Handelen in een onzekere wereld

In 1953 werd Nederland overvallen door de watersnoodramp. Dijken braken, land liep onder, ruim 1.800 mensen kwamen om en de maatschappelijke ontwrichting was groot. Deze ramp legde pijnlijk bloot dat de dijken die we hadden niet waren berekend op een dergelijke situatie. De reactie was navenant. Binnen een paar weken werd de Deltacommissie ingesteld. De Deltawerken volgden en er werd grootschalig geïnvesteerd in preventie, kennis en organisatievermogen.

Die investeringen in de Deltawerken wierpen hun vruchten meer dan af. Niet alleen werd de kans op een nieuwe ramp drastisch verkleind, ook groeide Nederland hierdoor uit tot een mondiale watermacht. Onze waterbouwkundige expertise werd een exportproduct en internationale delegaties bezoeken nog altijd de Deltawerken. Een crisis leidde aldus tot structurele versterking.

Quantumramp op komst?

Vandaag staan we voor een andere dreiging. Minder zichtbaar, minder tastbaar, maar potentieel zeer ontwrichtend: misbruik van quantumtechnologie, in het bijzonder van quantumcomputing. Quantumcomputers beloven doorbraken in rekenkracht en kunnen bijdragen aan onze strategische economische veiligheid. Investeringen van meer dan 600 miljoen euro via het Nationaal Groeifonds in onderzoek en innovatie zijn zichtbaar en substantieel. Nederland heeft hierdoor internationaal een sterke uitgangspositie in het quantumonderzoek verkregen.

Tegelijkertijd zijn quantumcomputers een enorme bedreiging, want ze kunnen de bestaande cryptografische beveiliging van de overheid kraken. Verschillende partijen waarschuwen al jaren voor de risico’s. Onze digitale veiligheid staat nu al onder druk van landen als Rusland en China. De urgentie van quantumveiligheid staat echter nog niet breed op de radar. De Algemene Rekenkamer constateerde in het onderzoek Focus op Quantum dat slechts een beperkt deel van de onderzochte overheidsorganisaties daadwerkelijk is begonnen met voorbereidingen op een quantumveilige toekomst.

Bewust beleid

De rijksoverheid zou er dan ook goed aan doen om een bewuster tweesporenbeleid te voeren: investeren in de ontwikkeling van kansrijke technologie én investeren in de benodigde digitale weerbaarheid. Want over dat tweede spoor is minder bekend. Welke middelen worden vrijgemaakt om overheids-IT tijdig quantumveilig te maken? Welke risicoanalyses zijn uitgevoerd? En hoe wordt prioriteit gegeven aan systemen met de grootste maatschappelijke impact? Juist daar lijkt het beeld diffuus.

Het tegenargument is bekend. We weten immers niet wanneer een grootschalige, cryptografisch relevante quantumcomputer werkelijkheid wordt. Misschien duurt het nog tien, twintig of dertig jaar. Maken we de dreiging dan niet groter dan zij is? En is het verstandig om nu al schaarse middelen te besteden aan een risico dat zich mogelijk pas op lange termijn manifesteert?

Die redenering miskent volgens mij drie wezenlijke punten.

Ten eerste kost migratie tijd. Het vervangen van cryptografische standaarden in complexe IT-landschappen is geen eenvoudige software-update. Het vergt een inventarisatie van data en systemen, het in kaart brengen van afhankelijkheden in ketens, aanpassingen aan protocollen, veel testen en dan ook nog implementatie. Zeker in de publieke sector, waar systemen vaak lang meegaan en met elkaar verweven zijn, is dit een traject van jaren. Want systemen kunnen wel 20 jaar meegaan, daardoor moet nu dus eigenlijk al rekening gehouden worden met de dreiging over 20 jaar. Wachten tot de dreiging zich concreet aandient, betekent dat men achter de feiten aanloopt.

Ten tweede is er het zogenoemde ‘store now, decrypt later’-scenario. Gegevens die vandaag worden onderschept, kunnen worden opgeslagen om later – zodra de technologie beschikbaar is – alsnog te worden ontsleuteld. Voor informatie met een lange vertrouwelijkheidstermijn, zoals staatsgeheimen of gevoelige persoonsgegevens, is de dreiging dus niet toekomstig maar actueel.

Ten derde is er consensus onder partijen als de AIVD, NIST en de NSA dat tijdige voorbereiding noodzakelijk is. Cryptografie-experts benadrukken dat de overstap naar post-quantumcryptografie onvermijdelijk is. Het debat gaat niet over óf, maar over wanneer en hoe snel. Juist omdat onzekerheid bestaat over de exacte tijdslijn, pleiten deskundigen voor een geleidelijke maar voortvarende transitie.

Robuuste infrastructuur

De opkomst van kunstmatige intelligentie heeft laten zien hoe snel een technologie doorbreekt en hoezeer beleid en toezicht achteraf moeten bijsturen. AI is ons in zekere zin overkomen. Bij quantum is er nog ruimte om vooruit te kijken. Dat vraagt om regie: inzicht in risico’s, duidelijke prioriteiten en samenhang tussen investeringen in innovatie en beveiliging.

De vergelijking met de Deltawerken is geen retorische overdrijving. Sinds 1953 heeft Nederland geen vergelijkbare watersnoodramp meer meegemaakt. De kans op zo’n storm is wel aanwezig, maar klein. Toch investeren we jaarlijks honderden miljoenen in onderhoud en versterking van onze waterkeringen. Niet omdat de dreiging dagelijks zichtbaar is, maar omdat het gevolg van falen onaanvaardbaar groot zou zijn en grote impact zou hebben op de samenleving.

Onze digitale infrastructuur is inmiddels net zo vitaal als onze fysieke waterkeringen. Zonder betrouwbare digitale beveiliging functioneren cruciale overheidsprocessen niet meer naar behoren. Robuuste digitale sluizen zijn daarbij een voorwaarde voor een weerbare rechtsstaat.

De les van 1953

Dat betekent niet dat alles tegelijk moet. Middelen zijn beperkt en prioriteiten noodzakelijk. Maar het begint met een systematische risicoafweging. Welke data en welke systemen zijn cruciaal? Welke gegevens moeten langdurig beschermd blijven? Welke migratietrajecten vergen de meeste tijd? Niet alle risico’s zijn overal en meteen even urgent. Zonder dat inzicht varen we op de tast. Ter vergelijking: de watersnoodramp is voor Limburg niet relevant geweest, daar bouwen we geen Deltawerken, maar daar zorgen de rivieren voor risico’s.

Handelen in een onzekere wereld vraagt niet om paniek, maar om voorbereiding. De les van 1953 is niet dat elke dreiging zich onmiddellijk zal materialiseren. De les is dat wachten tot na de ontwrichting kostbaarder is dan tijdig investeren in preventie. Wie strategische veiligheid serieus neemt, kijkt vooruit – ook als de storm nog niet aan de horizon zichtbaar is.

Ewout (drs. E.) Irrgang is lid van het college van de Algemene Rekenkamer sinds 1 september 2017. Daarvoor werkte hij onder meer bij de stichting PharmAccess en was hij lid van de Tweede Kamer namens de SP.