Hey Google! Mijn huis blijft nog even dom

Gewapend met een Raspberry Pi, gekochte materialen is het als nerd natuurlijk fantastisch om alles wat er maar te automatiseren is aan je huis daadwerkelijk op afstand te kunnen bedienen. Maar hoe slim is het eigenlijk om je huis ‘slim’ te maken?

Pas was ik op bezoek bij vrienden. Als zij de woning in willen, dan opent een bluetooth-verbinding de voordeur, spreek je Google aan voor de hoeveelheid en de kleur van het licht in de woning. Alles wat je wilt, kun je vragen. Als het systeem je begrijpt, wordt het commando uitgevoerd. Beweging bij de voordeur is direct vanaf je mobiel te zien. Heel handig als iemand ongein uithaalt. Beelden liegen niet. De slimme meter vertelt je exact waar je op welk moment hoeveel energie je hebt verbruikt.

Wat mij opvalt is dat we oude fouten met technologie herhalen. Bluetooth kun je simpel klonen. Met wat pech hoeft een inbreker niets anders te doen dan bij een flatgebouw te staan om apparaten op te vangen en die te spoofen. Of nog effectiever: verstop een Raspberry Pi om het werk te doen. Een dag later openen simsalabim de deuren van meerdere woningen. Het is een kwestie van tijd voordat kunstmatige intelligentie zo goed is dat je kunt vragen “Hey Google, verlicht in het rood de meest waardevolle spullen in huis”.

We weten van het surfen op internet en het gebruik van apps dat ons gedrag tot in de kleinste finesses in veel databases verdwijnt. Daar maakte Cambridge Analytica zijn profielen mee om het verkiezingsproces te beïnvloeden, daar wordt marketing mee bedreven en wordt waarschijnlijk nu al door kunstmatige intelligentie ons gedrag beïnvloed. Alles wat ‘slim’ is, helpt ons ongetwijfeld tegen vergeetachtigheid, levert wat we prettig vinden en reguleert ons huis uiteindelijk naar wat gezond, veilig of sociaal wenselijk is.

Ondertussen brengt het ieder detail van ons gedrag in kaart, ook achter onze gesloten gordijnen waar we ons onbespied wanen.

Misbruik

Bedrijven verzamelen nu al meer dan ze ons graag willen laten weten. In 2019 werd duidelijk dat Google, Amazon en Apple audio centraal verzamelen, zogenaamd ‘om spraakherkenning te verbeteren’. Daar is natuurlijk niks mee mis als je het mensen vertelt. Pijnlijk is dat de NOS en VRT lieten horen dat het om meer informatie ging dan alleen opdrachten. De audio bevatte medische gegevens, echtelijke ruzies en andere gevoelige gesprekken. Gelukkig hebben veel apparaten een knopje om de microfoon uit te zetten. Alleen dan blijkt weer dat Nest-apparaten (onderdeel van Google) heimelijk een microfoon hebben. Schakel je die met dat knopje echt uit?

Sinds de onthullingen van Edward Snowden weten we dat overheden wat graag bij de techreuzen de data ophalen voor allerhande spionage. Soms voor een goed doel, maar net zo goed om economische spionage of het bewaken van een (ex)partner. Slimme huizen geven ook een bedenkelijk toekomstbeeld. Ik zie een inval voor me waar de politie via hun systeem doodleuk mijn deur opent en alleen maar vraagt: ‘Hey Google! Onder welk bed ligt Brenno verscholen?’ Is het heel vreemd dat ik mijn huis nog even ‘dom’ laat tot we de databescherming goed hebben geregeld?

Weg met IT-pubers

Veel it-spelers vertonen onvolwassen gedrag en zijn allergisch voor normen en verantwoordelijkheid. Maar het speelveld verandert en wie zich niet aanpast, zou wel eens vlot buiten spel kunnen staan.

Minister Ferd Grapperhaus zegt in te willen grijpen als beveiliging op cruciale momenten tekortschiet. Wie werkt in industrieën als de evenementenbranche, de voedselindustrie, de zorg, de onderwijssector, de bouw, scheepvaart, luchtvaart, of landbouw is inmiddels wel gewend aan die rol van de overheid. Maar sommige it-leveranciers waarschuwen dat dit kan leiden tot het afvinken van lijstjes en ‘dat moeten we met z’n allen niet willen’. Liever komt iedereen met een eigen methodiek

Dergelijke uitspraken zijn erop gericht IT als voodoo-industrie overeind te houden. Stel je toch voor dat we anders slecht of niet ontworpen en geprogrammeerde software moeten gaan aanpakken, of netwerken goed moeten gaan ontwerpen, of bij beheer alle administraties kloppend moeten krijgen en andere basics op onze lijstjes moeten zetten. Bij veel beveiligingsincidenten zie ik dat wij keer op keer dezelfde fouten maken. Daarom geven goed doordachte lijstjes inzicht in risico’s en processen.

In de luchtvaart is een dergelijke hautaine werkwijze ondenkbaar. Door stelselmatig normering toe te passen en lijstjes af te werken worden oude (dodelijke) fouten niet opnieuw gemaakt. Welke rechtvaardiging hebben wij om ons als industrie te verzetten tegen het op orde te krijgen van de basiskwaliteit? Onze samenleving is van IT afhankelijk. Falen is vaak zeer schadelijk, kostbaar en kan een organisatie (tijdelijk) platleggen. Problemen raken de fysieke werkelijkheid.

De 737 Max van Boeing maakt dat probleem op zeer pijnlijke wijze zichtbaar. Het vliegtuig is zo ontworpen dat de aerodynamische features bij normaal gebruik leiden tot een ‘stall’, waardoor het toestel zou neerstorten.

De oplossing is een stukje software dat de neus naar beneden drukt als dit probleem optreedt. De makers van de software hebben onvoldoende nagedacht over de mens-machine-interface. De toezichthouder toetst het systeem inmiddels als geheel onvoldoende. Dat kon niet voorkomen dat twee toestellen zijn gecrasht, resulterend in 346 dodelijke slachtoffers.

Een testpiloot meldt dat hij in een vroeg stadium serieuze zorgen heeft geuit. De reactie van Boeing? Die betreurt vooral het verhaal van de klokkenluider, los van de honderden doden.

Beveiligingsonderzoeker Chris Kubecka ontdekt it-zwakheden die volgens haar invloed kunnen hebben op het functioneren van het vliegtuig. De vliegtuigbouwer benadrukt bij ieder mediamoment ‘haar dankbaar te zijn’ om vervolgens de problemen te bagatelliseren met uitspraken als ‘in andere industrieën komen deze lekken ook voor’.

Het is duidelijk dat deze houding geen toekomst heeft. De industrie moet volwassener worden. Gebeurt dat niet goedschiks dan zal dat kwaadschiks gaan. Na de AVG zal de Europese Cyber Security Act veel partijen heldere normen opleggen. Geen zelfverzonnen normen, maar breed geaccepteerde.

Wie daar niet aan voldoet, plaatst zichzelf buiten de markt. Wie zich blijft verschuilen achter vermeende eigen superioriteit en wie blijft roepen dat we ‘dat niet moeten willen’ krijgt als antwoord ‘dan had je in Europa moeten meepraten’. Er is in onze industrie geen plaats meer voor IT-pubers.

Deze column verscheen eerder op ICT Magazine.

Zeroday-wetgeving legaliseert ‘diginukes’

D66-kamerlid Kees Verhoeven lanceerde onlangs een initiatiefwet om een afwegingsproces toe te voegen aan de inzet van zeroday-lekken voor Nederlandse overheden die hacken. Deze Wet Zeroday Afwegingsproces lijkt misschien een positieve ontwikkeling, maar in mijn ogen wordt een aantal fundamentele denkfouten nu tot wet verheven.

De positieve kant – gesteld dat deze wet wordt aangenomen – is het uitgangspunt dat zwakheden in software gemeld worden aan de leverancier. Het lek mag alleen geheim blijven als het te gebruiken is voor het hacken ten dienste van de staatsveiligheid, om de economische belangen van de staat te beschermen, strafbare feiten op te sporen, om de betrekkingen met andere landen te dienen of wanneer er sprake is van inbreuk op de persoonlijke levenssfeer.

Eigenlijk codificeert Verhoeven hiermee de status quo. Als we lekken kunnen gebruiken om te hacken dan doen we dat ook. Alleen speelt er bij digitale oorlogsvoering een aantal problemen. Lekken die niet gemeld en verholpen worden, verzwakken de veiligheid van alle systemen over de hele wereld. Het wapen is een middel voor betere veiligheid maar gaat ook ten koste van veiligheid. Tegen zerodays is verdedigen lastig. Het is natuurlijk naïef om te denken dat zerodays alleen in Nederland worden ontdekt. Er zijn meerdere voorbeelden dat zwakheden op verschillende plaatsen worden ontdekt. Het wapen kan bijvoorbeeld nuttig zijn voor een inlichtingendienst, maar ondertussen krijgen ook andere landen er de beschikking over en steeds vaker zien we ook criminelen met dit soort lekken aan de slag gaan. Wij kunnen dan wel verantwoord met de wapens omgaan, maar dat betekent niet dat anderen dat ook doen.

Er zijn talloze voorbeelden van gijzelsoftware die hele bedrijfstakken platleggen en grote maatschappelijke ontwrichting veroorzaken. Wannacry en Not-Petya liggen nog vers in ons geheugen. De schade liep in de miljarden en zelfs een containerterminal moest dicht. Bovendien waren dat niet eens zerodays, maar inmiddels bekende lekken. We zijn met de huidige stand van beveiliging zeer kwetsbaar. Dit soort wapens hebben digitaal gesproken een nucleair effect. Met het juiste lek kun je een heel land lamleggen.

Het minder zwak maken van de samenleving was dan ook de logische stap geweest. Dat betekent zwakheden melden bij leveranciers en de manieren van uitbuiten publiek maken. Zo kunnen beveiligingsbedrijven hun detectie- en preventieoplossingen verbeteren, wat leidt tot een veiliger samenleving. Dat Verhoeven een uitzonderingspositie voor de vitale sector wil maken, is een denkfout. De vitale sector zit op internet, wat een ecosysteem is. Deze bijzondere positie zal de vitale sector slechts in beperkte situaties beter beschermen.

Natuurlijk kun je stellen dat zerodays niet te bestrijden zijn. Als dat zo is, zijn we toe aan een internationale toezichthouder die de inzet van de digitale atoombom aan banden legt en monitort. Dan zijn we toe aan een internationaal verdrag. Tot die tijd hebben we te maken met een nieuwe situatie. Als we bij de overheid een lek of een probleem melden, maken we dan ons land veiliger of leveren we een bijdrage aan die digitale atoombom? Misschien moet we nog even heel goed nadenken voordat we met deze wetgeving verdergaan.

Het nieuwe normaal bij een digitale aanval

Hier moet Nederland van leren!” zegt Sebastiaan van ‘t Erve, burgemeester van Lochem tegen mij. We praten nog geen minuut als glashelder is dat zijn gemeente is getroffen door een aanval van serieuze omvang. In zijn stem hoor ik zorg, nervositeit, maar vooral vastberadenheid. Deze bestuurder toont het nieuwe normaal.

De uitwerking van de keuze is enorm. ‘Leren’ betekent uitzoeken wat er gebeurd is. Er komt deugdelijk forensisch onderzoek, het woord ‘schuld’ of ‘schuldige’ blijven onbesproken maar zijn evident taboe. We proberen fouten te vinden, te verhelpen, te documenteren en de kennis die we daarmee vergaren, willen we uiteindelijk verspreiden. De sfeer onderling is meteen goed. De communicatie is open, relaxt en wat vrij uniek is: er zijn geen politieke spelletjes. Het is bijna Rotterdams: niet lullen, maar poetsen. De inzet van de medewerkers is enorm, wat de stereotype ambtenarengrapjes in een ander daglicht zet. Diverse nachten wordt er doorgehaald, het pinksterweekend wordt opgeofferd en werkdagen van 30 uur zijn eerder regel dan uitzondering. Mensen moeten bijna worden gedwongen nu echt te gaan slapen. Iedereen wil maar één ding: het probleem verhelpen.

Advanced Persistent Threat

Dat probleem blijkt groot te zijn. De eerste aanval vond op 20 december 2018 plaats. Met enige regelmaat komen de aanvallers terug. Het is duidelijk dat Lochem veel aandacht van de aanvallers krijgt. Ofwel een gemeente met 34.000 inwoners is slachtoffer van een advanced persistent threat. Dat maakt het verhaal nog vreemder. Waarom zouden de aanvallers geïnteresseerd zijn in Lochem?

Het antwoord laat niet lang op zich wachten. Al snel vinden forensisch onderzoekers berichten op servers, waarin losgeld wordt geëist. Op een testserver zijn ook daadwerkelijk bestanden versleuteld. Het ‘op slot’ zetten van de Gemeente Lochem is een criminele businesscase. Waar malware meestal lukraak wordt afgeschoten, werken hier criminelen minutieus en doelgericht aan hun doel.

Dat zo’n aanval lonend is, blijkt als ik wat onderzoek doe. De stad Riviera Beach in Florida, Verenigde Staten, is met 34.000 inwoners even groot als Lochem. Ook zij werden getroffen door malware en konden niet meer bij recente back-ups. Via de verzekeraar werd onderhandeld en die zag zich genoodzaakt $ 600.000 af te staan aan de criminelen.

Dienstverlening platleggen

Later in het onderzoek wordt duidelijk dat er toegang is geweest tot inlognamen van gebruikers. Dat bewijs roept een pijnlijke vraag op: kunnen we uitsluiten dat men toegang heeft tot het netwerk met veel rechten? Windows kent het verschijnsel van een golden ticket, waarmee je op alle systemen terecht kunt met de hoogste rechten. Als die wordt ingezet, kunnen de aanvallers tijdens het onderzoek alles alsnog gijzelen.

Er is weliswaar geen bewijs dat dit probleem speelt. Vooralsnog is er geen gebruik van gemaakt, maar dat betekent niet dat het is uitgesloten. Dat leidt tot een dramatische conclusie: als we het niet kunnen uitsluiten dat er nog een aanval komt, moeten we dat onmogelijk gaan maken. Alles moet opnieuw worden ingeregeld. De uitvoering van zo’n operatie moet goed gebeuren en dat kost tijd. Eén avond en één nacht zijn daarvoor tekort. Veel gemeentelijke dienstverlening zal voor een dag gestaakt worden.

Het digitale incident heeft een harde fysieke uitwerking gekregen: de gemeentebalies gaan een dag dicht, de mail gaat plat, de administratie doet het niet en ga zo maar door. Lochem is nog maar heel beperkt bestuurbaar. De burger gaat merken dat er een aanval is geweest. Voor inwoners duurt de overlast ‘maar’ een dag. Intern duurt dat langer. Je durft er niet aan te denken hoe de situatie zou zijn als de aanval wel zou zijn geslaagd.

Forse schade

De gevolgen blijven in dit geval gelukkig beperkt. De criminelen hebben alleen gebruikersgegevens van de systemen ingezien en geen informatie uit de administratie over inwoners. Het datalek is overzicht en dat is op zich goed nieuws. Maar Lochem kroop door het oog van de naald. Het scheelde echt heel weinig of de criminelen hadden wel succes gehad. Als ze niet waren getipt had de gemeente al die maanden niets zien aankomen. En juist dat maakt het eng: wie volgt?

Dat er uiteindelijk geen gijzelingsactie heeft plaatsgevonden, betekent niet dat er geen schade is. Er zijn forse kosten die een gat slaan in de begroting van een kleine gemeente. Op het moment van schrijven is er al meer dan 200.000 euro aan schade. Een deel zit in onderzoek, een deel in acute acties die noodzakelijk zijn om de crisis te beheersen, een deel is veroorzaakt door de verstoring als gevolg van het incident en een deel zijn noodzakelijke verbeteringen. Het zijn terechte kosten, maar dat ze in geen enkele begroting staan, is wel lastig.

Met Van ‘t Erve stel ik vast dat er rond de schade eigenlijk iets vreemds aan de hand is. Stel dat de gemeente kosten moet maken na het neerstorten van een vliegtuig, bij een scheepsongeval of gasexplosie. Dan zou het Rijk bijspringen met daadwerkelijke hulp en met financiële ondersteuning. Waarom is dat nu niet het geval? Dat vraagstuk is nu onderdeel van discussie. Deze discussie wordt gevoerd met een welwillend houding, want iedereen loopt dit soort risico’s.

Informatie delen

Ook al ging het net niet mis, in Lochem is wel het nieuwe normaal ontstaan. Voor zover mogelijk is alles naar buiten gebracht. Dat omvat veel informatie uit het forensisch onderzoek en een duidingsrapportage met daarin harde, soms pijnlijke lessen. Iedereen kan met deze informatie de kansen op een vergelijkbaar incident kleiner maken, lering trekken en wakker worden bij een nieuwe realiteit.

Informatie delen is geen wensdenken, maar een signaal dat de ICT professionaliseert. Want als er ergens na een incident fouten moeten worden opgespoord waarvan als norm wordt geleerd, is dat wel in de ICT.

Column: Openheid als wapen tegen duistere zaken

Al maanden zijn politici aan het schreeuwen om maatregelen tegen spionage. Onzekerheid van schimmige praktijken maakt mensen onzeker. De remedie is simpel en doeltreffend, maar wel veel werk: transparantie.

De verontwaardiging was groot toen bleek dat medewerkers van ASML bedrijfsgeheimen hadden gestolen voor economische spionage. Uit het parlement kwam meteen de roep op een verbod op Huawei. Als door een wesp gestoken reageerde de topman van ASML met de boodschap dat hij de spionage juist toeschreef aan het Zuid-Koreaanse Samsung. Huawei is voor de omzet van ASML zeer belangrijk en eerder vriend dan vijand.

Dossiervorming

Inmiddels zijn politici zo geprogrammeerd dat spionage gelijk staat aan China of Rusland. Na alle Amerikaanse retoriek is Huawei gebombardeerd tot de ultieme zondebok. We moeten de Amerikanen maar op hun blauwe ogen geloven, want bewijs wordt niet geleverd. Daarom blijven we hangen bij beeldvorming als ‘slecht’ en ‘gevaarlijk’ en andere termen die een president in 280 karakters kan Twitteren.

Kijken we wel naar de inhoud, dan is het beeld diffuus. De Verenigde Staten blijken dan zelf wereldkampioen spioneren te zijn. Microsoft, Facebook, Google, Amazon en velen anderen werden tegen wil en dank ingezet om NSA-systemen, zoals ‘Prism’, mogelijk te maken. China voert aanvallen uit op bijvoorbeeld Asus en Netsarang om te spioneren. De AIVD breekt in bij Russische inlichtingendiensten, die op hun beurt bij ons losgaan. Kortom, iedereen kan Trojaanse paarden in soft- en hardware leveren.

Transparantie

De manier om het succes van een Trojaans paard te verminderen, is het paard van binnen bekijken. Bij software is dat kijken naar de procedures in bedrijven en de software die wordt geleverd. Weet wat je in huis haalt, wie wat levert en hoe die organisaties functioneren. Daarvoor is het wel nodig dat wij heldere criteria hebben hoe we toetsen, zodat we niet op basis van willekeur opereren. Het grote voordeel van open-sourcesoftware is dat we exact kunnen toetsen wat er in de programmatuur zit. Na jarenlang de neus daarvoor ophalen en niet toetsen, zullen we dat wel moeten gaan doen om de kans op spionage te verminderen.

Als je kijkend naar feiten tot de conclusie komt dat een leverancier een verhoogd risico vormt, is het prima. Maar dat betreft zeker niet alleen Chinese bedrijven die overheden helpen spioneren. Ook Amerikaanse firma’s die tegen alle beloftes in gesprekken afluisteren, heimelijk microfoontjes in apparatuur inbouwen of toetsaanslagen op computers bijhouden. In het licht van goede dossiervorming en transparantie blijken zelfs sommige Nederlandse beveiligingsbedrijven een spionagerisico te vormen.

Een inkijkje in een falend it-project

In het kader van een lopende procedure was ik als expert betrokken bij een zaak. Kern van de discussie: worden uitspraken van de Rechtspraak digitaal correct ondertekend?

Authenticatie bij Rechtspraak

Onlangs keurde de hoogste bestuursrechter de manier van inloggen voor het ondertekenen van uitspraken bij de Rechtspraak grotendeels af. De echte pijn zit niet in de uitspraak van de Raad van State, maar in de plots zichtbare nieuwe pijnpunten van het KEI-project dat al 200 miljoen euro verslond. De inzet is fors: de betrouwbaarheid onze nationale jurisprudentie.

Het gebeurt zelden dat het administratief functioneren van rechtbanken inzet is van een hoger beroep. De Afdeling Bestuursrechtspraak van de Raad van State is gevraagd te beslissen of de digitale handtekening op rechtbankuitspraken rechtsgeldig zijn. De kwestie speelt in een zaak tussen een asielzoeker en de Immigratie en Naturalisatiedienst (IND). Maar het is de Rechtspraak die zich verdedigt tegen de aantijging dat de digitale handtekening niet voldoet aan de norm voor het digitaal ondertekenen van uitspraken: de meerfactor-authenticatie.

Eigen realiteit

Volgens de Rechtspraak voldoet de norm wel. De eerste factor wordt geboden met de Rijkspas, die bij toegangspoortjes wordt ingezet om de rechtbank binnen te komen. Als tweede factor voert de Rechtspraak aan het inloggen op het systeem met gebruikersnaam en het wachtwoord. Het toegangssysteem heeft geen enkele verbinding met het zaaksysteem, waardoor een identiteitsclaim voor dat laatste systeem niet met twee factoren wordt geverifieerd.

Volgens de Rechtspraak hoeft het verifiëren van zo’n claim niet in hetzelfde systeem te gebeuren. Verder mag er tijd zitten tussen de beide authenticatiemethodieken. Dat laatste onderbouwt ze met een trainingshandboek de CISSP (Certified Information Systems Security Professional). Dat een cursushandboek van een Amerikaanse non-profit organisatie de basis van het betoog van de Rechtspraak vormt en niet een daadwerkelijke Europese beveiligingsnorm, zoals het door ENISA en het Nederlandse Forum Standaardisatie uitgedragen STORK-raamwerk is het eigenlijke ict-probleem hier: een eigen invulling van de digitale handtekeningen. Daarbij is bewust gekozen om rechtbanken vrij te stellen van de eIDAS-verordening op dit gebied. De Rechtspraak creëert een eigen ict-realiteit. In plaats van de digitale handtekening cryptografisch te borgen – zoals gebruikelijk – is een ondertekende uitspraak een PDF-bestand, met op de plek van de ondertekening de naam van de ondertekenaars. Als iedereen heeft getekend, maakt het zaaksysteem een controlegetal aan in een database. Het blijft onduidelijk hoe is geborgd wanneer op een later moment in de database wijzigingen worden gemaakt of hoe een audittrail werkt. Uit de beschikbare documentatie blijkt niet dat hiervoor maatregelen zijn genomen.

Verstrekkende gevolgen

Door het ontbreken van een cryptografische borging kunnen externe partijen geen digitale verificatie uitvoeren. Hoe problematisch dat in de praktijk is, ontdekte advocaat Gonny Meijering, die deze zaak aanbracht. Een rechter gelastte de vrijlating van een cliënt uit vreemdelingendetentie, maar dat weigerde de instelling op basis van een niet toetsbare PDF. Vrijlating volgde de volgende dag toen er met de rechtbank was gebeld om de authenticiteit van de uitspraak te bevestigen.

Naast de problemen rond dit individu speelt er een ander pijnpunt. Uitspraken zijn namelijk niet alleen voor de procespartijen op dat moment van belang. Ze vormen bij elkaar jurisprudentie die verifieerbaar juist moet zijn. In de toekomst kan dat specifiek voor een persoon, object, bedrijf of bestuursorgaan van belang zijn, maar ook als basis voor een geheel andere procedure. Je wilt dan geen ingewikkelde discussies over de uitspraak zelf.

Demonstratie fraude

De implementatie digitaal tekenen wordt nog opmerkelijker als de Rechtspraak een cursusvideo in de procedure inbrengt. In de video legt een vrouw uit hoe digitaal ondertekenen werkt. Daarvoor heeft zij drie tabbladen openstaan in Microsoft Internet Explorer. Op het eerste tabblad is zij ingelogd als een administrateur die de beslissing digitaal uitspreekt. Op het tweede tabblad is zij aangemeld als de rechter die ondertekent, terwijl ze op het derde tabblad de identiteit van de tweede rechter aanneemt. In haar eentje geleidt zij met succes een conceptuitspraak naar een dubbel ondertekende en uitgesproken zaak.

Dat één persoon meervoudig als anderen aangemeld kan zijn, logenstraft de effectiviteit van de toegangspas als tweede factor. Maar het legt nog een ander probleem bloot. Administratieve systemen worden soms anders gebruikt dan waarvoor ze zijn ontworpen. Het scenario opent een mogelijkheid dat een administratief medewerker namens de rechter met zijn of haar inloggegevens tekent.

Tijdens de zitting toont een rechter hoe hij ‘zijn’ digitale handtekening onder een echte uitspraak zet. “Voor ik teken lees ik altijd de uitspraak door”, stelt de magistraat en scrolt door een pdf-bestand snel naar beneden. Zonder te lezen stopt hij onderaan, valt stil, scrolt omhoog, wordt weer stil en vraagt dan aan de administrateur: “Hoe sluit ik dit [Adobe Acrobat] ook alweer?” Na het sluiten van de reader legt hij gespannen verder uit hoe hij in de webinterface een ondertekening zet. Het wekt niet de indruk van iemand die dit dagelijks doet.

Gemiste kansen

De zaak ademt onbegrip uit en het onvoldoende doorgronden van basisbeveiligingsprincipes. Door niet aan te sluiten bij bestaande nationale en Europese normen, open standaarden en afspraken kiest de Rechtspraak voor een bijzondere positie met hun zienswijze op de ‘digitale handtekening’. Implementatie van een zelf uitgevonden wiel is onnodig duur en complex. Bovendien grijpt de Rechtspraak naast de voordelen van echte digitale handtekeningen, zoals een hoge mate van zekerheid rond de authenticiteit van de ondertekenaars en integriteit van de uitspraak.

De digitale handtekening is slechts één uit een lange reeks van features, die past in een administratieve flow. Het lijkt er sterk op dat de Rechtspraak bestaande processen 1-op-1 heeft gedigitaliseerd, zonder daarin complexe zaken als identiteitsmanagement, authenticatie en cryptografie mee te nemen. Met een cursushandboek en een toegangspas krijg je geen betrouwbare digitale handtekening, zelfs niet met een budget 200 miljoen euro.

Een te innige band tussen overheid en journalistiek is niet gezond

Voor de Ommekeer TV spreekt Paul van Liempt met oud-onderzoeksjournalist Brenno de Winter over AIVD-informatie Van Hout, de innige banden tussen journalistiek en overheid en het debat rondom digitalisering en Huawei.

Update onderzoek naar Kaspersky Lab

Recentelijk heeft de Europese Commissie uitspraken gedaan over het risico rond Kaspersky Lab. Daarnaast heeft een wetenschapper onderzoek verricht naar de juistheid van de bewering dat Kaspersky Lab op basis van Russische spionage wetgeving gedwongen kan worden mee te werken aan Russische inlichtingenoperaties. Op basis van deze gebeurtenissen is het rapport bijgewerkt en zijn de nieuwe stukken aan de onderliggende onderbouwing toegevoegd.

Opmerking Kaspesky Lab heeft sinds het verschijnen een rebranding ondergaan en wordt nu Kaspesky genoemd. Voor de consistentie spreekt het rapport nog over Kaspersky Lab.

Waar gaat het rapport over?

Op 14 mei 2018 draagt het Nederlandse kabinet de Rijksoverheid op de antivirussoftware van Kaspersky Lab niet langer te gebruiken en uit te faseren. Organisaties die vallen onderAlgemene Beveiligingseisen Defensie Opdrachten (ABDO) of vallen onder vitale diensten en processen krijgen het advies hetzelfde te doen. Het advies geldt niet voor andere organisaties. Ook maakt het kabinet duidelijk dat het alleen gaat om de antivirussoftware,niet om de andere producten en diensten van Kaspersky Lab. Er zijn voor het kabinet drie redenen om deze keuze te maken:

  1. Antivirussoftware heeft uitgebreide en diepgaande toegang tot een computer. Zulke toegang kan misbruikt worden voor spionage en sabotage.
  2. Als Russisch bedrijf is Kaspersky Lab volgens Russische wetgeving verplicht om bij de overheid mee te werken als de Russische inlichtingendiensten hierom verzoeken.
  3. De Russische Federatie heeft een offensief cyberprogramma. Dat laatste betekent dat het land met behulp van computers actief spionage en sabotage pleegt.

Het kabinet spreekt in een brief aan de Tweede Kamer van een voorzorgsmaatregel met als reden te vrezen voor spionage en sabotage. Daarbij schrijft het kabinet een eigen,aangescherpte afweging in het kader van de nationale veiligheid te hebben gemaakt. Inessentie komt de vrees van het kabinet erop neer dat de antivirussoftware van KasperskyLab, een bedrijf dat malware bestrijdt, zelf wordt ingezet als Trojaans paard ofwel malware.

Nederland beschikt niet over voorbeelden waaruit blijkt dat er misbruik is gemaakt van de antivirussoftware van Kaspersky Lab. Ook bij andere (Europese) landen en de Europese Commissie zijn er geen voorbeelden bekend. Als KRO-NCRV bij een journalistiek onderzoek met succes een beroep doet op de Wet openbaarheid van bestuur (Wob) komen nadere documenten beschikbaar.

Analyse

Brenno de Winter van De Winter Information Solutions is door Kaspersky Lab gevraagd een reconstructie te maken van de voorzorgsmaatregel van het kabinet en de drie observaties van het kabinet te analyseren. In een tijd van digitale operaties is het logisch en goed dat het kabinet alert is op de gevaren van spionage en sabotage. Dit rapport onderzoekt inhoudelijk en procedureel hoe de argumentatie vanuit het kabinet tot stand is gekomen, in hoeverre Kaspersky Lab op basis van deze argumentatie inderdaad een dreiging vormt en welke stappen noodzakelijk zouden zijn een dergelijke dreiging het hoofd te bieden.

VNG Crisisgame 2.0

Voor de Vereniging Nederlandse Gemeenten hebben Brenno de Winter en Barbara Bulten (De Winter) de nieuwe crisisgame mogen maken. Bibi Hoosein van de VNG heeft daarbij een sfeer gemaakt om de game ook echt tot iets moois uit te bouwen. Daarin wordt een informatiebeveiligings-incident gekoppeld aan fysieke dreiging. De game is in juli 2019 beschikbaar, maar de trailer is nu al openbaar en daar ben ik best trots op.

Trailer van de VNG Crisisgame 2.0