Terwijl de risico’s voor burgers en organisaties als gevolg van de groeiende mogelijkheden van IT groeien, neemt het kabinet geen adequate maatregelen en laat het nemen van maatregelen aan burgers en organisaties over. Dat blijkt niet alleen uit het te kleine budget van de Autoriteit Persoonsgegevens maar ook uit allerlei andere uitingen en acties.

Kwantumtechnologie en cybersecurity
Een heel zorgwekkende uiting kwam ik tegen in een parlementair stuk, waarin door de minister en secretaris van Justitie en Veiligheid en de minister van Rechtsbescherming vragen werden beantwoord naar aanleiding van de begroting van het ministerie van Justitie en Veiligheid.

Aan de bewindslieden werd de vraag gesteld wat de gevolgen zijn op het gebied van encryptie door de ontwikkeling van de kwantumcomputer en of deze ontwikkeling een risico is voor de (toekomstige) cyberveiligheid. Voorts werd gevraagd of het kabinet iets gaat doen om op tijd voorbereid te zijn.

De bewindslieden antwoorden dat kwantumcomputers een groot veiligheidsrisico opleveren en dat burgers en bedrijven zelf passende maatregelen moeten nemen om de eigen digitale veiligheid en weerbaarheid op orde te hebben. Organisaties moeten nu al nadenken over de gevolgen van de nieuwe risico’s, aldus de bewindslieden.

Ik vind het tamelijk schokkend: de kwantumtechnologie is hoogwaardige en gecompliceerde technologie, wat betekent dat de meeste burgers en organisaties niet in staat zijn maatregelen te nemen. Nu al is de situatie rondom cybersecurity zorgwekkend, wat onder meer blijkt uit berichten van IT-falen bij de overheid (in de private sector waarschijnlijk hetzelfde maar daar blijft het onder de pet).

De antwoorden van de bewindslieden op het ministerie van Veiligheid
Hierna citeer ik het antwoord (met markering door mij). Allereerst wordt ingegaan op de gevaren van kwantumtechnologie:

De eigenschappen van kwantumcomputers maken het mogelijk om de meest gebruikte vormen van cryptografie te doorbreken. Een aanvaller met een kwantumcomputer kan daardoor een groot deel van de versleutelde informatie die via het internet verstuurd wordt, ontsleutelen, indien de aanvaller die informatie kan onderscheppen. Daarbij geldt tevens dat mogelijk vandaag versleutelde gegevens in de toekomst met kwantumcomputers ontsleuteld kunnen worden, indien ze zijn onderschept en opgeslagen. Met een kwantumcomputer is het tevens mogelijk de betrouwbaarheid van digitale handtekeningen aan te tasten.

Om de vertrouwelijkheid van gegevens en de betrouwbaarheid van digitale handtekeningen ook na de komst van kwantumcomputers te blijven beschermen zijn daarom vormen van cryptografie nodig die bestand zijn tegen kwantumcomputers.

Als gevolg van de beschreven mogelijkheden die kwantumcomputers bieden voor het doorbreken van cryptografie kunnen cybersecurityrisico’s ontstaan voor de nationale veiligheid, maar ook voor burgers en bedrijven. Het kan hierbij gaan om de aantasting van de integriteit en exclusiviteit van kennis, informatie en systemen– mede als gevolg daarvan – om de aantasting van de continuïteit van (vitale) processen.

Vervolgens wordt geschreven over acties:

Bij digitale veiligheid hebben daarom overheid, burgers en bedrijven allemaal een taak. Zij moeten allen passende maatregelen nemen om de eigen digitale veiligheid en weerbaarheid op orde te hebben. Deze eigen verantwoordelijkheid voor digitale veiligheid geldt ook bij de opkomst van nieuwe technologieën. [1]

Het NCSC adviseert organisaties nu al na te denken over de gevolgen van de komst van de kwantumcomputer voor hun organisatie en een actieplan op te stellen dat duidelijk maakt binnen welke tijdlijn er maatregelen genomen moeten worden. [2] Gegevens die vandaag al bestaan en die ook na de komst van kwantumcomputers beschermd moeten blijven, moeten namelijk nu al aanvullend worden beschermd.

Daarnaast wordt met het oog op veilige communicatie momenteel onder leiding van de AIVD in interdepartementaal verband gewerkt aan de ‘Nationale Cryptostrategie’.

[1] Nederlandse Digitaliseringsstrategie, 2020.
[2] [link]

Dit is teleurstellend.

Mij lijkt dat met grote spoed betaalbare hulpmiddelen voor particulier en mkb moeten worden ontwikkeld, waarmee zij zich kunnen beschermen tegen de risico’s van kwantumtechnologie.

Meer informatie:

• De hierboven beschreven mededelingen van de bewindslieden op het ministerie van Veiligheid, kwam ik tegen als vraag 36 en het antwoord op die vraag in: Verslag houdende een lijst van vragen en antwoorden inzake vaststelling van de begrotingsstaten van het Ministerie van Justitie en Veiligheid (VI) voor het jaar 2021 (Kamerstuk 35570-VI), bekend gemaakt 20 november 2020, pagina Tweede Kamer site > verslag (MS Word bestand) en bijlage met tabellen (MS Word).
• Op 19 november jl. sprak de Europese databeschermingstoezichthouder Wojciech Wiewiórowski (European Data Protection Supervisor) bij de Internet Society over encryptie. Intro:

Encryption plays a vital role in increasing the overall trust in the Internet and a critical enabler for privacy and security online. Although the EU has traditionally been in favor of strong encryption, the issue of lawful access to encrypted material has recently appeared high up on EU policymakers’ agenda echoing some national initiatives in member states. For instance, the European Commission listed in its July 2020 Security Union Strategy possible solutions to tackle child pornography material which might result in introducing measures that could directly or indirectly weaken encryption.

At the same time, several ongoing EU digital initiatives, such as the Digital Services Act’s IMCO report and the ePrivacy Regulation, as well as recent CJEU rulings, emphasize the importance of end-to-end encryption to securing interpersonal communication. This webinar provided an opportunity to have a dialogue on the role of encryption in securing Europe’s digital future and the upcoming trends and challenges that might impact the use of encryption in the EU.

• In de Visie op de toekomst van de industrie in Nederland van 30 oktober jl. (via deze pagina > document) schrijft de staatssecretaris van EZK over kwantumtechnologie:

Quantum Technologie bevindt zich nog in een vroege fase van ontwikkeling. Internationale samenwerking is essentieel om de technologische uitdagingen aan te pakken – geen land of partij kan dit alleen. Nederland werkt nauw samen in Europees verband onder meer in het Flagship Quantum Technologies dat onder NL voorzitterschap is gelanceerd. Daarnaast zijn er sterke banden met Amerikaanse, Japanse en Canadese academische groepen en bedrijven. Vanwege het strategische en mogelijk dual-use karakter van de technologie, is Nederland actief om in “trusted communities” te vormen met gelijkgestemde landen. Bovenop het € 1 mrd. Quantum Flagship-initiatief is de EC van plan grote infrastructurele investeringen te doen op het gebied van quantum computing en quantumcommunicatie. EuroQCI, het Europese Quantum Communication Infrastructure initiatief, voorziet in een investering van € 3 mrd. door de EC, ESA en de lidstaten om een pan-Europees Quantum Secure Communication Network te bouwen dat uiteindelijk kan uitmonden in een toekomstig quantuminternet. Daarnaast is tijdens de State of the Union aangekondigd dat de EU oplopend tot € 8 mld. zal investeren in nieuwe generatie supercomputers incl. quantumprocessoren, uitgevoerd in de EuroHPC Joint Undertaking, met budget afkomstig vanuit DEP, CEF-2, Horizon Europe en cofinanciering vanuit de EuroHPC- leden. De prominente positie van Nederland op het gebied van kwantumtechnologie wordt wereldwijd herkend en erkend. Nederland staat op een derde plek als we kijken naar EU-financiering per onderzoeker in het veld van de quantumtechnologie; direct na Zwitserland en Oostenrijk en ruim boven landen als het VK, Frankrijk en Duitsland.

• Op 2 november jl. werd de Rapportage ICT-onvolkomenheden rijksbreed bekend gemaakt. Lees ook het BIT jaarverslag 2019. Dat geeft te denken, niet alleen over de rijksoverheid.
• In februari dit jaar werd de Nationale Agenda kwantum Technologie bekend gemaakt, lees de brief van de staatssecretaris van EZK en de Agenda. In de brief wordt niet alleen gewezen op de mogelijkheden van de technologie, maar ook op de risico’s:

Naast de kansen die kwantumtechnologie biedt, zijn er ook potentiële risico’s. Kwantumcomputers kunnen ervoor zorgen dat reguliere communicatie makkelijk te kraken zal zijn. Dit kan impact hebben op de vertrouwelijkheid van informatie en vraagt mogelijk om een andere wijze van bescherming. Nieuwe kwantumencryptie of post-quantumcryptografie wordt dan noodzakelijk. Risico’s kunnen bijvoorbeeld ontstaan rondom de aantasting van de continuïteit van vitale processen of het weglekken van vertrouwelijke informatie. (…)
Het kabinetsstandpunt inzake encryptie [4] verwoordt het belang van encryptie voor de systeem- en informatiebeveiliging van de overheid en bedrijven, en voor de grondwettelijke bescherming van de persoonlijke levenssfeer en het communicatie-geheim (het vertrouwelijke karakter van communicatie).

[4] Kamerstuk 26 643, nr. 383.

• In 2018 heeft het kabinet een Nederlandse Digitaliseringsstrategie (NDS) uitgebracht, het document is ingediend juni 2018 met een update in september 2020.
• Het NDS maakt deel uit van het dossier Informatie- en communicatietechnologie (ICT), waarin meer lezenswaardigs is te vinden.

Aanvulling 1 december 2020
Lees ook Digitaal weerbaar in tijden van quantumcomputers door het Rathenau Instituut.

Aanvulling 15 maart 2020
Steeds vaker verschijnen artikelen over de security risico’s van IT. Bijvoorbeeld We are Losing the Cybersecurity War—and AI isn’t Going to Help, hoewel het wat simpel is mensen de schuld te geven. Probleem is natuurlijk dat mensen niet slim genoeg zijn om de AI goed te maken.

Aanvulling 20 oktober 2022
Axel Arnbak 22 november 2021: Opkomst kwantumsensor vereist ingrijpen politiek