Alert Online – Wees waakzaam

Eenmaal per jaar is er in Nederland aandacht voor de risico’s van online werken op internet. In het kader van deze bewustwordingscampagne is onderstaande video beschikbaar. Om veiliger te zijn kunt u zelf veel eenvoudige stappen zetten. Zie daarvoor de adviezenpagina op Alert Online of verdiep u via De Beveiligingsupdate.

Opstelten, pak KPN nu eens aan

Het beleid van minister Opstelten rond cybersecurity wordt actief ondermijnd door een zwaar gehavende vijfde colonne: KPN. Zij knagen aan de geloofwaardigheid. Tijd voor een open brief.

Zeer geachte heer Opstelten, Excellentie,

U bent een drijvende kracht achter de cybersecuritystrategie van Nederland. Een belangrijk onderdeel is zorgen dat de burger met een gerust hart digitaal actief kan zijn. Dat vertrouwen is bijvoorbeeld door Diginotar ernstig aangetast. De talloze privacygevoelige datalekken bij een schier oneindige groep bedrijven en overheden maken dat niet beter. Gelukkig wordt u bijgestaan door de Cybersecurityraad, die u dient met strategisch advies. Uw eigen coördinator terrorismebestrijding deelt het voorzitterschap met KPN. Ik zal het maar direct zeggen: dit gaat niet goed.

Ik zal dit goed uitleggen. Het grote probleem van Diginotar was niet dat het bedrijf was gehacked, maar dat ze het stil hielden. Zelfs toen ze realiseerden dat er misbruik werd gemaakt vanuit Iran, kwam het bedrijf er niet mee naar buiten. Inmiddels sluit uw ambtelijke staf niet uit dat er mensenlevens door de hack in gevaar zijn. Die geheimzinnigheid zien we vaker. Neem de webwinkel Replace Direct. Hun website vol klantgegevens werd gehacked en de gestolen data door oplichters misbruikt. Pas na een column op deze site zijn klanten gedeeltelijk geïnformeerd door de onderneming, maar het hoe en wat van de hack blijft geheim.

Het kan beter
Toch hoeft het niet zo te lopen, want openheid is niet moeilijk. Neem het bedrijf Cloudflare. Zij leveren een dienst die websites versnelt, meer capaciteit geeft en beschermt tegen veelvoorkomende aanvallen. Ik ben klant sinds een hack van mijn website. Een vertrouwde hacker prees het aan als ‘het beste wat de wereld overkwam sinds de uitvinding van internet’.

Afgelopen week werd het bedrijf gehacked. Via Google Apps – dat ze gebruiken – was een hacker binnen gekomen bij het administratieve systeem. Al snel werd duidelijk dat ook het voicemailsysteem van AT&T is gehacked. Hoe ik dat allemaal weet? Omdat het bedrijf mij actief op de hoogte houdt van de gebeurtenissen via mail en via een blogpost. Zelfs de relevante lessen worden gedeeld. Lessen voor het bedrijf en de klant. Door het delen van kennis maakt internet veiliger, zo zeggen erkennen klanten op hun site.

Niet KPN
Maar niet KPN. Het bedrijf werd gehacked op 16 januari, maar hield de hack weken geheim omdat ze eerst maatregelen wilden nemen om zwaar verouderde software bij te werken. Natuurlijk beloofden ze beterschap en wij gunnen ze een nieuwe kans.

Maar er speelt meer bij het bedrijf. In december 2011 onthulde ik dat ook een onderdeel van KPN dat certificaten levert, Gemnet, werd gehacked. Die hack volgde op een hack op een ander onderdeel (KPN Getronics), waardoor de uitgifte van certificaten werd gestopt. Later zou het bedrijf tegenover mij zeggen dat het slechts ‘een vlekje op de website’ betrof. Maar het weigert – ondanks intensieve pogingen van mijn kant – openheid te geven.

Ondertussen ligt Gemnet opnieuw onder vuur. Een beveiligingsonderzoeker Rickey Gevers ontdekte dat er nog steeds certificaten niet zijn ingetrokken en dus misbruikt kunnen worden. Dat laat het filmpje op zijn website mooi zien. Maar in een persbericht van KPN wordt de indruk gewekt dat er niets aan de hand is, terwijl dat wel het geval is. Waarom een persbericht wordt uitgegeven is mij een raadsel. Waarom Rickey niet gewoon de eer van KPN krijgt is mij ook een raadsel  En ik snap al helemaal niet dat KPN op 1 juni een probleem oplost en pas op 6 juni naar buiten treedt. Cloudflare werd op 1 juni gehacked en trad meteen dezelfde dag naar buiten.

Vervangen die hap
Ik ben er wel klaar mee. Bij Diginotar wankelde PKI/Overheid en nu gooit KPN weer met de pet naar de hele certificatenbusiness. Dat is slecht voor het vertrouwen in certificaten en dus online zaken doen. Het is een slecht voorbeeld van beveiliging en niet meer van deze tijd. Dat bedrijf zit de Cybersecurityraad voor? Wat voor adviezen mag ik dan verwachten als burger van wie de gegevens goed moeten worden beschermd? En die geheimzinnigheid rond alles wat onze persoonsgegevens moet beschermen zou nog wel eens strijdig met de Wet Bescherming Persoonsgegevens kunnen zijn.

Deze niet open houding past niet in goede beveiliging. We zitten midden in een wedstrijd tegen cybercriminelen en ik wil dat zowel uw cybersecuritystrategie als de Cybersecurityraad dit winnen. Dus stel ik een wissel voor. Doe ik anders nooit, maar nu wel. Haal KPN uit de wedstrijd, want ze kunnen het gewoon niet. Zet de CEO van Cloudflare aan het hoofd en wij burgers krijgen subiet meer vertrouwen in het kunnen van de overheid rond beveiliging. Als KPN wel open communiceert mogen ze van de reservebank misschien meespelen bij het strafschoppen schieten. De strafschoppen verliezen we toch, dus wie dat doet, is niet zo belangrijk.

Met vriendelijke groet,

Brenno de Winter

p.s. Niet schrikken maar binnenkort kom ik met een paar lekken om wat onzinnige beveiligingsmaatregelen de nek om te draaien. Beveiliging is en blijft ook een verhaal van de juiste keuzes maken.

Journalist daagt Hirsch Ballin om computerbeveiliging – PERSBERICHT

Onderzoeksjournalist Brenno de Winter heeft justitieminister Ernst Hirsch Ballin (CDA) gedaagd voor het weigeren helderheid te verschaffen over de risico’s die zijn departement loopt met gevoelige gegevens. Ofschoon de wet voorschrijft dat de bewindvoerder een beslissing op het informatieverzoek neemt, heeft hij dit niet gedaan. Daarom heeft de rechtbank Arnhem ingestemd met een versnelde procedure.De kwestie begon in september 2009. Uit vrijgegeven bonnetjes blijkt dat Hirsch Ballin anti-virussoftware op zijn dienstlaptop heeft geïnstalleerd. In goed beveiligde zakelijke omgevingen is het installeren van dergelijke software voorbehouden aan systeembeheerders. Daarom roept dit de vraag op hoe veilig de laptop is en of er ook kwaadaardige programmatuur aanwezig is. Begin april maakte de AIVD een rapport publiek, waaruit blijkt dat juist wordt gevreesd voor spionage in bijvoorbeeld hotelkamers. Voor SP-kamerlid Arda Gerkens was deze zaak in september aanleiding om vragen aan de bewindspersoon te stellen.

De Winter verzocht met een beroep op de Wet openbaarheid van bestuur om documenten over basale beheersprocedures publiek te maken. “Een minister heeft altijd interessante informatie bij zich, waarbij in een aantal gevallen dit gevoelig zal zijn. Is het niet voor het departement dan is het wel gevoelig voor de burger”, stelt hij dan ook. “Deze zaak roept veel meer vragen op. Die hoor je te onderzoeken zeker als het een bewindvoerder betreft die jaarlijks het volk van het belang van informatiebeveiliging probeert te overtuigen via een campagne.”

Maar op het Wob-verzoek volgde geen reactie en ook telefoontjes hebben Justitie niet tot een beslissing kunnen bewegen. Ook op het bezwaarschrift tegen het kennelijk weigeren van het verzoek is geen beslissing genomen. Diverse herinneringen per telefoon, fax en e-mail gaven ook geen uitkomst. Zelfs een formele ingebrekestelling bleef onbeantwoord. Hierop stapte de Winter naar de rechter, die prompt besloot de zaak versneld te behandelen. “De minister lapt de wet aan zijn laars, want na acht maanden is er niets gebeurd. Dat is een bestuurder onwaardig en zou je al helemaal niet van een justitieminister verwachten.”

De Wet dwangsom en beroep bij niet tijdig beslissen regelt dat justitie nu ook een schadevergoeding per dag moet betalen en regelt dat burgers sneller toegang tot de rechter hebben. “De dwangsom maakt duidelijk geen indruk, zolang verantwoordelijken dat niet uit eigen zak moeten betalen”, stelt De Winter. “Eigenlijk is het te triest voor woorden dat er wetten zijn gemaakt, omdat overheden zich niet aan de wet wensen te houden. Dat is onwaardig voor een bestuurder en al helemaal voor een minister van Justitie.”

Naast het afdwingen van een beantwoording heeft de Winter de rechtbank ook gevraagd een beslissing op het informatieverzoek te nemen. “Zelf blijken ze dat in acht maanden niet te kunnen en hopelijk herstelt de rechtbank de mogelijkheid voor een journalist om zijn taak naar behoren uit te voeren.” Waarschijnlijk is een uitspraak in de zaak te verwachten voor 21 juli dit jaar.