De Amerikaanse computerpionier Peter G. Neumann (1932–2026) is deze week overleden. Hij gold als vasthoudende criticus van onveilige computers en bedrijven die snelheid boven zorgvuldigheid zetten. Neumann werkte decennialang bij SRI International in Californië en stond bekend om zijn pleidooi voor veiligheid-by-design. Zijn erfenis raakt direct aan Europese digitalisering en de gevolgen voor het bedrijfsleven.
Veiligheid vóór snelheid
Neumann bekritiseerde al vroeg het motto ‘ship now, fix later’. Volgens hem brengen haastige releases burgers, bedrijven en publieke diensten onnodig in gevaar. Hij wees voortdurend op foutgevoelige software, gebrekkige updateprocessen en onduidelijke aansprakelijkheid. Daarmee legde hij de vinger op een oud maar hardnekkig probleem in de technologie.
Zijn antwoord was veiligheid-by-design: bouw systemen die al vanaf het eerste ontwerp fouten beperken. Dat betekent onder meer duidelijke rechten per gebruiker en proces, en zo min mogelijk toegang tot kritieke functies. Zulke principes, zoals ‘least privilege’ en ‘defense in depth’, klinken eenvoudig maar vragen om discipline in ontwerp en uitvoering. Neumann maakte die keuzes concreet voor ontwikkelaars en bestuurders.
De Europese koers sluit hier inmiddels op aan. Met de Cyber Resilience Act en NIS2 stuurt de EU op veilige producten, tijdige updates en strengere zorgplichten. Voor Nederlandse organisaties betekent dat: aantoonbare beveiliging, beter patchbeheer en transparante toeleveringsketens. Neumanns ideeën zijn zo uitgegroeid tot wettelijke randvoorwaarden.
Van Multics tot CHERI
Neumann werkte zijn loopbaan lang aan robuuste computersystemen. Bij SRI International onderzocht hij ontwerpen die fouten en misbruik structureel tegengaan. Hij stimuleerde capability-based beveiliging, waarin elke handeling expliciete rechten nodig heeft. Zo beperk je de impact van programmeerfouten en menselijke missers.
Die lijn loopt door naar moderne hardware-innovaties zoals CHERI, ontwikkeld door SRI en de University of Cambridge. CHERI voegt aan processors extra veiligheidsinformatie toe, zodat software niet buiten haar geheugen mag schrijven. Dit verkleint veelvoorkomende fouten, zoals buffer overflows. In gewone taal: het slot zit niet alleen op de voordeur, maar op elke kamer.
Europa experimenteert al met zulke principes in onderzoek en pilot-hardware. Dat past bij de ambitie om eigen, veilige technologie te bouwen. Voor sectoren als industrie en zorg kan dit concrete winst opleveren: minder kwetsbaarheden en voorspelbaardere prestaties. Het verkleint ook afhankelijkheden van softwaretrucs achteraf.
De waarde van transparantie
Bekend is Neumanns rol als moderator van de RISKS Digest, een wereldwijd forum voor incidenten rond digitale systemen. Hij verzamelde en duidde storingen, datalekken en ontwerpblunders, steeds met de les: documenteer en leer. Daarmee werd transparantie een deugd in plaats van een risico. Het hielp bestuurders om prioriteiten te stellen op basis van echte schade en oorzaken.
Die open houding zie je terug in Nederlandse praktijk met coordinated vulnerability disclosure (CVD). Veel overheden en bedrijven bieden meldkanalen voor ethische hackers en publiceren beveiligingsupdates. NIS2 en de AVG versterken dit door meldplichten en zorgvuldige omgang met data af te dwingen. Transparantie is zo geen keuze meer, maar onderdeel van professioneel risicobeheer.
Ook techniek voor inzicht groeit mee, zoals een Software Bill of Materials (SBOM). Dat is een ingrediëntenlijst van alle software-onderdelen in een product. Wie weet wat erin zit, kan sneller reageren op lekken in de keten. Neumann pleitte al decennia voor precies dit soort zichtbaarheid.
EU-wetgeving geeft rugdekking
De Cyber Resilience Act verplicht fabrikanten van ‘producten met digitale elementen’ tot veilige standaardinstellingen, updatebeleid en kwetsbaarheidsbeheer. Kern is: veiligheid is een producteigenschap, geen vrijwilligerswerk. Termijnen zijn scherp, en documentatie hoort erbij. Voor het mkb is dat wennen, maar het voorkomt grotere kosten achteraf.
NIS2 vergroot de zorgplicht van duizenden organisaties in vitale en belangrijke sectoren. Zij moeten risico’s beheersen, incidenten melden en hun bestuur verantwoordelijk maken. Dit raakt meteen aan inkoop: leveranciers zonder aantoonbare beveiliging vallen af. Neumanns focus op ketenverantwoordelijkheid krijgt zo juridische tanden.
Security by design betekent dat veiligheid vanaf het eerste ontwerp wordt meegenomen, niet pas gerepareerd met noodpatches.
De combinatie met de AVG maakt het geheel compleet. Data-minimalisatie, versleuteling en toegangsbeheer zijn niet alleen privacymaatregelen, maar ook veiligheidsmaatregelen. In de praktijk dwingt dit tot betere architectuurkeuzes. Dat is precies de beweging die Neumann voor ogen had.
Europese digitalisering, gevolgen bedrijfsleven
Voor Europese digitalisering betekent dit een omslag in kosten en baten. Bedrijven investeren eerder in kwaliteit en beheer, in ruil voor minder incidenten en boetes. Nieuwe contracten vragen om bewijs: pentests, SBOM’s en herstelplannen. Wie dat op orde heeft, wint aanbestedingen en vertrouwen.
Voor Nederlandse organisaties in zorg, energie en mobiliteit is continuïteit cruciaal. Denk aan ziekenhuissystemen, laadinfrastructuur en spoorbeveiliging. Fouttolerantie en segmentatie beperken uitval als er tóch iets misgaat. Neumann benadrukte altijd: ontwerp voor het falen, dan faal je veiliger.
Leveranciers van software en IoT-apparaten voelen de druk om kwaliteitsmetingen te standaardiseren. Dat kan via onafhankelijke audits, certificering of open testresultaten. Het vraagt ook om duidelijke afspraken over updates en end-of-life. Zo wordt ‘goedkoop’ niet langer ‘duurkoop’ bij digitalisering.
Lessen voor Nederland nu
Stuur in aanbestedingen op meetbare veiligheidseisen, niet op vinklijstjes. Vraag om concrete architectuurkeuzes, zoals scheiding van kritieke functies en minimale rechten. Overweeg waar zinvol formele verificatie, een wiskundige manier om fouten vooraf te vinden. En leg vast hoe updates veilig en snel plaatsvinden.
Investeer in vaardigheden bij bestuur en techniek. Bestuurders moeten risico’s kunnen wegen, engineers moeten veilige patronen beheersen. Dit is geen extra laag papierwerk, maar onderdeel van ontwerp. Opleiding en oefening maken het verschil tijdens een incident.
Tot slot: houd systemen klein, begrijpelijk en goed gelogd. Complexiteit is een vijand van betrouwbaarheid, waarschuwde Neumann steeds. Met zicht op configuraties en afhankelijkheden worden audits en herstel eenvoudiger. Dat maakt digitale innovatie sneller én veiliger, precies de balans die Europa nu zoekt.