De Amerikaanse overheid heeft het langverwachte en fel gedebatteerde cybersecurity framework ([CSF) van standaardeninstituut NIST eindelijk gepresenteerd. Het model is een handleiding voor bedrijven om kritieke infrastructuren en daarmee ook hun klantgegevens te beschermen. Maar na felle protesten van bedrijven over het voorstel, werd gisteren een verwaterde versie gepresenteerd.

Vrijblijvend advies

Bedrijven waren niet blij met een voorgestelde bijlage waarin burgerrechten en privacykwesties uitgebreid werden behandeld. Deze bijlage is nu verdwenen en een aantal van deze punten is opgenomen in de hoofdlijn. Maar privacygroeperingen zijn niet blij met die afzwakking, want hierdoor presenteert NIST een tandeloze suggestielijst die bedrijven, zoals Re/code het verwoordt, gewoon mogen negeren.

"Het is eigenlijk een stap terug", zegt jurist Michelle Richardson van burgerrechtenorganisatie ACLU tegen politieke krant The Hill. De CSF in zijn huidige vorm stelt een aantal processen voor, in plaats van meetbare beschermingen, zoals onder meer Stuxnet-onderzoeker Ralph Langner eerder voorstelde in plaats van de CSF. Bovendien hameren deskundigen al langer op het belang van wetgeving die bedrijven verplicht hun beveiliging op orde te hebben.

Het plan van Ralph Langer hebben we eerder besproken op zustersite Computerworld. Volgens de onderzoeker valt zijn idee samen te vatten als 'gezond verstand'.

Spagaat bedrijven-consumenten

De Amerikaanse overheid worstelt met hetzelfde probleem als de Nederlandse. Aan de ene kant is er de maatschappelijke druk om consumenten te beschermen, maar door dat te doen wordt de markt mogelijk afgeremd. (Zie het debacle omtrent de cookiemuur.)

Daarom worden bedrijven tegemoetgekomen als die protesteren tegen verregaande maatregelen en wordt het probleem afgewenteld op de burger die zelf geen controle heeft. Vandaar ook vreemde adviezen van ons kabinet, zoals gisteren, om de telefoon uit te zetten om WiFi-tracking te voorkomen.