Geen enkele instantie ter wereld geeft zoveel geld uit aan ict als Uncle Sam. In het begrotingsjaar 2005, dat eindigt op 30 september 2005, besteedt de Amerikaanse overheid 60,9 miljard dollar aan ict. President Bush heeft voorgesteld voor 2006 de totale ict-uitgaven met 7 procent op te schroeven naar 65,2 miljard. In werkelijkheid is het bedrag nog groter omdat een instantie als de NSA (National Security Agency) een 'black budget' heeft: de hoeveelheid geld die deze supergeheime afluisterorganisatie krijgt is onbekend.
| Militaire voorsprong Versterking van de Amerikaanse hegemonie op technologisch en wetenschappelijk gebied is al sinds 1957 – het jaar waarin de VS zich zwaar vernederd voelden door de lancering van de Russische Sputnik – een prioriteit van de Amerikaanse overheid. In 1958 is Darpa (Defense Advanced Research Projects Agency) opgericht, een bureau binnen het ministerie van Defensie dat ervoor moet zorgen dat technologische innovaties en revoluties die militair van vitaal belang zijn in Amerikaanse labs plaatsvinden en niet in het buitenland. Darpa doet zelf geen onderzoek maar financiert onderzoek en ontwikkeling in de labs van Amerikaanse onderzoeksinstituten dat zonder deze subsidies niet zou plaatsvinden. Dit betekent dat Darpa vooral geld steekt in geavanceerd onderzoek waarvan de uitkomst onzeker is, waardoor bedrijven het niet doen. "Negen van de tien projecten mislukken, maar het tiende verandert de wereld", is het motto van Darpa. Ook op ict-gebied leveren deze investeringen vaak spectaculaire innovaties op. Het beste voorbeeld is internet, dat gebaseerd is op het eerste pakketgeschakelde netwerk (arpa-net) dat vanaf 1969 met geld van Darpa werd gebouwd. Darpa krijgt in 2006 een budget van bijna drie miljard dollar. Een van de belangrijkste projecten is het Cognitive Computing Program van Darpa's Information Processing Technology Office, waarvoor dit jaar tweehonderd miljoen dollar beschikbaar is. Het doel is een computer te ontwikkelen die denkt, leert van ervaringen, systematisch kennis verzamelt, zijn eigen handelen kan verklaren, zich bewust is van zijn eigen gedrag en bovendien robuust kan reageren op verassingen. |
Waar gaat al dat geld naar toe? Het zal niemand verbazen dat de extra uitgaven voor 2006 vooral doorgeschoven worden naar nationale veiligheid. Dit betekent dat het leeuwendeel terechtkomt bij de ministeries van Defensie, Binnenlandse Veiligheid en Justitie. Van alle ict-dollars gaat 46 procent naar Defensie. Binnenlandse Veiligheid krijgt zes miljard dollar; 25 procent meer dan dit jaar. Dit geld wordt verdeeld over de eigen ict-operatie en verschillende programma's die moeten leiden tot een betere bescherming van de Amerikaanse ict-infrastructuur.
De overige overheidsinstellingen moeten het in 2006 doen met een bescheiden groei die net gelijke pas houdt met de inflatie, of zelfs met een vermindering van de uitgaven. Nasa, het ministerie van Arbeid en Usaid (het ministerie van ontwikkelingshulp) bijvoorbeeld krijgen in 2006 minder ict-dollars dan in 2005. Een duidelijke prioriteit van de regering Bush ligt wel bij het automatiseren van de gezondheidszorg. De ict-begroting van het ministerie voor Veteranen – een overheidsinstelling die een groot aantal ziekenhuizen voor oud-soldaten beheert – stijgt daarom met 485 miljoen dollar naar 2,1 miljard dollar.
Dikke onvoldoende
Bush trekt 1,7 miljard dollar meer uit dan in 2005 voor interne informatiebeveiligingsprojecten. Volgens Chris Campbell, analist bij marktonderzoeker Input, gaan deze uitgaven vooral omhoog omdat overheidsinstellingen meer geld uitgeven aan het certificeren van computersystemen. In het begrotingsjaar 2004 onderzochten auditors 8623 verschillende ict-systemen van overheidsinstanties. Van al die systemen is 77 procent na een risicoafweging en beveiligingscontrole gecertificeerd en geaccrediteerd.
Dat er nog het nodige schort aan de ict-beveiliging bij de overheid bleek afgelopen februari uit een rapport van het House Government Reform Committee, een commissie van het Amerikaanse Huis van Afgevaardigden. In dit jaarlijkse rapport krijgen alle overheidsinstanties een cijfer voor de uitvoering van hun cyber-beveiliging. Het gemiddelde rapportcijfer was dit jaar een 'd-plus'; een zeer krappe voldoende. Commissievoorzitter Tom Davis concludeerde optimistisch dat d-plus net iets beter is dan de d van 2004 en zeker beter dan de f van 2002. "Het is echter ook duidelijk dat de progressie veel te langzaam gaat", aldus Davis.
Zeven overheidsinstanties scoren minder dan een d en hebben dus een dikke onvoldoende voor hun computerbeveiliging. Onder deze zeven zittenblijvers bevindt zich het ministerie van Binnenlandse Veiligheid; de instantie die de Amerikaanse burgers juist moet beschermen tegen aanvallen van cyber-terroristen. Een excuus is dat dit in 2002 opgerichte ministerie nog jong is en de ict-infrastructuur een lappendeken is van informatiesystemen die eerder bij andere ministeries waren ondergebracht.
Beveiligingsrichtlijnen
De rapportcijfers van het House Government Reform Committee zijn gebaseerd op interne evaluaties en op de verplichte rapporten die de overheidsinstellingen ieder jaar inleveren bij het machtige Office of Management and Budget van het Witte Huis. De cijfers geven aan in hoeverre de overheidsinstanties voldoen aan de eisen van de Fisma (Federal Information Security Act), een wet die overheidsinstanties verplicht om zich te conformeren aan een groot aantal standaarden op het gebied van computerbeveiliging, zoals wachtwoordbeheer, standaard procedures voor het rapporteren van beveiligingsproblemen en de training van de ongeveer 76 duizend ict-mensen.
Tot nu toe hebben slechte cijfers geen negatieve gevolgen voor de betrokken instanties. Er gaan echter in het Huis van Afgevaardigden wel stemmen op om ministeries die hoog scoren in het beveiligingsrapport te belonen met een verhoging van hun ict-budget. Volgens de Fisma moeten per 1 juli dit jaar alle ict-systemen van de overheid zijn gecertificeerd en geaccrediteerd. De kans dat dit inderdaad lukt is kleiner dan de kans dat Feijenoord of Ajax dit jaar de Uefa-cup wint.
| Operatie Trilogy Operatie Trilogy, een zeshonderd miljoen dollar kostende ict-innovatie van de FBI, laat zien hoe een ict-project in de soep kan lopen bij een overheidsinstantie waar (ict-)management een ondergeschoven kindje is. Na 11 september 2001 werd de FBI bedolven onder de kritiek omdat het instituut met zijn verouderde ict-infrastructuur en een op papier gebaseerde cultuur niet in staat was terroristische aanslagen te voorkomen. Directeur Robert Mueller trok het boetekleed aan, en verklaarde dat operatie Trilogy van de FBI een moderne ict-organisatie zou maken. Dat pakte anders uit. De kantoren kregen dertigduizend nieuwe pc's, die via breedbandige connecties een zwaar bewaakt netwerk vormen. De hoeksteen van de ict-innovatie is de invoering van Vcfs (Virtual Case File System), waarmee de agenten elkaars dossiers (tekst, beeld en geluid) kunnen raadplegen en gezamenlijk aan zaken kunnen werken. Eind 2004 werd duidelijk dat de firma Saic (Science Application International) ondanks een investering van 110 miljoen dollar niet in staat is een operationeel 'case management'-systeem te leveren. De FBI geeft Saic de schuld omdat deze leverancier gebruik maakt van verouderde technologie en bedrijfseigen applicaties die niet of slecht samenwerken met andere software. Saic's vice president Robert Punaro zegt dat de problemen zijn ontstaan doordat de FBI doorlopend zijn eisen verandert en er door het verloop onder de cio's (de afgelopen drie jaar zijn er vijf vertrokken) geen sprake was van continuïteit. De FBI besluit dit voorjaar of de ontwikkeling van Vcfs doorgaat of stopt. In het laatste geval kan de top overwegen niet langer een eigen systeem te ontwikkelen maar een van de standaard 'case management'-pakketten die sinds 2002 zijn gelanceerd te gebruiken. Als de FBI nu beter dan voorheen in staat is terroristische aanslagen te voorkomen, is dat in ieder geval niet dankzij vernieuwde ict. |
Het Amerikaanse Nist (National Institute of Standards and Technology) publiceerde in februari 2005 een rapport met gestandaardiseerde beveiligingsrichtlijnen die cio's bij de federale overheid de efficiëntste wegen moeten wijzen om te voldoen aan de Fisma-eisen. Het rapport behandelt zeventien beveiligingsterreinen, waaronder risicoafweging, rampenplannen, afhandeling van incidenten, toegangscontrole, identificatie, en authenticatie op drie beveiligingsniveaus (laag, gemiddeld en hoog).
Onder één deken
De verwachting is dat ook veel bedrijven en ngo's de richtlijnen van het Nist zullen adopteren. Het gaat hierbij om een vrijwillige adoptie omdat de Amerikaanse overheid niet algemene beveiligingsstandaarden kan en wil opleggen aan het bedrijfsleven. Het House Government Reform Committee vindt dat het de overheid niet past om slecht beveiligde bedrijven te straffen. Het zou beter zijn ondernemingen die beste praktijken adopteren te belonen met bijvoorbeeld extra belastingaftrek. In zijn relatie met het bedrijfsleven zwaait de regering van Bush liever met de wortel dan met de stok.
In maart lanceerde het Office of Management and Budget van het Witte Huis een cyber-beveiligingsprogramma binnen de overheid dat is opgezet volgens de principes van een 'line-of-business' strategie. Met zo'n strategie worden bedrijfsprincipes toegepast op verschillende activiteiten – bijvoorbeeld financiële administratie of personeelsbeleid – van overheidsinstanties. Men denkt veel geld te kunnen besparen wanneer door het hele overheidsapparaat heen dezelfde cyber-beveiligingsprocedures, -standaarden en -technologieën worden geadopteerd en wanneer bepaalde administratieve functies voor de beveiliging worden ondergebracht bij één instantie.
Volgens Karen Evans, die binnen het Office of Management and Budget toezicht houdt op de ict-budgetten, moet een 'line-of-business' strategie ervoor zorgen dat de overheidsinstellingen op één lijn komen te zitten bij het adopteren van beveiligingsmaatregelen. "Er wordt nu per jaar zeker twee miljard dollar verspild aan beveiliging doordat verschillende instanties niet met elkaar samenwerken, waardoor ze dubbel werk doen", aldus Evans. Ze geeft tegelijkertijd toe dat het moeilijk is alle overheidsinstanties onder één deken te krijgen wat betreft cyber-beveiliging vanwege de grote diversiteit aan computersystemen.
Overheidskosten terugdringen
Uit een onafhankelijk onderzoek van de firma Intelligent Decisions in 2004 blijkt dat binnen de federale overheid wat betreft cyber-beveiliging een digitale kloof ontstaan is. Ciso's (chief information security officer) met budgetten onder een miljoen dollar blijken veel meer moeite te hebben om hun netwerken te laten voldoen aan de Fisma-eisen dan hun collega's met meer budget. Het ontwikkelen van gezamenlijk oplossingen moet deze kloof dichten.
Toen Bush in 2001 president werd bezwoer hij dat hij de overheid efficiënter zou maken door een 'bedrijfsmentaliteit' in te voeren. Ict zou hierbij een belangrijke rol spelen. In augustus 2001 kwam het 'e-government'-initiatief van de grond, een ambitieus vierjaren-programma waarin ict gebruikt wordt om zowel de dienstverlening aan burgers als de interne communicatie tussen overheidsinstanties te verbeteren. Ict zou een systeem voor serviceverlening moeten opleveren dat een belangrijk deel van de kostenfactor uit het verlenen van overheidsdiensten haalt.
De aanslagen van 11 september 2001 gooiden roet in het eten omdat de prioriteit acuut werd verlegd van e-government naar beveiliging van netwerken en het delen van data tussen verschillende veiligheidsdiensten. Het e-government programma ontving daardoor minder geld dan aanvankelijk gepland was. Nu anno 2005 het Amerikaanse begrotingstekort steeds verder uit de hand loopt is sprake van een hernieuwde belangstelling voor het drastischer invoeren van e-government strategieën, om zo de kosten van de overheid terug te dringen.
Tevreden burgers
Ondanks problemen met de financiering is er volgens Evans grote vooruitgang geboekt bij het beschikbaar maken van overheidsdiensten via websites. Burgers en bedrijven kunnen nu via het web hun belastingopgave doen, vergunningen aanvragen, formulieren en informatie ophalen, en boetes betalen. In een onderzoek van de University of Michigan scoorden vorig jaar 54 overheidssites gemiddeld 71,2 punten (uit een mogelijk score van 100) op een schaal die de tevredenheid van de gebruikers aangeeft. In een top-100 van de Amerikaanse Brown University prijken de VS, achter Taiwan en Singapore, op de derde plaats wat betreft de invoering van e-government.
Volgens marktonderzoeker Chantilly heeft de Amerikaanse federale overheid in 2004 ongeveer vier miljard dollar uitgegeven aan e-government-oplossingen. De analisten van dit bedrijf verwachten dat deze uitgaven in 2009 zullen oplopen tot negen miljard. Het leeuwendeel van dit geld gaat weer naar de ministeries van Defensie, Binnenlandse Veiligheid en Justitie.
Levert e-government de besparingen op die men ervan verwacht? Het Office of Management and Budget is nog bezig methoden te ontwikkelen die meten hoe groot de besparingen zijn die het uitvoeren van e-government projecten oplevert. De merkwaardige situatie doet zich hierbij voor dat ministeries die flinke vorderingen maken op dit terrein de kans lopen bestraft te worden met een korting op hun ict-budget. Evans: "Wanneer een overheidsinstantie zijn e-government portfolio goed beheert, kan het ict-budget naar beneden omdat ze betere resultaten behaalt met hetzelfde aantal dollars."
