Kryptografiske produkter og tjenester utgjør grunnlaget for en pålitelig digital økonomi. Kryptografiske algoritmer utvikles vanligvis innen vitenskapen og er ofte offentlige. Produkter og tjenester basert på kryptografi utvikles over hele verden, og det kan være en høy grad av spesialisering.
Hvis den nederlandske økonomien skulle være avhengig av ett land eller leverandør for en vital anvendelse av kryptografi, utgjør dette en risikofylt strategisk avhengighet (RSA). Formålet med denne undersøkelsen er å kartlegge avhengigheter i de ulike markedssegmentene av kryptografiverdikjeden, og vurdere i hvilken grad disse avhengighetene utgjør strategiske risikoer.
I undersøkelsen skiller vi mellom tre (markeds)segmenter:
- det høykvalitets segmentet, der kryptografi brukes til beskyttelse av høyt klassifisert ('statshemmelig') informasjon. Dette omfatter spesifikt produkter og tjenester som kan benyttes til dette formålet etter evaluering av AIVD.
- det 'mellomsegmentet', der høykvalitets kryptografi brukes til spesifikke formål, ofte i samsvar med reguleringsrammer. Dette gjelder for eksempel for bruk i strømnett, telekommunikasjonsnett, finanssektoren, osv.
- det generiske segmentet, der hverdagsprodukter og tjenester som bruker kryptografi og benyttes av bedrifter og forbrukere er inkludert. Dette omfatter applikasjoner som Microsoft Teams og WhatsApp.
I undersøkelsen fokuserer vi spesielt på
mellomsegmentet. Her er (samfunnsmessige og økonomiske) interesser størst, og tilbudet er (potensielt) mest spesialisert. Vi observerer at det i denne sektoren er reguleringsrammene som er den viktigste driveren for valg av kryptografiske produkter og tjenester. Sertifisering og
assurance er avgjørende og gir samtidig en nyttig avgrensning av relevante produkter og tjenester for undersøkelsen.
I Nederland forskes det på høykvalitets kryptografiske algoritmer ved flere universiteter. Nederland er også en av de få '
crypto producing nations' i NATO-sammenheng. I Europa er Frankrike og Tyskland de største aktørene innen sertifiserte produkter. Flertallet av produktene med europeisk høy sikkerhetssertifisering for vitale sektorer produseres i EU, med rundt 75% i Tyskland og Frankrike. En liten del av disse produktene (ca. 5%) kommer fra Sør-Korea utenfor Europa.
I det høye segmentet har Nederland begrenset avhengighet av produkter og tjenester fra andre land. Avhengigheter vurderes tidlig av AIVD. For mellomsegmentet er det avhengighet når det gjelder
høy sikkerhetssertifiserte produkter fra leverandører hovedsakelig i EU. Det er imidlertid observasjoner av at det innen visse produktkategorier (f.eks. databaser og adgangskontroll) er få eller ingen europeiske høy sikkerhetssertifiserte produkter på markedet. Her kan det være en avhengighet av hovedsakelig amerikanske produsenter. Avhengighetene i mellomsegmentet er sterkt sektorspesifikke. I disse sektorene innebærer kryptografi (i motsetning til i høykvalitetssegmentet) vanligvis ikke et separat produkt, men brukes ofte som en del av et bredere produkt eller en tjeneste. Avhengighetene er dermed på et høyere nivå enn for kryptografiske produkter.
Det bør også nevnes at det er en betydelig avhengighet av spesialisert personell. Resultatene antyder at avhengigheten av personell og kunnskap i sektoren og hos brukerne i mellomsegmentet er større enn avhengigheten av kryptografileverandører.
Til slutt har Nederland en utmerket (akademisk) kunnskapsposisjon når det gjelder kryptografi. Siden mange kryptografiske algoritmer er offentlige i dag, fører ikke dette til avhengigheter, og kunnskapsposisjonen gir ikke direkte fordeler for mellomsegmentet. Når det gjelder sertifisering og assurance, er Nederlands posisjon også utmerket, og nærheten kan potensielt gi en fordel.
