Eerder besloot de minister van Justitie en Veiligheid om dezelfde reden de antivirus-software van de Russische leverancier Kaspersky in de ban te doen. Ook andere landen vinden het niet langer verantwoord om bepaalde hard- of software te gebruiken omdat ze een veiligheidsrisico zouden inhouden.

De zorgen over China van GroenLinks en anderen zijn terecht, maar de voorgestelde oplossing illustreert een simplistische manier van denken over digitale spionage. Nog voordat er harde feiten over de kwestie boven water zijn, lijkt de politiek al de conclusie te trekken dat de veiligheid van onze netwerken niet langer aan de providers kan worden overgelaten.

Los van het dédain voor hun expertise, brengt hen dat in een zeer lastige positie. Moeten Nederland de plannen voor 5G nu in de ijskast zetten? En per direct tientallen miljoenen euro’s afschrijven op investeringen? Welke apparatuur is er als alternatief? En zijn we dan wel beschermd tegen spionage?

Alle landen spioneren

Dat landen als China en Rusland spioneren is zeker. Maar dat doen alle landen die de technische mogelijkheden daartoe hebben. Onze eigen inlichtingendiensten hebben onlangs met de nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv) de bevoegdheid gekregen om uitgebreider digitaal te spioneren. En, zoals ook de Chinese en Russische overheid doen, bedrijven opgedragen om mee te werken aan dat afluisteren. Een ding is zeker: zodra zulke bevoegdheden er zijn worden ze gebruikt, in de hele wereld.

Technisch is er weinig verschil tussen kwaadwillende hackers en inlichtingendiensten. Ze kunnen afluisteren als het ze lukt om afluisterapparatuur in een netwerk te plaatsen. Of door gebruik te maken van een onbekend lek in hard- of software, of via een bekend lek dat nog niet is gedicht. Of nu een leverancier van soft- of hardware een lek over het hoofd heeft gezien, of dat zo’n lek bewust door een hacker, een spion of een bedrijf – al dan niet in opdracht van hun overheid – is ingebouwd, het netto effect is hetzelfde: lek is lek, en data kunnen zo in verkeerde handen terecht komen.

 Gelukkig zijn de beheerders van de digitale infrastructuur verre van naïef. Zij kennen de risico’s ook en spannen zich tot het uiterste in om hun datacenters en netwerken veilig te houden.

Boycot Nederlandse datacenters?

Terechte zorgen over spionage moeten zich dan ook niet vertalen naar symboolbeleid, zoals het advies om een bepaald merk of type apparatuur te vermijden. Zonder basis in harde feiten suggereert dat eerder technologische xenofobie – het preventief verbieden van producten omdat ze uit een bepaald buitenland komen – dan verstandig omgaan met de risico’s en het beschermen van netwerken en data.

 Zulke adviezen kunnen zich bovendien ook tegen onze eigen bedrijven keren. Buitenlandse afnemers kunnen, als bekend zou worden hoe en waar de AIVD afluistert en spioneert, net zo goed beweren dat het onverstandig is om je data in Nederlandse datacenters te plaatsen.

Bedrijven hebben geen behoefte aan onwerkbare adviezen, maar aan concrete hulp. Hier ligt een essentiële taak voor de overheid. In de eerste plaats gaat het om het boven water krijgen van harde feiten, of - zeg ik met enig cynisme - het tegengaan van nepnieuws. Het is daarom verstandig dat de Tweede Kamer de minister heeft gevraagd de geruchten tot op de bodem uit te zoeken. Verder kan de overheid helpen om nog betere tegenmaatregelen te treffen voor bescherming.

De organisatie van aanbieders van mobiele netwerken GSMA riep onlangs Europese overheden op om samen met de telecomoperators een testregime te ontwikkelen voor bescherming van netwerken. Concreet zou onze overheid op korte termijn moeten investeren in een testlab om hardware en software op de pijnbank te leggen, zodat de uitrol van 5G geen onnodige vertraging op zal lopen. Verder is het verstandig om samen met het bedrijfsleven te investeren in betere detectie van ‘afwijkend netwerkverkeer’.

Dat is goed voor alle apparatuur en software in onze netwerken, ongeacht wie deze heeft gemaakt en ongeacht wie het op de data heeft gemunt. Zelfs de veiligheidsexperts van de  Britse inlichtingendienst NCSC zijn er van overtuigd dat we met zo’n due dilligence aanpak de risico’s op spionage voldoende in de hand kunnen houden. De door de US voorgestelde boycots dragen daar weinig aan bij.

schijnveiligheid dreigt

We moeten onder ogen zien dat alle hard- en software potentieel lekken kan hebben, bewust of onbewust ingebouwd. Daarom moeten we kunnen rekenen op een overheid die helpt om die risico’s te verminderen. Die geen onbewezen geruchten de wereld instuurt zonder dat er een helder handelingsperspectief is voor bedrijven, en die geen schijnveiligheid propageert door te suggereren dat het ene merk 100 procent veilig is, en het andere niet.

Een overheid die zich keihard inzet om feiten boven water te krijgen en de potentiële gevolgen van kwetsbare apparatuur en software te verminderen. Dat geeft duidelijkheid, en draagt bij aan vertrouwen in onze digitale economie. Dat is essentieel voor innovatie en onze eigen digitale concurrentiepositie.

*) Michiel Steltman is directeur van DINL, de Stichting Digitale Infrastructuur Nederland. Een versie van zijn opinieartikel werd eerder deze week geplaatst in NRC Handelsblad en NRC next