Als de Nederlandse economie afhankelijk zou zijn van één land of leverancier voor een vitale toepassing van cryptografie, dan is dit een risicovolle strategische afhankelijkeid (RSA). Dit onderzoek heeft als doelstelling om afhankelijkheden in de verschillende marktsegmenten van de cryptografie-waardeketen in kaart te brengen, en daarbij na te gaan in hoeverre deze afhankelijkheden strategisch risicovol zijn.
In het onderzoek onderscheiden we drie (markt)segmenten:
- het hoogwaardige segment, waarin cryptografie wordt ingezet ter bescherming van hooggerubriceerde ('staatsgeheime') informatie. Dit betreft specifiek de producten en diensten die mogen worden ingezet voor dit doel na evaluatie door de AIVD.
- het 'middensegment', waarin hoogwaardige cryptografie wordt ingezet voor specifieke doelen, en veelal op basis van reguleringskaders. Denk hierbij aan toepassingen in bijvoorbeeld de elektriciteitsinfrastructuur, telecomnetwerken, de financiële sector, et cetera.
- het generieke segment, waarin alledaagse producten en diensten vallen die cryptografie toepassen en door bedrijven en consumenten worden gebruikt. Denk hierbij aan toepassingen als Microsoft Teams en WhatsApp.
In Nederland wordt op een aantal universiteiten gewerkt aan hoogwaardige cryptografische algorithmes. Nederland is daarnaast één van de weinige 'crypto producing nations' in NAVO-verband. Binnen Europa zijn Frankrijk en Duitsland de grootste spelers op het gebied van gecertificeerde producten. Het merendeel van de producten met Europese high assurance certificering voor vitale sectoren wordt geproduceerd in de EU, met ongeveer 75% in Duitsland en Frankrijk. Vanaf buiten Europa komt nog een klein deel van deze producten (ca 5%) uit Zuid-Korea.
In het hogere segment is Nederland beperkt afhankelijk van producten en diensten uit andere landen. Afhankelijkheden worden al in een vroegtijdig stadium beoordeeld voor de AIVD. Voor het middensegment zijn er afhankelijkheden als het gaat om high assurance producten, van leveranciers die zich voornamelijk binnen de EU bevinden. Het valt echter ook op dat in bepaalde productcategorieën (bijv. databases en toegangscontrole) er niet of nauwelijks Europese gecertificeerde high assurance producten op de markt zijn. Daarbij kan wel sprake zijn van een afhankelijkheid van voornamelijk Amerikaanse producenten. In het middensegment zien we dat de afhankelijkheden sterk sectorspecifiek zijn. In deze sectoren wordt cryptografie (in tegenstelling tot het hoogwaardige segment) meestal niet als product op zichzelf afgenomen, maar veelal als onderdeel van een breder product, of als dienst. De afhankelijkheden bevinden zich daarmee op een hoger niveau dan dat van cryptografische producten.
Verder valt op dat er een sterke afhankelijkheid is van gespecialiseerd personeel. De resultaten suggereren dat de afhankelijkheid van personeel en kennis in de sector en bij afnemers in het middensegment groter is dan de afhankelijkheid van leveranciers van cryptografie.
Tot slot beschikt Nederland over een uitstekende (academische) kennispositie als het gaat om cryptografie. Omdat veel cryptografische algoritmes tegenwoordig openbaar zijn, leidt dit niet tot afhankelijkheden, noch biedt de kennispositie direct een voordeel voor het middensegment. Wanneer het gaat om certificering en assurance is de positie van Nederland eveneens uitstekend, en biedt de nabijheid mogelijk wel een voordeel.
