Arjen Kamphuis: Over veiliger mobiel werken

Een belangrijk aspect bij het voorkomen van lekken is ons eigen gedrag. We hebben een flinke invloed door goed na te denken welke informatie we waar delen. Ook is het mogelijk om met simpele stappen onze apparatuur beter te beveiligen. Hoe dat kan legt Arjen Kamphuis, Lead advisor information security, Brunel uit aan Jan Renshof van het CIP.

De regering begint 2016 ronduit goed!

Eindelijk geeft Nederland aan hoe we omgaan met versleuteling op internet. De keuze is lastig, omdat opsporingsbelangen botsen met een vrij internet. Minister Ard van der Steur begint het jaar goed door een duidelijk keuze te maken: versleuteling is te belangrijk om stuk te maken.

Dat blijkt uit een brief aan de Tweede Kamer heeft gestuurd.

Lastig probleem

Om vertrouwelijk te communiceren, wordt op internet gebruik gemaakt van encryptie. Daardoor kunnen we veel veiliger financiële transacties doen, persoonlijke communicatie beschermen, blijven bedrijfsgeheimen vertrouwelijk en kunnen ook overheden veilig communiceren. In een digitale wereld heb je dat nodig om vertrouwd zaken te kunnen doen.

Aan de andere kant is er een roep om juist de versleuteling te verzwakken door achterdeurtjes in te bouwen of de sleutels aan de overheid te geven. Zo kunnen bij belangrijke opsporingsonderzoeken vertrouwelijke gegevens toch worden achterhaald. Vooral na aanslagen of bij kinderporno wordt die oproep veel gedaan.

Haken en ogen

Maar het probleem van achterdeurtjes is dat ook een kwaadwillende die kan achterhalen. Door software te analyseren, in te breken bij overheden of in sommige gevallen netwerkverkeer te analyseren, krijgen onbevoegden dan ook toegang tot de gegevens. Als je cryptografie verzwakt dan schaadt je daarmee de werking van de technologie. Een beetje stuk voor alleen een goedwillende overheid bestaat niet.

Het stuk maken van technologie heeft het grote gevaar dat deze technologieën op een gegeven moment niet meer zijn te gebruiken. Je kunt dan niet meer vertrouwd een financiële transactie doen, niet meer vertrouwen op bepaalde systemen en uiteindelijk raakt dat het vertrouwen in de digitale economie (online bestellen, online betalen, informatie opslaan in de cloud, enzovoort).

De vraag is dus of je nog open voor business bent als de onderliggende technologie is beschadigd. Waarom zou een bedrijf uit het buitenland de informatie in Nederland opslaan als een buurland de mogelijkheid biedt om wel veilig te werken? De risico’s die je loopt met het verzwakken van versleuteling zijn enorm.

Keuzes maken

De keuze die eigenlijk voorligt is de vraag wat belangrijker is: een digitale samenleving hebben en houden of een overheid – in theorie – altijd toegang tot alle informatie bieden. Daarbij moeten we ons wel beseffen dat een beetje crimineel zich niet zou houden aan de regel dat cryptografie verzwakt moet zijn en je uiteindelijk de goedwillende burger benadeelt.

Minister Ard van der Steur begint het jaar 2016 goed in zijn brief aan de Tweede Kamer die keuze duidelijk te maken voor een vrij internet en niet cryptografie stuk te maken:

“Het kabinet heeft tot taak de veiligheid van Nederland te waarborgen en strafbare feiten op te sporen. Het kabinet onderstreept hierbij de noodzaak tot rechtmatige toegang tot gegevens en communicatie. Daarnaast zijn overheden, bedrijven en burgers gebaat bij maximale veiligheid van de digitale systemen. Het kabinet onderschrijft het belang van sterke encryptie voor de veiligheid op internet, ter ondersteuning van de bescherming van de persoonlijke levenssfeer van burgers, voor vertrouwelijke communicatie van overheid en bedrijven, en voor de Nederlandse economie.

Derhalve is het kabinet van mening dat het op dit moment niet wenselijk is om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland. In de internationale context zal Nederland deze conclusie en de afwegingen die daaraan ten grondslag liggen uitdragen.”

Winst

Op dit dossier kiest de regering voor een vertrouwde digitale samenleving. Dat is goed nieuws en winst. Nu hopen dat met dit standpunt ook Minister Plasterk zijn wetsvoorstel voor de inlichtingendiensten aanpast. Hij eiste onder omstandigheden ook verzwakking van cryptografie.

Overigens is daarmee niet alles veilig voor de criminelen, want als het aan de regering ligt wordt het wel mogelijk op computers in te breken en zo bij gegevens te komen vóór ze worden versleuteld.

Beveiligingsupdate: Hans de Raad over encryptie

In het beveiligen van onze omgeving hoor ik steeds vaker mensen praten over encryptie of versleuteling. Wat is dat nou? Waarom hebben we dat nodig? Wat betekenen termen als symmetrische versleuteling, assymetrische versleuteling, PGP en S/MIME nou? Hans de Raad van <a href=”http://www.opennovations.nl/”>OpenNovations</a> is goed in staat dat simpel uit te leggen aan Ad Reuijl van het CIP.

Nieuwe aanpak maakt versleuteling harde schijf veiliger

BERLIJN – Door versleuteling van harde schijven aan te pakken, vallen gegevens beter te beschermen tegen bekende problemen. Dat geldt zelfs als iemand toegang krijgt tot een draaiende computer. Nu is het zo dat als een harde schijf is versleuteld het nagenoeg onmogelijk is de versleuteling te kraken, tenzij het wachtwoord wordt achterhaald. Maar als een computer nog aanstaat is het mogelijk de sleutel voor ontcijfering te achterhalen. Zelfs bij een apparaat dat net uitstaat kan de versleutelingsinformatie nog minuten worden uitgelezen als het met een vloeistof wordt bewerkt. Lees het verhaal op NU.nl.

De Beveiligingsupdate 35: Virussen verzamelen best leuk

Deze week spreken we met Joran over Mac-gebruikers, die volgens ‘experts’ op beveiligingsgebied dommer zouden zijn dan andere gebruikers, systeembeheerders die hacken als de ontslagvergoeding te weinig is en ook over laptopcontroles op Schiphol. Ik heb daar onderzoek naar gedaan en uit een Wob-verzoek blijkt dat er best nog wel wat werd gecontroleerd in 2008. Maar of het effectief was ….

Daarna spreken we met Anthony Aykut van Frame4 Group, die wel een erg markante hobby heeft: virussen verzamelen. Het is niet alleen interessant, maar ook een business. Diverse klanten zien namelijk zijn collectie al een geweldige kans om een eigen product op bekende aanvallen uit te proberen.