Opinie

Cyberaanvallen: een gouden kans voor techreuzen om hun rijk te vergroten

Als softwarebedrijven kunnen verdienen aan de beveiliging van hun eigen software tegen aanvallen zoals WannaCry, biedt dat perverse mogelijkheden tot zelfverrijking, betoogt . Nationale overheden doen niets om die belangenverstrengeling aan te pakken, integendeel.

Foto Ritchie B. Tongo / EPA

De enige duidelijke winnaar van de wereldwijde, door WannaCry veroorzaakte computeruitval, is uitgerekend het bedrijf waarvan de software ondeugdelijk bleek: Microsoft. Dit toont wel aan hoe pervers onze afhankelijkheid van de Amerikaanse technologiereuzen is.

Microsoft, het bedrijf dat de verantwoordelijkheid voor de gebreken van zijn producten altijd probeert te bagatelliseren, pleitte ook al vóór de uitbraak van WannaCry om het digitale equivalent van de Conventies van Genève in te voeren. Dat zou burgers beschermen tegen cyberaanvallen door nationale staten. Tegelijkertijd zouden ook grote technologiebedrijven een aanzienlijke verantwoordelijkheid krijgen toebedeeld om de online-veiligheid te waarborgen.

Brad Smith, die als bestuursvoorzitter bij de inspanningen van Microsoft in dit verband vooropgaat, heeft de techsector zelfs met het Rode Kruis vergeleken. „Zoals de vierde Conventie van Genève erkende dat de bescherming van burgers de actieve betrokkenheid van het Rode Kruis vereiste”, schreef hij in februari op het bedrijfsblog, „zo vereist de bescherming tegen cyberaanvallen door nationale staten de actieve hulp van technologiebedrijven.”

Na de ophef over WannaCry – de golf cyberaanvallen waardoor overal ter wereld publieke en particuliere instellingen werden lamgelegd die op Windows-software draaiden – heeft Microsoft zijn retoriek verder opgevoerd. Smith en vele anderen eisen dat overheden nu onmiddellijk ingrijpen.

Maar in die eis klinkt ook iets onoprechts door. Want in feite vraagt Microsoft om meer verplichtingen en verantwoordelijkheden via internationale wetgeving – en welk bedrijf wil nu vrijwillig dat zijn mondiale operaties aan meer regels worden onderworpen?

Techbedrijven in slachtofferrol

De redenen voor deze humanitaire geestdrift, die het handelsmerk van de technologie-industrie is geworden, zijn echter nogal doorzichtig. Allereerst is het een brede publiciteitscampagne om cyberaanvallen voor te stellen als onvermijdelijk, als een natuurverschijnsel. Of op zijn minst als iets waarvoor alleen nationale staten verantwoordelijk zijn. Volgens deze logica zijn de technologiebedrijven slechts het slachtoffer van geavanceerde hack-aanvallen, die het werk zijn van de genieën van de inlichtingendiensten.

Voor deze redenering is eigenlijk weinig reële grondslag. Technologiereuzen als Microsoft hebben zoveel marktmacht – niet in het minst dankzij hun uitgebreide intellectuele eigendomsrechten – dat ze amper in een concurrerende marktomgeving opereren. Daarmee verdwijnt dus algauw elke prikkel om hun software zo veilig mogelijk te maken, om regelmatig updates uit te voeren, om bijtijds te stoppen met verouderde en ondeugdelijke producten, enzovoort, enzovoort.

Deze bedrijven zijn lui en vadsig. Het zijn renteniers die hun status rechtvaardigen met verheven gezwam over ‘disruptie’ en ‘innovatie’. Om maar te zwijgen van het feit dat ze, anders dan bij open source-software, de broncode van hun software geheimhouden. Dat maakt het ook nog eens onmogelijk om deze echt te onderzoeken op eventuele lekken en gebreken.

Maar zij moeten ons juist beschermen

Ten tweede is er geen enkel teken dat deze digitale Conventies van Genève onderschreven zouden worden door de Verenigde Staten – het land waar de overheid het meest geavanceerde en uitgebreide hack-apparaat ter wereld heeft.

Tenslotte weigerde dit land ook een aantal kernprotocollen van de oorspronkelijke Conventies van Genève te ratificeren. Maar ook al zou de regering van Donald Trump ze onderschrijven – wat een wonder zou zijn, want uit alles blijkt dat de Amerikaanse president nogal een sterke afkeer van multilaterale verdragen heeft – dan zijn er weinig redenen om te geloven dat de NSA of de CIA zich er ook aan zouden houden.

In de derde plaats: hoe moeten we Microsofts oproep om regelgeving precies begrijpen? De crux is dat de complexiteit van moderne cyberaanvallen zo enorm is geworden, dat de enige partijen die ons ertegen kunnen beschermen Google, Facebook en Microsoft en hun soortgenoten zijn.

Zelfs doorgewinterde beveiligingsexperts – fans van internetactivist Richard Stallman die tegen ieder die het wil horen de zegeningen van gratis software prediken – erkennen nu dat we bij de meeste cyberaanvallen misschien wel veiliger af zijn met de commerciële diensten van de technologiereuzen dan met, zeg, het runnen van onze eigen e-mailservers (een les die ook Hillary Clinton heeft geleerd).

Vrij spel voor Silicon Valley

Kunstmatige intelligentie en zelflerende systemen gaan steeds meer bepalen wat wel en geen spam is, of wat als een kwaadaardige aanval geldt. Dan spreekt het vanzelf dat degene die deze cruciale middelen beheert ook de belangrijkste dienstverlener zal zijn. Op dit vlak is er vrijwel geen concurrentie voor de grote Amerikaanse technologiebedrijven, ook al proberen enkele Chinese bedrijven een inhaalslag te maken. Zij het zonder veel succes, want de strijd behelst ook een mondiale jacht op talent en data, die immers nodig zijn om de systemen voor ‘machinaal leren’ te trainen.

Hoe hebben Amerikaanse bedrijven deze superbe capaciteit op het gebied van kunstmatige intelligentie ontwikkeld? Deels hangt dat samen met de erfenis van de Koude Oorlog en de omvangrijke overheidsfinanciering die daarvan het gevolg was. Maar het hangt ook samen met de bijzondere aard van de bedrijfsmodellen, die profiteren van de Amerikaanse nadruk op liberalisering van de wereldwijde handel in diensten en het opheffen van barrières voor een vrij dataverkeer.

Die modellen zijn genadeloos in hun eenvoud: bedrijven als Google en Facebook verlenen vrij triviale diensten als een zoekmachine of e-mail, die ze betalen uit reclameinkomsten. Daarna benutten ze de vergaarde gebruikersgegevens om niet-triviale producten en diensten te ontwikkelen, zoals zelfrijdende auto’s of medische software die vroegtijdig ziekten kan diagnosticeren.

Door de concentratie van de kostbaarste hulpbron van de nieuwe eeuw in Silicon Valley – kunstmatige intelligentie – wordt het bijna onmogelijk de Amerikaanse bedrijven de voet dwars te zetten. En zij krijgen zo steeds nieuwe mogelijkheden zichzelf te verrijken.

Monopolistische zelfverrijking via ‘diensten’

Wat betreft de internetveiligheid en de digitale Conventie van Genève is de strategie van Microsoft duidelijk: zodra nationale staten deze officieel erkennen als de digitale evenknie van het Rode Kruis, zouden hieruit ook lucratieve beveiligingscontracten moeten voortkomen – alles uiteraard tegen een fikse vergoeding.

Zo kan Microsoft bij zijn gebruikers niet alleen een vergoeding voor het gebruik van zijn software opstrijken, maar ook voor de bescherming van diezelfde Microsoft-software die ze al van het bedrijf huren (‘gebruikslicenties’ hebben het kopen van software vervangen; alles blijft eigendom van de software-exploitanten.)

De belangenverstrengeling wordt op die manier verbijsterend: hoe onveiliger de software van Microsoft, hoe groter de vraag naar zijn beveiligingsdiensten om deze te beschermen! Erger nog, in plaats van dat overheden zulke tegenstrijdige belangen beteugelen, maken ze die alleen maar erger. Ze staan toe dat de technologiebedrijven hun inlichtingendiensten als zondebok aanwijzen. Bovendien creëren ze een secundaire markt voor cyberwapens, waarmee kleine criminelen vervolgens de gewone bevolking angst en vrees aan kunnen jagen. Geen wonder dat er flink wat mensen zouden kunnen zijn die de invoering van een soort digitale Conventie van Genève eisen. Want de verschrikkingen die de overheid en industrie in innige samenwerking aanrichten, zijn gewoon te pijnlijk om te verdragen.

Cybersecurity-als-dienstverlening laat volmaakt zien hoe de toezichtseisen van moderne overheden – met de Verenigde Staten voorop – technologiebedrijven bijna oneindige mogelijkheden geven om aan monopolistische zelfverrijking te doen. Telkens als we lezen dat iets als dienst wordt aangeboden – zoals ‘de cloud als dienst’ of ‘mobiliteit als dienst’ – dan is het vrijwel altijd een ordinair eufemisme voor gelegaliseerde zelfverrijking met een groot technologiebedrijf als tussenpersoon.

Dankzij digitalisering en automatisering is het duidelijk dat de meeste toekomstige diensten zullen worden aangeboden door de eigenaars van de data – en de geavanceerde kunstmatige intelligentie die hiermee is opgebouwd. Ze mogen dan misschien de waarden van broederliefde, decentralisatie en hippiedom prediken, maar de nieuwe reuzen uit Silicon Valley zijn gewoon de jongste generatie renteniers. Ze zullen veel eerder een rem op de rest van de economie zetten, dan dat ze de oneindige digitale overvloed brengen die ze beloven.