Ruggengraat nodig bij spionagegeruchten

Vorig jaar mei besloot Minister van Justitie Grapperhaus om Kaspersky niet meer te gebruiken bij de overheid. Dat hebben ze helaas gemerkt. Want wie gaat er nu zaken doen met een bedrijf waar de geur van spionage en achterdeurtjes omheen hangt? Zo’n bedrijf zal na zo'n besluit bewijs uit het ongerijmde moeten leveren: dat er geen sprake is van door overheidsinvloeden gecompromitteerde software, iets wat uiteraard onmogelijk is. In de nasleep van de kwestie Kaspersky spraken politiek en overheid over de onderbouwing van het besluit. Brenno de Winter, bepaald niet iemand die zachtzinnig omgaat met bedrijven, onderzocht de kwestie en vond niets dat de vermoedens onderbouwde. De minister zelf gaf uiteindelijk toe dat een en ander niet echt gelukkig was aangepakt.

Ook bij Huawei is er nu sprake van een omgekeerde bewijslast. Het bedrijf zit net als Kasperky in de onmogelijke positie te moeten bewijzen dat vermoedens niet waar zijn. En zolang het tegendeel niet bewezen is regeert de twijfel, want waar rook is moet wel vuur zijn. Newssite Bloomberg voelde zich in die sfeer veilig genoeg om een bevinding van Vodafone uit 2012 over een onopgemerkte telnet poort te presenteren als zo’n bewust ingebouwde achterdeur. Kan een telnet poort dan niet onveilig zijn? Ja, dat kan zeker, maar het zegt niets over achterdeuren of spionage. Kwetsbare features zitten in apparatuur van allerlei fabrikanten, of ze nu uit de V.S., Europa of Azië afkomstig zijn. Barbertje moet kortom hangen, om een ander spreekwoord aan te halen.

Onbewezen geruchten

Met die berichten is de toon gezet. Het sterke gevoel dat er vast iets aan de hand is, wordt de legitimatie voor politieke en zakelijke keuzes. Supporters van zo’n beeld kunnen vrijelijk beweren dat de overheid echt wel meer weet dan wij, en vast en zeker weet wat goed voor ons allen is. In zo'n sfeer durven overheid, politiek en bedrijfsleven het nog nauwelijks aan om te wachten op de resultaten van onderzoek. Of van mening te veranderen als de bewijzen uitblijven. Zullen we voor alle zekerheid Kaspersky of Huawei toch maar niet uitsluiten, want je weet maar nooit?

Het eigenaardige is dat onbewezen geruchten of vermoedens meer impact lijken te hebben op vertrouwen dan bij een situatie waar daadwerkelijk lekken worden aangetoond. Professor Michel van Eeten van de TU Delft onderzocht enige jaren geleden de beurskoers van bedrijven die te maken hadden met grote datalekken. Zijn conclusie: zelfs bij substantiële fouten is er uiteindelijk weinig aan de hand, de koers leidt er nauwelijks onder, klanten blijven het product gewoon kopen. Kortom, bewezen fouten vergeven en vergeten we al snel maar bij onbewezen geruchten over lekken of spionage vertrouwen we het niet langer.

Meer ruggengraat nodig

Het mag duidelijk zijn wat ik daar van vind. Van bestuurders, zowel bij overheid als bedrijfsleven, mag meer ruggengraat worden verwacht. Zolang er sprake is van geruchten en vermoedens in plaats van feiten moet je aanbieders netjes behandelen. Want dat wantrouwen kan zich makkelijk tegen je keren. Iemand die geruchten over anderen als selectiecriterium hanteert moet niet raar staan te kijken als hij van de ene op de andere dag zelf ook het slachtoffer wordt van een bewering dat er iets aan de hand is. We verliezen dan uit het oog dat vertrouwen de basis is van onze digitale economie. Die bestaat uit lange en diepe ketens van nationale en internationale digitale diensten. Borgen van dat vertrouwen vereist standaarden, assurance rapportages, certificeringen en controles. En een actieve houding van de overheid - die ons van actuele dreigingsinformatie moet voorzien, en ons een helder handelingsperspectief geeft voor bijvoorbeeld het omgaan met de risico’s van spionage. Handelen op gevoel in plaats van feiten zet de bijl aan de wortel van die op vertrouwen gebaseerde economie.

Partijen die niet zomaar zwichten voor de publieke opinie zijn daarom te prijzen. Ik ken de uiteindelijke motieven niet maar dat KPN toch kiest voor Huawei voor onderdelen van haar netwerk laat in elk geval zien dat die rationele benadering een rol speelt. Daarom zijn, nu de aangevallen bedrijven zich niet kunnen verweren en degenen die de aantijgingen doen geen gas terug willen nemen uit angst voor gezichtsverlies, wij als brancheorganisaties en ook de onafhankelijke testers en auditors aan zet. Die moeten ons eraan herinneren ons verstand te blijven gebruiken, ook als de waan van de dag dat even lastig maakt.

Dat vertrouwen te voet komt en te paard kan gaan zou ons als industrie niet bang moeten maken maar ons juist aan moeten sporen om zorgvuldiger met dat vertrouwen om te gaan. In ons eigen belang.