30 juli 2013

Economische aspecten van internetveiligheid

De veiligheid van het internet is afhankelijk van het gedrag van zowel de ondernemingen die verantwoordelijk zijn voor de infrastructuur, als van dat van de eindgebruikers. We laten zien dat er verschillende redenen kunnen zijn waarom deze partijen onvoldoende prikkels hebben om te investeren in cyber security.

Onder welke voorwaarden bieden markten oplossingen voor  veiligheidsproblemen en wat kan de overheid doen als markten hierin falen? Dit CPB Achtergronddocument geeft een overzicht van marktfalens die belangrijk kunnen zijn voor de veiligheid van het internet.

Er zijn ten minste drie redenen waarom vrije marktwerking niet zorgt voor een optimaal niveau van veiligheid op het internet: informatieasymmetrie, externaliteiten en marktmacht. Informatieasymmetrie treedt op in verschillende situaties. Zo zijn eindgebruikers niet in staat om na te gaan of een Internet Service Provider (ISP) zijn klanten correct informeert over zijn veiligheidprestaties. Deze onzekerheid maakt eindgebruikers terughoudend om te betalen voor de beveiliging. Voor ISP's betekent dit dat hun investeringen in cyber security hun geen voordeel geven ten opzichte van concurrenten; extra veiligheid verhoogt de kosten alleen maar.

Wanneer markten niet goed werken door informatieasymmetrie, kan de overheid ingrijpen door transparantie af te dwingen. Dit kan door bedrijven te verplichten om veiligheidsincidenten openbaar te maken, door verplichte certificering in te voeren of door minimumnormen voor veiligheid in te stellen.

Externaliteiten kunnen ook een reden zijn voor onvoldoende investeringen in veiligheid. Vaak komen niet alle baten van investeringen in veiligheid terecht bij de investeerder. Zo hebben verbeteringen in de veiligheid van de diensten van een ISP ook voordelen voor klanten van andere ISP's. Wanneer externaliteiten sterk zijn, kunnen overheden internetveiligheid bevorderen door het gebruik van veilige technologie te subsidiëren of door minimumnormen voor veiligheid in te stellen. Voor het bevorderen van het gebruik van veiligere communicatieprotocollen zijn tijdelijke beleidsmaatregelen voldoende.

Marktmacht, een derde vorm van marktfalen, kan ook leiden tot suboptimale internetveiligheid. Grote internationale netwerkproviders met slechte veiligheidsprestaties voelen nauwelijks druk van ISP's en andere peering partners om hun veiligheid te verbeteren, ze zijn ‘too-big-to-block’. Overheden kunnen in dit soort gevallen het niveau van veiligheid verhogen door minimum veiligheidsnormen op te leggen. Hiervoor is internationale samenwerking essentieel.

Een economisch perspectief op internetveiligheid is niet alleen nuttig voor het identificeren van zwakke plekken, maar ook voor het vinden van oplossingen voor veiligheidsproblemen. Inzichten uit de economie zouden best eens essentieel kunnen blijken voor een veiliger internet.

Auteurs

Henk Kox
Bas Straathof