De laatste tijd horen we vaak discussies over het wel of niet gebruiken van apparatuur van bepaalde leveranciers in de nationale Infrastructuur, bijvoorbeeld van het 5G netwerk. Of we horen schrikbarende voorbeelden van spionage, zoals Philips die de software van een systeem voor beveiligde communicatie op verzoek van de inlichtingendiensten bewust heeft verzwakt voor bepaalde klanten. En we weten van onder andere de Amerikaanse NSA, en de Chinese en Russische tegenhangers, dat zij actief hacken in hun eigen landsbelang. Helaas zijn deze landen ook de grootste leveranciers van apparaten waarmee infrastructuur opgebouwd wordt.
Voor de nationale veiligheid is dit een onacceptabele situatie. Het is prima dat externe bedrijven de hardware leveren, want die kan achteraf (meestal) niet worden aangepast. Maar het is onacceptabel dat dergelijke bedrijven ook de software leveren. Deze software moet namelijk regelmatig geüpdate worden, om gevonden bugs op te lossen. Maar met het zelfde gemak introduceert zo’n bedrijf een nieuwe ‘bug’ in opdracht van de overheid onder wiens wetgeving zij valt.
Een oplossing is om de hardware en de software te scheiden. Bij infrastructuur is er altijd een organisatie die de communicatie-dienst levert: een telecom organisatie. Deze organisatie koopt de apparatuur en beheert haar. Deze organisatie moet ook direct verantwoordelijk zijn voor de software die de dienst realiseert. Alleen dan valt de software onder het zelfde rechtssysteem als de dienst zelf, en kunnen we de huidige conflicten van belangen voorkomen.
De beste oplossing is om ‘Open Source’ software te installeren in de apparaten. Dat is software die door iedereen te controleren en verbeteren is, en als iemand een bug introduceert in deze software wordt dat altijd bijzonder snel ontdekt en opgelost. Deze manier van werken heeft geleidt tot de meest veilige software die momenteel bekend is. Dergelijke software bestaat al voor veel apparaten: hobbyïsten zien het als een uitdaging om Open Source software op commerciële apparatuur te installeren.
Met Open Source software hoeft de telecom organisatie niet zelf software te ontwikkelen, en kan er vertrouwd worden op de collectieve oplettendheid van de betrokken Open Source ontwikkelaars. Maar wanneer de telecom organisatie meer controle wil, is het natuurlijk altijd mogelijk om in eigen beheer, of samen met andere telecom organisaties, Open Source software te (laten) ontwikkelen.
Apparaatleveranciers houden nu hun software angstvallig Closed-Source, omdat ze zich er mee willen onderscheiden van hun concurenten. Zij zullen niet vrijwillig deze positie los laten, en zullen dus door wetgeving gedwongen moeten worden. Gezien het enorme (en groeiende) belang van de infrastructuur voor de samenleving, zal de overheid deze stap moeten nemen.
Voor de volledigheid: indien een apparaat hardware bevat die achteraf hergeprogrammeerd kan worden (FPGA’s etc), dan moet deze het zelfde behandeld worden als echte software: Open Source en onder de verantwoordelijkheid van de de telecom organisatie. Alles wat achteraf veranderd kan worden aan dergelijke apparaten moet onder de directe verantwoordelijkheid van de telecom organisatie vallen.
Mocht de politiek niet genegen zijn om deze stap te nemen, dan is er 1 alternatief: dat de EU de telecoms gaat verplichten om in de EU ontwikkelde apparaten te gebruiken, en dat de bedrijven die deze apparatuur leveren vrijwaard worden van overname door buitenlandse concurenten. Dit lijkt mij politiek nog moeilijker te verkopen dan de eis tot Open Source software. Maar het mag evident zijn dat het aan buitenlandse mogendheden overlaten van onze communicatie infrastructuur niet meer past bij de 21ste eeuw.