Amerikaanse politici buitelen over elkaar, iedere met een eigen wetsvoorstel om de cybersecurity niveau van het land te verbeteren. De redenen daarvoor zijn algemeen bekend. Het meest recente voorstel van twee senatoren heeft als doel federale ambtenaren te verplichten cybersecurity trainingen te volgen. Bij nadere bestudering is dat best een interessant wetsvoorstel.
De snelheid waarmee politici in Washington op dit moment plannen lanceren om het cyberdomein veiliger te krijgen is onvoorstelbaar hoog. Het tempo is vanaf de SolarWinds hack al omhoog gegaan. Met de ransomware besmetting van Colonial Pipeline kwam er nog een tandje bij en sinds dit weekend zorgt Kaseya nog eens voor een acceleratie.
Verplichte trainingen
Een deel van de wetsvoorstellen is duidelijk alleen voor de bühne bedoeld en verdient verder geen aandacht. Het meest recente voorstel voor wettelijke verplichte trainingen heeft een paar interessante componenten, die wellicht ook voor Nederland nuttig kunnen zijn.
Twee senatoren willen bereiken met nieuwe wetgeving is dat kennis van inkopers van IT omhoog gaat. De trainingen moeten er toe leiden dat ze beter kunnen doorvragen tijdens het aanschafproces van zowel hardware als software. Ze moeten zo kunnen achterhalen hoe de keten eruit zien waar de aanbieder deel van uitmaakt.
Aanscherping inkoopproces
Zo te zien is dit een aanscherping van een standaard inkoopprocedure of aanbestedingen. Dat de Amerikaanse overheid daar behoefte aan heeft is duidelijk. Tegelijk zou een dergelijke verplichting ook de IT aanbieders helpen. Het helpt immers het kaf van het koren te scheiden. Kiezen voor de aanbieder met de laagste prijs wordt dan minder waarschijnlijk, omdat die partij eigenlijk onmogelijk deel kan uitmaken van een robuuste keten. Dit wetsvoorstel is verder bedoeld om naast andere wetten over cybersecurity te bestaan. De indieners verwijzen bijvoorbeeld daar de opdracht van de president audits voor software vendors als SolarWinds te verbeteren.
Meer IT kennis bij de inkopers
Natuurlijk bestaat de kans dat deze regels gaan leiden tot meer lijstjes met voorwaarden die vluchtig worden bekeken. Aan de andere kant dwingt het de vraag- en aanbodzijde het zwaar onderschatte risico van lange en deels onduidelijk ketens (supply chains) onder ogen te zien. Daarom is het ook verwarrend dat het wetsvoorstel spreekt over cybersecurity trainingen. Het gaat meer over inkopen op basis van IT kennis. Inkopers het IT kennis die kritische vragen kunnen en moeten stellen om tot de veiligste oplossing te komen zouden ook in Nederland zeer welkom zijn.