Met een gat in de dijk hebben we allemaal natte voeten

Mensen maken software. Mensen maken fouten. Daarom zitten er fouten in onze software. In ons polderland vinden we het doodnormaal dat we samenwerken om dergelijke fouten te vinden en op te lossen. Immers, voor je het weet blijkt een fout een gat te zijn. En met een gat in de dijk hebben we allemaal natte voeten.

Sebastiaan van 't Erveis een voorvechter voor een digitaal weerbare samenleving. Hij is verkozen tot IT-politicus van het jaar 2024. Tot 1 april was hij burgemeester van Lochem.Meer van deze auteur

Jarenlang bood het Common Vulnerabilities and Exposures-systeem uitkomst om ieder gevonden gat te voorzien van zijn eigen nummer. Zo konden ontwikkelaars en beveiligers wereldwijd samenwerken om de gaten zo snel en effectief mogelijk te dichten.

Eerder dit jaar ging er een schokgolf door de wereld van de digitale beveiliging. De financiering van het CVE-systeem stond op losse schroeven. Praktisch wordt het CVE-systeem georganiseerd en ondersteund door de Amerikaanse not-for-profit MITRE. Het Cybersecurity and Infrastructure Security Agency (CISA) zou echter geen subsidie meer willen verstrekken aan MITRE voor het werk waar de hele digitale wereld beter van wordt.

Geschrokken van de ophef werden de plooien snel recht getrokken en onder het mom van een administratieve omissie werd het subsidiecontract snel verlengd. Maar daarmee zijn de zorgen niet voorbij.

De discussie rond de financiering van het CVE-systeem toont opvallende gelijkenissen met de discussie over de NAVO-norm. Jarenlang heeft de Westerse wereld geprofiteerd van Amerikaanse investeringen in veiligheid; niet alleen als het gaat om defensie maar ook als het gaat om digitale veiligheid. De discussie over de NAVO-norm haalt de voorpagina’s, de discussie over het financieren van digitale veiligheid niet. Terwijl de urgentie nu groter is dan ooit. Hybride dreigingen zullen zich eerder doen gelden op het digitale dan op het klassieke militaire slagveld. We moeten onze digitale weerbaarheid ook zonder Amerikaanse steun op orde krijgen.

In Europa heeft het Europees Agentschap voor Cybersecurity, ENISA, onlangs een eigen meldpunt voor kwetsbaarheden gelanceerd: de European Union Vulnerability Database (EUVD). Hier ligt een unieke kans. Europa kan het been bij trekken en zelf organiseren dat we altijd in staat zullen zijn zorgvuldig met digitale kwetsbaarheden om te gaan. Dat is in tijden van digitale soevereiniteit een absolute randvoorwaarde. Maakdit Europese initiatief tot logisch onderdeel van het wereldwijde CVE-systeem zonder ondergeschikt te worden aan de bestaande door Amerika betaalde onderdelen. Ik hoop dat de community, het bedrijfsleven en de overheden die zich in Europa bezig houden met digitale veiligheid deze kans niet laten lopen.