Internetstandaarden en implementatie

Op het ecp jaarcongres van 2014 werd een sessie geweid aan Internetstandaarden onder leiding van Gerben Klein Baltink, de kwartiermaker namens de Nederlandse overheid van het Platform Internetstandaarden en directeur MKB Cyber Advies Nederland B.V. De drie panelleden spraken over (succesvolle) implementatie van standaarden, bijvoorbeeld om het mailverkeer veiliger maken en phishing e-mails tijdig te onderscheppen.

Hoe druk het ook was op het jaarcongres en hoe goed de individuele tracks ook bezocht werden, de zaal over standaarden wilde zich niet vullen. Die ervaring had ik zelf tijdens het laatste Internet Governance Forum, waar ik namens ecp en het Ministerie van Economische Zaken een workshop leidde onder de titel ‘The impact of (non-)adoption of Internet standards on cyber security’. Ondanks dat Internet standaarden (en best practices) veel besproken zijn op conferenties en andere bijeenkomsten, wil het met de urgentie niet vlotten. Is hier een reden voor aan te wijzen?

Enkele Observaties

Ik zal niet pretenderen dit antwoord te kunnen geven, wel heb ik een paar observaties die ik wil delen.

Te duur?

Het argument: “het kan niet, maar als het moet, dan is het heel moeilijk en vooral heel duur” is vaak gebruikt door telco’s die niet mee willen in veranderingen of bestaande belangen verdedigen. Toch zit hier waar het gaat om grootschalige veranderingen als gevolg van een nieuwe Internet standaard een kern van waarheid in. Wat daar nog bij komt, is dat er vaak geen business case aanwezig is. Sterker, er lijkt/is sprake van een first mover disadvantage. Internet standaarden voer je in voor het grote geheel, niet zo nodig jouw bedrijf (alleen). Degene die als enige of eerste een standaard invoert, maakt kosten die andere partijen dus niet hebben. Die kosten zijn soms niet gering. Off the record willen bedrijven daar best een inkijkje in geven. Bijvoorbeeld, het invoeren van IPv6 brengt zeer hoge kosten met zich mee en het verdient zich als zodanig nauwelijks terug.

Markt falen?

Het Ministerie van Economische Zaken benoemde dit zeer stellig in Istanbul op het IGF: “er is sprake van markt falen”. Zover wil ik zelf nog niet gaan, maar er is zeker iets wat marktpartijen weerhoudt van een vlotte implementatie. Een voorwaarde om vooruit te gaan is dan ook te achterhalen wat dat “iets” is. Als dit niet wordt achterhaald, praten we over tien jaar nog voor half lege zaaltjes. Zodra dat iets is benoemd, kunnen er maatregelen getroffen worden die de belemmeringen wegnemen.

Afwezigheid

Wat mij ook opvalt, is dat de partijen om wie het draait, denk hier aan Internet Service Providers, telco’s, maar zeker ook soft- en hardwarefabrikanten, appbouwers, Internetplatformen, niet altijd aanwezig zijn bij deze bespreken en als ze er zijn, beslist niet het achterste van hun tong laten zien. Veruit de meeste partijen zijn nog nooit aangesproken. Toch zijn zij nodig voor de implementatie. Sterker, zonder hen gaat dat niet. Kortom, hier zit de eerste winst. Breng aan tafel wie aan tafel moet zitten. Daar begint de inventarisatie van uitdagingen.

De afwezige business case

“Het ontbreekt aan een business case”. Als dat de reden is dat er geen implementatie plaatsvindt, dan is dat snel te verhelpen. Simpelweg als grote partijen er naar gaan vragen. “Wij willen IPv6”. “Wij willen veilig kunnen e-mailen, internetten, een wifiverbinding opzetten”, etc. De overheid zou hier als katalysator kunnen optreden, al dan niet in samenwerking met een aantal grote partijen die gebaat zijn bij een veiliger Internet. Denk bijvoorbeeld aan de financiële sector. Vlak daarbij de consument niet uit. Gerichte campagnes met belangenorganisaties kunnen ook een groot verschil maken. Denk aan de Consumentenbond, de HCC, VNO/NCW, branche organisaties, etc. Vraag is een grote stimulus.

Kansen MKB?

Die business case ontbreekt op de korte termijn misschien bij grote bedrijven. Maar hoe zit dat bij kleinere bedrijven? MKB’ers die een nichemarkt bedienen en juist kunnen scoren op een grotere veiligheid? De signalen die ik tot op heden opvang, zijn nog niet bemoedigend. Toch liggen hier kansen voor het midden- en kleinbedrijf om klanten binnen te halen, door een veiligere omgeving te creëren waarbinnen de klanten hun online diensten kunnen afnemen.

Veiligheid kost geld?

Hoe zit het dan met veiligheid? Kapitalen geeft de overheid momenteel uit aan “cyber”. Hoe zit dat nu echt?, vraag ik me dan af. De tijd dat iedereen voor een dubbeltje op de eerste rang zit bij het Internet moet maar eens voorbij zijn. Veiligheid kost geld. Voor jou, voor mij, voor het bedrijfsleven, de overheid, organisaties, etc. Het besef moet gaan indalen dat het Internet net is als het gewone leven. We vinden het heel normaal een extra slot voor onze fiets te kopen, maar niet voor ICT. “Dat begrijpen wij niet”. Juist dat moet ook zo gaan worden voor de pc, laptop, smartphone, tablet, etc. Laat dat nou vraag creëren. En vraag zal de implementatie van standaarden versnellen, partijen die ontbreken veel eerder naar de tafel brengen en als zij niet willen, anderen in staat stellen de markt te betreden met innovatieve producten die inherent veiliger zijn: secure by design, privacy by design. De rest laat men achter zich.

Internet ingenieurs en derden

Als laatste. Internet ingenieurs zorgen er al jaren voor dat het Internet werkt. Daar verdienen zij alle hulde voor. Maar, vraag ik heel voorzichtig, is de wereld in 2014 niet anders dan toen zij hun vrijwillige werk startten? De tijd lijkt aangebroken om te onderzoeken hoe zij interacties kunnen aangaan met andere partijen die verantwoordelijkheden hebben (aangemeten) op of rond het Internet en een gereed belang hebben in veiligheid. Als dit lukt, kan de technische samenwerking vruchtbaarder worden, meer rekening houden met de belangen en wensen van derden, maar bovenal de implementatie van de standaarden en best practices, die tot stand komen na veel werk, versnellen. In het belang van iedereen.

Conclusie

Als ik alles optel, liggen er legio mogelijkheden voor hen die hier in durven springen en het juiste verhaal gaan vertellen. Daarnaast moet men nog heel veel praten c.q. inventariseren, maar vooral is het noodzakelijk de box waarin men zo comfortabel converseert over de invoering van Internet standaarden en best practices (zo snel mogelijk) achter zich te laten. In die box zit de oplossing zeker niet. Wel in het inventariseren en adresseren van problemen en uitdagingen, het aangaan van nieuwe samenwerkingsverbanden en het creëren van vraag.

Over Wout de Natris

Wout de Natris is adviseur/mede-eigenaar MKB Cyber Advies Nederland.

Laatste artikelen