Het grote publiek onderschat de ernst van de ramp die ontstaat als de ict het laat afweten in bijvoorbeeld het bankwezen, de energiesector of de logistiek. De kans op zo’n ramp is gering. Dat ontslaat overheden en bedrijven echter niet van hun plicht die kans nog veel kleiner te maken.

Hackers hebben al een paar keer voor grote onrust gezorgd. We kunnen die aanvallen niet voorkomen, maar wel zorgen dat hackers het systeem niet binnendringen.

Parallel aan de opbloei van internet is de internetcriminaliteit fors gegroeid. Nu vrijwel elke computer via internet toegankelijk is, loont het voor digitale inbrekers de moeite om van alles in het werk te stellen om computers binnen te komen.

Dat heeft al een aantal keren tot geruchtmakende inbraken geleid. Zo kwamen –vermoedelijk Iraanse– hackers in het systeem van DigiNotar. Dit bedrijf verzorgt beveiligingscertificaten voor DigiD, het systeem waarmee burgers elektronisch toegang hebben tot overheidssites en de Belastingdienst. Ook de inbraken in de systemen van Sony en recent nog KPN trokken de aandacht.

Gegevens van burgers blijken geregeld op straat te liggen. Dat is ook een groot probleem, maar nog niet eens de grootste dreiging. Het grootste probleem zijn zaken als het betalingsverkeer, het goederenvervoer of de energietoevoer. Als die worden afgesneden, is de omvang van de ramp niet te overzien.

Een belangrijke oorzaak van het probleem ligt in de zogeheten cloudcomputing. Dat betekent dat verschillende opdrachtgevers bij een derde bedrijf bepaalde diensten inkopen, bijvoorbeeld databeveiliging. Een logische ontwikkeling; door schaalvergroting kun je goedkoper werken. Vaak besteedt dat derde bedrijf delen van dat werk uit aan weer een ander bedrijf, en dat weer aan een volgende. De vraag is: hoe beveilig je je tegen hackers als die diensten elkaar aanroepen?

Door deze verticalisatie worden de afhankelijkheden steeds groter. Niemand weet meer precies hoe de verknoping van diensten in elkaar zit. Dat biedt ruimte voor acties van hackers, al dan niet met opzet. Miljoenen mensen maken er een spelletje van, en soms kan er een raak schieten.

Zo’n ramp hoeft overigens niet eens door hackers veroorzaakt te worden. Het kan ook een ongelukje zijn. Zo heeft betalingssysteem iDEAL er een aantal keren uit gelegen. En DigiNotar kwam een paar jaar geleden voor het eerst in het nieuws, toen DigiD in maart twee weken plat lag. Dat werd niet veroorzaakt door een aanval van hackers maar door een knullige administratieve fout: een contract dat niet tijdig werd verlengd. Deze nalatigheid was de oorzaak van een probleem waar 5 miljoen belastingbetalers mee werden geconfronteerd.

Om problemen te voorkomen, moeten we cruciale systemen misschien loskoppelen van internet. Zoals er ook een telexnetwerk is dat nog altijd functioneert naast het telefonienetwerk. Wat je wilt, is een intrinsiek veilig systeem. Een systeem dat altijd kan terugschakelen naar een veilige situatie.

Dat kan bijvoorbeeld met het zogenaamde Swiftnetwerk, waar het interbancaire verkeer op plaatsvindt. Ook Defensie heeft een geheel gescheiden netwerk. Het nadeel is dat je niet altijd gebruik kunt maken van de technologie die internet biedt.

Het is tijd om de zorgeloze mentaliteit met betrekking tot de veiligheid van ict-systemen te veranderen. Soms is er eerst een ramp nodig voordat risico’s onderdeel worden van het collectieve bewustzijn. Denk aan de zorgen die mensen sinds de ramp in Fukushima hebben over de gevaren van kerncentrales.

Wat mij betreft zijn we net zozeer op onze hoede voor rampen als gevolg van het falen van ict-systemen. Dit probleem moet op de maatschappelijke agenda komen. Er is beter wetenschappelijk onderzoek nodig. Overheden en bedrijven dienen meer te investeren in het risicomanagement van hun systemen. Het kan beslist veiliger dan het nu is.

Het kost een paar centen, maar dan is Nederland op dit gebied internationaal ook leidinggevend. Of het nu gaat om energie, logistiek, betalingsverkeer of gezondheidszorg; er is een kans op een grote ramp. Een kleine kans weliswaar, maar die kans kan nog veel kleiner.

De auteur is hoogleraar informatiemanagement aan de Rijksuniversiteit Groningen.