Internetstandaarden en implementatie

Op het ecp jaarcongres van 2014 werd een sessie geweid aan Internetstandaarden onder leiding van Gerben Klein Baltink, de kwartiermaker namens de Nederlandse overheid van het Platform Internetstandaarden. De drie panelleden spraken over (succesvolle) implementatie van standaarden, bijvoorbeeld om het mailverkeer veiliger maken en phishing e-mails tijdig te onderscheppen.

Hoe druk het ook was op het jaarcongres en hoe goed de individuele tracks ook bezocht werden, de zaal over standaarden wilde zich niet vullen. Die ervaring had ik zelf tijdens het laatste Internet Governance Forum, waar ik namens ecp en het Ministerie van Economische Zaken een workshop leidde onder de titel ‘The impact of (non-)adoption of Internet standards on cyber security’. Ondanks dat Internet standaarden (en best practices) veel besproken zijn op conferenties en andere bijeenkomsten, wil het met de urgentie niet vlotten. Is hier een reden voor aan te wijzen?

Enkele Observaties
Ik zal niet pretenderen dit antwoord te kunnen geven, wel heb ik een paar observaties die ik wil delen.

Te duur?

Het argument: “het kan niet, maar als het moet, dan is het heel moeilijk en vooral heel duur” is vaak gebruikt door telco’s die niet mee willen in veranderingen of bestaande belangen verdedigen. Toch zit hier waar het gaat om grootschalige veranderingen als gevolg van een nieuwe Internet standaard een kern van waarheid in. Wat daar nog bij komt, is dat er vaak geen business case aanwezig is. Sterker, er lijkt/is sprake van een first mover disadvantage. Internet standaarden voer je in voor het grote geheel, niet zo nodig jouw bedrijf (alleen). Degene die als enige of eerste een standaard invoert, maakt kosten die andere partijen dus niet hebben. Die kosten zijn soms niet gering. Off the record willen bedrijven daar best een inkijkje in geven. Bijvoorbeeld, het invoeren van IPv6 brengt zeer hoge kosten met zich mee en het verdient zich als zodanig nauwelijks terug.

Markt falen?

Het Ministerie van Economische Zaken benoemde dit zeer stellig in Istanbul op het IGF: “er is sprake van markt falen”. Zover wil ik zelf nog niet gaan, maar er is zeker iets wat marktpartijen weerhoudt van een vlotte implementatie. Een voorwaarde om vooruit te gaan is dan ook te achterhalen wat dat “iets” is. Als dit niet wordt achterhaald, praten we over tien jaar nog voor half lege zaaltjes. Zodra dat iets is benoemd, kunnen er maatregelen getroffen worden die de belemmeringen wegnemen.

Afwezigheid

Wat mij ook opvalt, is dat de partijen om wie het draait, denk hier aan Internet Service Providers, telco’s, maar zeker ook soft- en hardwarefabrikanten, appbouwers, Internetplatformen, niet altijd aanwezig zijn bij deze bespreken en als ze er zijn, beslist niet het achterste van hun tong laten zien. Veruit de meeste partijen zijn nog nooit aangesproken. Toch zijn zij nodig voor de implementatie. Sterker, zonder hen gaat dat niet. Kortom, hier zit de eerste winst. Breng aan tafel wie aan tafel moest zitten. Daar begint de inventarisatie van uitdagingen.

De afwezige business case

“Het ontbreekt aan een business case”. Als dat de reden is dat er geen implementatie plaatsvindt, dan is dat snel te verhelpen. Simpelweg als grote partijen er naar gaan vragen. “Wij willen IPv6”. “Wij willen veilig kunnen e-mailen, internetten, een wifiverbinding opzetten”, etc. De overheid zou hier als katalysator kunnen optreden, al dan niet in samenwerking met een aantal grote partijen die gebaat zijn bij een veiliger Internet. Denk bijvoorbeeld aan de financiële sector. Vlak de consument niet uit. Gerichte campagnes met belangenorganisaties kunnen ook een groot verschil maken. Denk aan de Consumentenbond, de HCC, VNO/NCW, branche organisaties, etc. Vraag is een grote stimulus.

Kansen MKB?

Die business case ontbreekt op de korte termijn misschien bij grote bedrijven. Maar hoe zit dat bij kleinere bedrijven? MKB’ers die een nichemarkt bedienen en juist kunnen scoren op een grotere veiligheid? De signalen die ik tot op heden opvang, zijn nog niet bemoedigend. Toch liggen her kansen voor het midden- en kleinbedrijf om klanten binnen te halen, door een veiligere omgeving te creëren waarbinnen hun klanten online diensten kunnen afnemen.

Veiligheid kost geld?

Hoe zit het dan met veiligheid? Kapitalen geeft de overheid momenteel uit aan “cyber”. Hoe zit dat nu echt?, vraag ik me dan af. De tijd dat iedereen voor een dubbeltje op de eerste rang zit bij het Internet moet maar eens voorbij zijn. Veiligheid kost geld. Voor jou, voor mij, voor het bedrijfsleven, de overheid, organisaties, etc. Het besef moet gaan indalen dat het Internet net is als het gewone leven. We vinden het heel normaal een extra slot voor onze fiets te kopen, maar niet voor ICT. “Dat begrijpen wij niet”. Juist dat moet ook zo gaan worden voor de pc, laptop, smartphone, tablet, etc. Laat dat nou vraag creëren. En vraag zal de implementatie van standaarden versnellen, partijen die ontbreken veel eerder naar de tafel brengen en als zij niet willen, anderen in staat stellen de markt te betreden met innovatieve producten die inherent veiliger zijn: secure by design, privacy by design. De rest laat men achter zich.

Internet ingenieurs en derden

Als laatste. Internet ingenieurs zorgen er al jaren voor dat het Internet werkt. Daar verdienen zij alle hulde voor. Maar, vraag ik heel voorzichtig, is de wereld in 2014 niet anders dan toen zij hun vrijwillige werk starten? De tijd lijkt aangebroken om te onderzoeken hoe zij interacties kunnen aangaan met andere partijen die verantwoordelijkheden hebben (aangemeten) op of rond het Internet en een gereed belang hebben in veiligheid. Als dit lukt, kan de technische samenwerking vruchtbaarder worden, meer rekening houden met de belangen en wensen van derden, maar bovenal de implementatie van de standaarden en best practices, die tot stand komen na veel werk, versnellen. In het belang van iedereen.

Conclusie

Als ik alles optel, liggen er legio mogelijkheden voor hen die hier in durven springen en het juiste verhaal gaan vertellen. Daarnaast moet men nog heel veel praten c.q. inventariseren, maar vooral is het noodzakelijk de box waarin men zo comfortabel converseert over de invoering van Internet standaarden en best practices (zo snel mogelijk) achter zich te laten. In die box zit de oplossing zeker niet. Wel in het inventariseren en adresseren van problemen en uitdagingen, het aangaan van nieuwe samenwerkingsverbanden en het creëren van vraag.

Wout de Natris, De Natris Consult

Leiderdorp 21 november 2014

Advertisements

About Wout de Natris

As a consultant I specialise in establishing new and different relationships between industry, governments and law enforcement where internet safety and the fight against cyber crime are concerned. This makes me a bridge builder. Hence the blogs name. In this blog I intend to stress the need for interaction, cooperation and exchange of information in order to change the mentioned relationships. On offer: a comprehensive training on all non-technical aspects of spam enforcement and a cyber awareness presentation for companies and institutions
This entry was posted in International cooperation: IP resources, Internet governance, Internet standards;, Self regulation and tagged . Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s