Tijdens het virtuele Internet Governance Forum van de Verenigde Naties van november 2020 is een Dynamische Coalitie opgericht met één helder doel: er voor zorgdragen dat bestaande op veiligheid gerichte Internet standaarden en ICT best practices hun volledige rol gaan spelen in het veiliger maken van het Internet, ICT en IoT; zoals ze zijn bedoeld. Dit is mogelijk als deze standaarden en best practices breed worden geïmplementeerd op een zo kort als mogelijke termijn, op een neutrale manier, ten bate van alle gebruikers. De Dynamic Coalition Internet Standards, Security and Safety (DC-ISSS) zoekt werkgroep leden.
Het DC-ISSS programma gaat: 1) kritieke vraag en aanbod bij elkaar brengen ten einde een business case voor veilige ICT en IoT te creëren; 2) voorstellen doen voor de beste opties voor de deployment van standaarden en best practices aan beide zijden, vraag en aanbod, te realiseren; en 3) de uitkomsten actief uitdragen zodat de theorie en de praktijk van veiligheid, ook in het onderwijs, dichter bij elkaar worden gebracht.
In het eerste jaar heeft de DC-ISSS daartoe drie werkgroepen opgericht:
1) Security by design – Internet of Things;
Deze werkgroep focust zich op de huidige initiatieven in de wereld en buigt zich over de vraag of hier één best practice uit gedistilleerd kan worden. Daarnaast focust het op de vraag: hoe kan het gat van de bestaande theorie van veiligheid en de onveilige, dagelijkse praktijk gedicht worden?
2) Education and skills;
Vanuit de maatschappij, wereldwijd, komt een sterk signaal dat huidige ICT (gerelateerde) opleidingen, op alle niveaus, onvoldoende aansluiten bij de eisen die de maatschappij aan kennis van digitale veiligheid en Internet architecture stelt. Hoe kan dit worden veranderd en wat en wie zijn daar voor nodig?
3) Procurement and supply chain management
Uit onderzoek blijkt dat op het gebied van digitale veiligheid er sprake is van een tragedy of the commons. Uiteindelijk voelt niemand zich (afdoende) verantwoordelijk voor een veiliger ICT-omgeving. Tevens is er momenteel vrijwel geen business case voor digitale veiligheid en daarmee geen level playing field, die veiligere producten afdoende beloont. Snellere deployment op vrijwillige basis kan alleen tot stand worden gebracht door een dwingende vraag naar veilige ICT-producten en -diensten. Grote organisaties, publiek en privaat, moeten hier aan de basis gaan staan. Als deployment van Internet standaarden en ICT best practices door hen wordt geëist, zal het niet alleen gemeengoed worden voor iedereen, daarmee is de business case gecreëerd. Deze werkgroep gaat hier voorstellen voor doen.
Noodzaak tot een andere aanpak
Er zullen weinig mensen actief zijn in Internet, ICT en IoT veiligheid die overtuigd moeten worden van de noodzaak tot betere digitale beveiliging van producten en diensten, bij voorkeur by design. Het gros van de Internet gebruikers voelt deze noodzaak minder of begrijpt de urgentie onvoldoende. Bij hen staat de werkzaamheid van de producten die zij aanschaffen en de diensten die zij afnemen voorop. Dit neemt de noodzaak voor veiligheid voor hen en de maatschappij als geheel niet weg. Vergelijk het met de aanschaf van een auto of koelkast of het boeken van een vliegreis. Standaarden waarvan de gemiddelde gebruiker geen weet of verstand heeft, zijn by design zijn ingebouwd. Dit kan vrijwillig, door peer of maatschappelijke pressure of door wetgeving zijn gebeurd.
De DC-ISSS kijkt vooralsnog naar de mogelijkheden standaarden vrijwillig in te bouwen, al dan niet via druk vanuit de maatschappij. Deze druk moet worden gevoeld door hen die besluiten nemen op het gebied van veiligheid: de leidinggevenden die besluiten tot inkoop en zij die besluiten tot het inbouwen van veiligheid.
Sommige Internet standaarden, bijvoorbeeld DNSSEC, DMARK, RPKI, TLS en HTPPS, bestaan al vele jaren, andere korter. Hetzelfde geldt voor best practices zoals voor het bouwen van websites of het veiliger ontwerpen van software. Alle hebben twee zaken gemeen: de deployment is vrijwillig en de uitrol verloopt uitzonderlijk langzaam.
Toekomst
Zodra deze voorstellen aan de wereld zijn gepresenteerd, moet er een actieprogramma zijn waarbinnen de resultaten actief worden uitgedragen. Hiervoor moet door middel van intensieve outreach draagvlak voor zijn verkregen bij die organisatie die een verschil kunnen maken. Daartoe kent de DC-ISSS een programma onderdeel dat als doel heeft het tot stand brengen van samenwerking op verschillende niveaus, nationaal en internationaal.
Tevens zullen andere werkgroepen gaan starten, die de druk vanuit de maatschappij gaan verhogen. Hierbij moet aan actieve betrokkenheid van consumentenorganisaties, media, toezichthouders, etc. gedacht worden.
De DC-ISSS kan alleen functioneren door samenwerking. Daarvoor zoeken wij experts die bereid zijn binnen de werkgroepen samen te werken om een advies tot stand te brengen. Deelnemers die willen samenwerken om de doelstellingen van de DC-ISSS verder uit te dragen en draagvlak voor de uitkomsten te creëren. Mensen die in staat zijn om op het juiste moment een deur te openen via een introductie.
Geïnteresseerden zijn van harte welkom om zich aan te sluiten. Dit kan via de DC-ISSS page op de IGF website (https://www.intgovforum.org/multilingual/content/dynamic-coalition-on-internet-standards-security-and-safety-dc-isss).
Daarnaast is funding nodig dat specifiek onderzoek mogelijk maakt en dat zorgt draagt voor een optimaal functionerend secretariaat. Dat laatste gaat ook zorg gaan dragen voor draagvlak in alle werelddelen. De eerste stappen daartoe zijn gezet in de vorm van presentaties. Velen gaan volgen.
