Kryptografiske produkter og tjenester udgør fundamentet for en pålidelig digital økonomi. Kryptografiske algoritmer udvikles generelt i videnskaben og er ofte offentligt tilgængelige. Produkter og tjenester baseret på kryptografi udvikles over hele verden, hvor der kan være en høj grad af specialisering.
Hvis den hollandske økonomi skulle være afhængig af ét land eller leverandør til en vital anvendelse af kryptografi, udgør dette en risikofyldt strategisk afhængighed (RSA). Dette undersøgelse har til formål at kortlægge afhængigheder i de forskellige markedsskiver af kryptografi-værdikæden og undersøge, i hvor høj grad disse afhængigheder udgør strategisk risiko.
I undersøgelsen adskiller vi tre (marked)skiver:
- "det højtydende segment", hvor kryptografi anvendes til beskyttelse af højt klassificerede ('statslige hemmeligheder') oplysninger. Dette omfatter specifikt produkter og tjenester, som må anvendes til dette formål efter evaluering af AIVD.
- "mellemsegmentet", hvor højtydende kryptografi anvendes til specifikke formål og ofte inden for reguleringsrammer. Dette omfatter anvendelser i fx el-infrastruktur, telekommunikationsnetværk, finanssektoren osv.
- "det generiske segment", hvor hverdagsprodukter og tjenester indgår, som anvender kryptografi og benyttes af virksomheder og forbrugere. Dette omfatter applikationer som Microsoft Teams og WhatsApp.
I undersøgelsen fokuserer vi primært på "mellemsegmentet". Her er (samfunds- og økonomiske) interesser størst, og udbuddet er (muligvis) mest specialiseret. Vi ser, at reguleringsrammerne i denne sektor er den vigtigste drivkraft for valg af kryptografiske produkter og tjenester. Certificering og assurance er afgørende og giver samtidig en nyttig afgrænsning af relevante produkter og tjenester til formålet med undersøgelsen.
I Nederlandene arbejdes der på flere universiteter med højtydende kryptografiske algoritmer. Nederlandene er desuden en af de få "crypto producing nations" i NATO-forbundet. I Europa er Frankrig og Tyskland de største aktører inden for certificerede produkter. Størstedelen af produkter med europæisk højsikkerhedscertificering til vitale sektorer produceres i EU, primært i Tyskland og Frankrig. En lille del af disse produkter (ca. 5%) kommer udefra Europa, nærmere bestemt fra Sydkorea.
I det højere segment er Nederlandene begrænset afhængige af produkter og tjenester fra andre lande. Afhængigheder vurderes tidligt af AIVD. For mellemsegmentet er der afhængigheder, især når det drejer sig om "high assurance produkter" fra leverandører primært inden for EU. Dog bemærkes det, at der inden for visse produktkategorier (f.eks. databaser og adgangskontrol) ikke er eller næsten ikke er europæiske certificerede high assurance produkter på markedet. Dette kan resultere i afhængighed af primært amerikanske producenter. I mellemsegmentet ser vi, at afhængighederne er stærkt sektorspecifikke. I disse sektorer tages kryptografi (i modsætning til det højtydende segment) typisk ikke som et produkt i sig selv, men oftere som en del af et bredere produkt eller som en tjeneste. Afhængighederne er dermed på et højere niveau end kryptografiske produkter.
Ydermere bemærkes der en stor afhængighed af specialiseret personale. Resultaterne antyder, at afhængigheden af personale og viden i sektoren og blandt kunder i mellemsegmentet er større end afhængigheden af kryptografileverandører.
Endelig har Nederlandene en fremragende (akademisk) videnposition inden for kryptografi. Da mange kryptografiske algoritmer i dag er offentligt tilgængelige, medfører dette ikke afhængigheder, og videnpositionen giver heller ikke umiddelbart en fordel for mellemsegmentet. Når det kommer til certificering og assurance, er den nederlandske position ligeledes fremragende, og nærheden kan muligvis udgøre en fordel.
