Naam en logo van het bedrijf staan prominent op de pakken, helmen en bolides van Formule 1-coureurs Lewis Hamilton en George Russell, maar tot voor kort had ik je niet kunnen vertellen wat voor een club CrowdStrike nu eigenlijk is.
Inmiddels wel. Met een fout in een update legde dit cybersecuritybedrijf op 19 juli wereldwijd 8,5 miljoen computers plat. Een goed uur later was de fout hersteld maar het kwaad ook nogal geschied. En was CrowdStrike in een klap een speaking name geworden. Massa’s mensen over de gehele aardbol staakten noodgedwongen hun activiteiten. Inclusief, zij het maar voor even, de medewerkers van het Mercedes-team van Hamilton en Russell dat de eerste training voor de Grand Prix van Hongarije aan het voorbereiden was.
De bug trof nog geen procent van ’s werelds Windowscomputers, verzekerde Microsoft de volgende dag. Daar zaten wel tamelijk belangrijke bij: van luchtvaartmaatschappijen en luchthavens, ziekenhuizen en nooddiensten, fabrieken, banken en hotels tot omroepzenders en websites. Op zijn website meldt CrowdStrike dat het meer dan de helft van de duizend grootste Amerikaanse bedrijven als klant heeft, acht van de tien belangrijkste financiële dienstverleners, zes van de top tien zorgverleners … En o ja, drieënveertig van de vijftig Amerikaanse staten.
CrowdStrike was in een klap een speaking name geworden. Massa’s mensen over de gehele aardbol staakten noodgedwongen hun activiteiten.
Dan heb je dus impact. Fabrieken konden niet produceren, treinen en bussen niet rijden, vliegtuigen niet vliegen, chirurgen niet opereren, financiële transacties niet worden uitgevoerd. De ironie was natuurlijk dat het bedrijf door al die belangrijke klanten wordt ingehuurd om hun IT-systemen in de lucht te kunnen houden. Bijvoorbeeld bij een ransomware-aanval. Iemand merkte gevat op dat CrowdStrike in feite het verdienmodel van cybercriminelen op z’n kop had gezet: eerst je klanten laten betalen en daarna hun systemen onbruikbaar maken.
De reden dat het op zo grote schaal misging was dat iedereen met een server inmiddels doodsbenauwd is voor gegevensgijzeling. Daarom geven organisaties CrowdStrike carte blanche om zonder omkijken beveiligingsupdates in het hart van hun systemen te pompen.
Ook publieke instellingen zijn doelwit van de cyberpenoze. De openbare bibliotheken van Rotterdam (oktober 2022) en Gouda (juni 2023) kunnen erover meepraten. Net als de Toronto Public Library en de British Library: op 28 oktober vorig jaar bleken de computersystemen van beide organisaties te zijn gecompromitteerd. Na bijna tien maanden zijn in de British Library nog niet alle systemen hersteld. Bovendien staat in Yorkshire nog altijd 262 kilometer aan boeken muurvast in de geautomatiseerde opslag.
Arre Zuurmond en keukentafelgasten in Zutphen op 20 april 2023, (screenshot)
Mocht de val van het kabinet Rutte-III begin 2021 uiteindelijk leiden tot verbeteringen in de informatiehuishouding van de overheid, dan is dat in niet geringe mate de verdienste van Arre Zuurmond. Als eigenzinnige regeringscommissaris heeft hij een flinke slinger gegeven aan het bij de tijd brengen van de bestuurlijke informatiestromen.
Hoe zat het ook alweer? Het snoeiharde rapport van de Parlementaire Ondervragingscommissie Kinderopvangtoeslag was aanleiding voor Ruttes derde kabinet om op te stappen. Dat rapport was er één in een lange reeks waarin werd gesignaleerd dat de informatiehuishouding van het rijk voor geen meter deugde. Voor iedereen was duidelijk dat de belangrijkste documenten in dit schandaal niet onvindbaar maar achtergehouden waren. Niettemin ging twintig jaar na de eerste alarmbellen dan toch iets worden gedaan aan de informatiehuishouding. Arre Zuurmond, bestuurlijk informatiekundige, oud-ombudsman van de gemeente Amsterdam en net met pensioen, werd bereid gevonden om als regeringscommissaris de verbeteringen aan te jagen.
En aanjagen deed hij. Er kwamen speerpunten, een Informatie Academie en Ontbijt- en Keukentafelsessies: gespreksrondes met (ervarings)deskundigen die plaatsvonden in openbare bibliotheken door het hele land. Zuurmonds diagnose na dit alles: we kunnen de informatiestromen binnen de overheid wel verbeteren met wéér nieuwe IT-‘oplossingen’, alleen levert dat in een bureaucratisch, verkokerd ambtelijk apparaat niet op wat we willen. Je kunt een postkoets gaan aandrijven met een benzinemotor, maar dan is het nog steeds een postkoets. Wat nodig is, is een ingrijpender organisatieverandering. Opdat de overheid een responsieve overheid wordt die naast burgers staat, niet tegenover hen.
Hetzelfde kraakheldere proza kom je tegen in wat de kers op de taart moet worden: Zuurmonds ontwerp voor een Algemene informatiewet (AI!)
Daar schemert dan toch weer even de ombudsman in de regeringscommissaris door. Zo ook in het taalgebruik in zijn notities en rapporten. Alles gesteld in Algemeen Begrijpelijk Nederlands, zonder dat aalgladde bestuurderslingo (‘borgen’, ‘vol inzetten op’, ‘toekomstbestendig’, ‘bestuurlijke ophanging’) dat overheidsinformatie zo onbegrijpelijk maakt.
Hetzelfde kraakheldere proza kom je tegen in wat de kers op de taart moet worden: Zuurmonds ontwerp voor een Algemene informatiewet (AI!). Die wet moet meer samenhang aanbrengen tussen bestaande wetten omtrent overheidsinformatie, zoals de Archiefwet, de Algemene wet bestuursrecht, de Wet open overheid, EU-richtlijnen en (niet te vergeten) de Grondwet. De concept-Memorie van toelichting besteedt ruim aandacht aan zaken waar IP-harten sneller van gaan kloppen: standaardisatie, informatiearchitectuur, een federatief datastelsel et cetera.
Omwille van een responsieve overheid dienen ambtenaren in de nabije toekomst te kunnen beschikken over een werkomgeving die is ingericht op werksoorten en niet op de organisatie. Die omgeving helpt hen te voldoen aan wetgeving over openbaarheid, privacy, beveiliging en archivering. Klinkt goed. Des te betreurenswaardiger is het dat Arre Zuurmond, wiens aanstelling al in blessuretijd verkeerde, nu om gezondheidsredenen moet stoppen met zijn goede werk. Volledig herstel is mogelijk, voegde hij er op LinkedIn aan toe. Ik hoop vurig dat dat werkelijkheid wordt, voor hemzelf en voor ’s rijks informatiehuishouding.
Deze column verscheen in Vakblad IP | Informatieprofessional, jaargang 28 nummer 4, mei 2024.
Wat geeft de doorslag? De werkelijkheid? Of onze perceptie ervan? Een van de boeken die mij als wetenschapper hebben gevormd, is The social construction of reality (Peter L. Berger en Thomas Luckmann, 1966). Daarin wordt uiteengezet dat mensen handelen op basis van hoe zij de werkelijkheid definiëren. Wie in het donker de straat niet op durft, blijft binnen, ook al is de buurt volgens politie en statistieken veiliger geworden. Vertrouw je de farmaceutische industrie niet of het opperwezen juist wel? Dan laat je vaccinaties aan je gezin voorbijgaan.
‘Kennissociologie’ heet de stroming waartoe het boek behoort. De toepasbaarheid ervan werd jaar na jaar onbedoeld aangetoond door een ruime meerderheid van de studenten die in werkstukken niet de theorie zelf reproduceerden, maar hun interpretatie ervan. ‘Iedereen leeft in zijn eigen werkelijkheid’, stond er dan. Terwijl de kennissociologie nu juist stelde dat individuele percepties voor een belangrijk deel worden bepaald door de sociale laag en de religie waarbinnen je opgroeit, en door de groepen en instituties waarin je je begeeft.
Als je wilt begrijpen waarom sommige mensen voor nieuws en informatie naar NRC.nl en de bibliotheek gaan en andere mensen naar Facebook of YouTube, komt deze benadering van pas. Ook de hardnekkigheid van veel samenzweringstheorieën wordt ermee invoelbaar. Voor de aanhangers ervan wordt het gezamenlijk verdedigen van hun werkelijkheidsbeeld noodzakelijker als de buitenwacht hen als wappies wegzet. De waarschijnlijkheid dat pogingen om het eens te worden verzanden in een welles-nietes over wie de rode en wie de blauwe pil heeft ingenomen nadert tot 1.
Je kunt je gemeenschapsgeld beter inzetten op fighting for information dan op fighting misinformation.
Pogingen om de verspreiding van mis- en desinformatie tegen te gaan, zullen dan ook weinig succes hebben, nog afgezien van de vraag of het in een open samenleving wenselijk is dat de overheid zich hiermee inlaat. In de Misinformation Review van de Harvard Kennedy School werd twee jaar geleden al aannemelijk gemaakt dat interventies die het vertrouwen in betrouwbare bronnen vergroten effectiever zullen zijn. Je kunt je gemeenschapsgeld dus beter inzetten op fighting for information dan op fighting misinformation.
Een recenter commentaar in hetzelfde tijdschrift relativeert het gevaar van generatieve kunstmatige intelligentie voor de publieke opinievorming. Ja, het is waar dat het produceren van realistisch ogende nepberichten, -foto’s en -audio een fluitje van een cent is. Ook in financiële zin: het kost bijna niets om ChatGPT, Gemini en consorten heel veel onzin te laten uitkramen. Maar omdat onze informatieverwerkingscapaciteit beperkt is, betekent dit slechts meer overaanbod dan we toch al hadden.
Mis- en desinformatie bereiken in welvarende westerse landen een kleine (maar wel luidruchtige) minderheid van hooguit vijf procent. Volgens de auteurs zouden we ons beter zorgen kunnen maken over politici en bestuurders die hun en onze werkelijkheid uit electorale motieven geweld aandoen. Of er geen actieve herinnering aan hebben.
Deze column verscheen in Vakblad IP | Informatieprofessional, jaargang 28 nummer 2, maart 2024.
Privacy & Cookies: This site uses cookies. By continuing to use this website, you agree to their use.
To find out more, including how to control cookies, see here:
Cookiebeleid