij juichen deze stellingname toe. Wij zijn er echter van overtuigd dat het beter zou zijn voor de digitale soevereiniteit als meer regeringen een aantal stappen verder gingen en het voorbeeld van Duitsland volgden. Digitale soevereiniteit moet uiteindelijk het doel zijn van de ICT-wet en -regelgeving. Hierbij gaat het erom dat ICT-gebruikers, zowel zakelijk als particulier, zelf kunnen bepalen aan welke regels van het internetspel zij zich willen onderwerpen en aan welke niet. Zij moeten onafhankelijker worden van aanbieders die buiten Europa gevestigd zijn, omdat die vaak niet voldoen aan de regels voor de bescherming van privacy. Ook moeten zij beter kunnen beoordelen welke ICT-producten betrouwbaar zijn en welke juist niet.
Maar hoe bereik je die digitale soevereiniteit dan? Het antwoord is de herwinning van de controle op onze eigen systemen, op onze eigen data. Een cruciale rol is hierbij weggelegd voor ICT-leveranciers. Uiteindelijk moeten deze de hardware leveren die de overheid, bedrijven en particulieren instaat stelt om hun digitale soevereiniteit te herwinnen. LANCOM Systems garandeert al sinds jaren dat zijn toestellen vrij zijn van backdoors. Vele leveranciers, vooral uit de VS en China, hebben hiermee echter een serieus probleem. Maar de veiligheid van onze data moet uiteindelijk prioriteit hebben. Ik vraag dan ook aan de Nederlandse en andere regeringen om het voorbeeld van de Duitse overheid te volgen en verder te timmeren aan de weg naar digitale soevereiniteit.