Kennisveiligheid is een betrekkelijk nieuwe loot aan de stam van integrale veiligheid. Ik had er tot voor kort niet in deze termen over nagedacht. Toch is het een zeer relevant onderwerp en onderdeel van het kwetsbaarheidsspectrum van een organisatie waar zomaar eens een crisis uit kan rollen. Daarom beginnen we met Abdul Qadir Khan.
Abdul Qadir Khan was 16 toen hij met zijn ouders van India naar Pakistan emigreerde. Hij kon goed leren en toen hij zijn studie aan de universiteit van Karachi had afgerond, vertrok hij naar Europa om verder te studeren. Na zijn promotie aan de universiteit van Leuven kwam hij in 1972 in dienst bij het Fysisch Dynamisch Onderzoekslaboratorium (FOD), waar hij veel werkte aan projecten voor Urenco.
Urenco. Misschien dat er nu een belletje gaat rinkelen, want u vroeg zich al af wat u met dit verhaal moest.
Nou, die Khan stal de geheimen van Urenco waarmee Pakistan uiteindelijk een atoombom kon bouwen. Dit soort ontwikkelingen doet wat met de geopolitieke verhoudingen in de wereld. Kennis is een strategisch goed, net zoals grondstoffen en aardgas dat zijn. Met als specifiek kenmerk van kennis: je kan het jatten zonder dat de eigenaar het mist. Dat gaat met aardgas en aardolie niet lukken.
Daarom is er nu de Nationale Leidraad Kennisveiligheid. Daarin wordt de volgende definitie van kennisveiligheid gegeven:
Bij kennisveiligheid gaat het allereerst om ongewenste overdracht van sensitieve kennis en technologie. Overdracht is ongewenst als deze de nationale veiligheid van ons land aantast. Daarnaast gaat kennisveiligheid om heimelijke beïnvloeding van onderwijs en onderzoek door statelijke actoren. Deze inmenging brengt de academische vrijheid en de sociale veiligheid in gevaar (..)
leidraad kennisveiligheid
Dual-Use
De leidraad richt zich met name op zogenaamde dual-use situaties. Onderzoek en kennis naar civiele toepassingen die ook militair gebruikt kunnen worden. Om dat wat verder te concretiseren worden de volgende tien aandachtsgebieden benoemd:
- Nucleaire goederen;
- Speciale materialen en aanverwante apparatuur;
- Materiaalverwerking;
- Elektronica;
- Computers;
- Telecommunicatie en “informatiebeveiliging”;
- Sensoren en lasers;
- Navigatie en vliegtuigelektronica;
- Zeewezen en schepen;
- Ruimtevaart en voortstuwing.
Niet alle instellingen staan te trappelen om de leidraad toe te passen. Ook de VSNU, het gezamenlijke universiteitsclubhuis, verkondigde dat de universiteiten ten onrechte worden opgescheept met geostrategische en veiligheidsproblemen. Waarmee ze maar weer lieten blijken dat het simpele feit dat je voor een universiteit werkt je niet persé slimmer maakt.
Want wie anders dan de kennissector zelf weet wat de risico’s van een bepaalde technologie zijn? Net zoals je inventariseert op onder andere straling, besmetting en giftigheid check je ook wat je met jouw kennis kunt doen als het in verkeerde handen valt. Dat lijkt mij niet meer dan logisch in een steeds vijandiger wereld.
Overigens gaat de kennisveiligheid verder dan dual-use. Geopolitieke afhankelijkheden zitten ook in concurrentievoordelen of überhaupt de deskundigheid en vaardigheid om bepaalde technologie te bedenken, ontwikkelen en toe te passen. Denk aan ASML maar ook aan innovaties op het gebied van kunstmatige intelligentie. Daar wordt nu ook met strategische blik naar gekeken.
Kennisveiligheid geeft de traditionele risicoanalyse dus een hele nieuwe twist door die ene vraag: hoe kun je de geïnventariseerde risico’s rondom kennis misbruiken? Als die vraag in de jaren 70 was gesteld, had Khan’s diefstal wellicht voorkomen kunnen worden. Het is kennelijk nog steeds zo dat er eerst iets moet gebeuren voor er maatregelen worden genomen. In die zin is de Leidraad Kennisveiligheid zeker belangrijk, maar rijkelijk laat.
Update februari 2025: ASML
In 2024 is een oud-medewerker van ASML opgepakt op verdenking van diefstal van bedrijfsgeheimen. Hij zou de kennis verkocht hebben aan de Russen. Tijdens een pro-forma zitting in februari 2025 werd bekend dat de man een inreisverbod voor 20 jaar opgelegd krijgt. Dat gebeurt alleen in gevallen met gevaar voor nationale veiligheid. De inhoudelijke rechtszaak moet nog gevoerd worden.
Ook in 2019 bleken er bedrijfsgeheimen van ASML gestolen te zijn. De betreffende medewerkers richtten in China een concurrent op onder de naam XTAL. ASML zei indertijd geen aanwijzingen te hebben voor een statelijke actie en zei dat dit een rotte appel was. Waarmee ze in ieder geval bij mij de indruk wekten het te bagatelliseren.
De spanning tussen strategische kennis en vrije markt is natuurlijk groot. Bedrijven willen en moeten verkopen aan het buitenland, maar in een schurende wereld is dat niet zonder risico. Dus moet je goede maatregelen nemen die antinaïef zijn.
Ga ervan uit dat je niemand kunt vertrouwen en baseer daar je lines of defense op. Besef dat een boef altijd iets verzonnen kan hebben voor dual use met jouw producten wat jij niet gezien hebt. Neem dus liever te veel maatregelen dan te weinig. Bij ASML hebben ze er inmiddels ervaring mee en zullen de touwtjes nog strakker aangehaald worden.
Nu jij nog.
Dit blog verscheen in iets gewijzigde vorm als column in de NVVK info. Andere blogs die op het onderwerp van interne kwetsbaarheden ingaan zijn De onnodige crisis, Tot crisis gemaakt en Insider risk, door slordigheid crisis.
Geef een reactie