Zet privacywetgeving in tegen databoeven

Na het misbruiken van Facebook-gegevens door Cambridge Analytica werd opeens pijnlijk data wat de kracht van big data is. De gebruikers laten onbewust zoveel informatie achter dat zaken als politieke voorkeuren, seksuele geaardheid, medische of psychische problemen met redelijke zekerheid kunnen worden worden vastgesteld op basis van bezochte sites, likes, berichten en andere informatie.

Handig

Soms is het gebruik van die data reuze handig. Een dienst als Tinder kan zo mensen goed aan elkaar koppelen op basis van het Facebook-profiel. De wordt zo gekneed dat de dienst bijna griezelig goed werkt. Zo heb ik mijn huidige vrouw leren kennen, waarbij niet alleen interesses, sociale achtergrond, werkveld en netwerk overeenkomen, maar ook op veel politieke onderwerpen de match eng klopt. Wat er daarna met de data gebeurt, weet ik niet.

Wie er toegang krijgt tot de data kan veel mensen weinig schelen. Ook Facebook moet geld verdienen en daarom is het gebruik door adverteerders is niet meer dan logisch. Dat die data ook misbruikt kan worden toont Cambridge Analytica. Zij zetten de data, mogelijk ten onrechte, in om een beeld te vormen van gebruikers en die met de juiste toonzetting voor verkiezingen te benaderen.

Asbestproblematiek

Natuurlijk kennen we het gezegde ‘dat als de dienst gratis is, ben jij het product’. Maar het maakt nogal uit hoe dat vorm krijgt. De toestemming die we geven, kan natuurlijk geen blanco cheque zijn. De privacywetgeving die in mei ingaat verplicht niet alleen om duidelijk uit te leggen wat er met data gebeurt. Als de toestemming wordt ingetrokken – wat onder de nieuwe wet altijd kan – moeten ook anderen stoppen met het gebruik van de gegevens.

Facebook zegt echter dat het regelen van de privacy en daarmee het voldoen aan deze regels jaren kan duren. Een typisch voorbeeld van een veelkoppig monster waar we als gebruikers weinig regie over hebben. Dat doet sterk denken aan de asbest-problematiek. Ook daar duurt het een lange tijd voor de gevaren zich manifesteren, maar als het mis gaat is de schade onherstelbaar.

Ingrijpen

Natuurlijk kunnen we er ons eenvoudig vanaf maken door te roepen dat we het zelf doen, diensten niet moeten gebruiken of dan maar geen gegevens moeten verstrekken. Maar de profielen van Facebook en andere diensten worden op zoveel manieren gevuld dat je eraan onttrekken heel lastig is. En daarnaast is niet de gebruiker het probleem, maar het bedrijf. Alleen een overheid heeft de middelen om in te grijpen bij bedrijven als Facebook en Cambridge Analytics.

Daar ligt nu een schone taak. Het zijn bedrijven die gegevens misbruiken, die verantwoordelijk zijn voor het lekken van de gegevens. Zij zijn het dus die helder moeten vertellen hoe ze de data gebruiken. Dat laatste gebeurt vaak alleen in vage bewoordingen, omdat het verhaal onprettig is. Net als bij asbest zou je de gevaren aan gebruikers moeten voorleggen. In mei is de Europese privacywetgeving bindend. Een mooi moment om te gaan ingrijpen en dwingend dit soort praktijken te stoppen.

Wijzigingen Wiv stap vooruit, maar onvoldoende

De voorgestelde aanpassingen op de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) na de uitslag van het referendum zijn concreet en een verbeteringen. Toch haalt het niet de echte pijnpunten weg. Wat mij betreft een gemiste kans.

Restrictiever

Dat er nu restrictiever wordt gekeken naar welke landen de inlichtingendiensten gevoelige data over bijvoorbeeld Nederlandse burgers mogen uitleveren, is een goede stap. De vraag is hoe publiek dat debat wordt gevoerd. Leveren wij gegevens bijvoorbeeld aan de VS uit? Maar een van de grootste pijnpunten blijft overeind: men mag data naar andere landen sturen zonder dat dit gefilterd of onderzocht wordt. Het blijft vreemd dat dit nog altijd overeind blijft. Want waarom gegevens over Nederlandse burgers naar andere landen sturen zonder te weten of het nuttig is.

Het laatste punt blijft ongelukkig. Andere landen leveren namelijk niet zomaar informatie over eigen burgers uit. Wij lijken hiermee meer data uit te leveren dan andere landen ons aan informatie gunnen. Vergelijkbare wetten in andere landen zijn restrictiever. Ook blijft onduidelijk hoe wordt voorkomen dat gesleepte data niet wordt ingezet voor economische spionage. In Nederland is dat verboden, maar in het buitenland niet.

Fundamentele rechten

Verder is het goed dat fundamentele rechten nu op de radar komen bij het inzetten van ongericht (slepen) van gegevens. Het logisch gevolg daarvan is dat je ook gaat kijken hoe je zo’n bevoegdheid vervolgens gerichter gaat inzetten. Ook het niet automatisch drie jaar bewaren van gegevens is een logische stap, omdat een inbreuk op rechten van mensen zo kort mogelijk hoort te zijn. Maar dit zijn ook precies twee van de punten waar zeer waarschijnlijk het Europese Hof voor de Rechten van de Mens over zou zijn gevallen.

Tot slot is het jammer dat het kabinet er niet voor gekozen heeft om het hacken van derden die volledig onschuldig zijn te schrappen. Juist Nederland zou beter moeten weten. In ons land is immers Diginotar gehackt met als doel verkeer van Iran naar vooral Google te kunnen tappen. In de nasleep ging het bedrijf failliet en had ons land ook forse schade. Los daarvan werd de hack gebruikt om dissidenten te hinderen.

Mene tekel

Samenvattend is dit een kleine stap in de goede richting. Het is niet te begrijpen dat nog altijd gegevens ongezien aan diverse andere landen worden verstrekt zonder dat bekend is dat dit iets oplevert of noodzakelijk is. Dat is ook ouderwets denken. Er zijn technische mogelijkheden om data veel slimmer en gerichter uit te wisselen. Dat die niet worden benut is een gemiste kans. Was de mensenrechtentoets ingezet, zouden we alleen gefilterde data uitwisselen en niet derden hacken dan was de wet echt een ander plaatje.

(On)veiliger door techniek?

De opmars van de digitalisering heeft gezorgd voor veel vooruitgang in het veiligheidsdomein. We leven in de veiligste samenleving ooit met dank aan de technologie. Maar introduceren we geen nieuwe, onbeheersbare risico’s?

Camera’s zijn niet meer weg te denken uit het straatbeeld, in het openbaar vervoer, in de restaurants, cafés, scholen, kinderopvang, de werkvloer en andere aspecten van het openbare leven. In straten waar de camera’s niet hangen, zijn er burgers die actievoeren om alsnog onder cameratoezicht te vallen.

En voor de prijs hoef je het niet te laten. Voor een kleine negen euro bestel je in China al een full-hd-camera. Wie liever via draadloze netwerken werkt betaalt het dubbele en voor een paar tientjes meer is de camera direct op internet aangesloten. De techniek is zo verfijnd dat je de camera’s ook steeds beter kunt verbergen. Waarom zou je het niet doen?

Sekssites

Uiteindelijk is de toegevoegde beveiliging het ultieme argument. Alleen de enkele privacy-fetisjist zeurt nog wat door over de twijfels aan de effectiviteit, het misbruiken van de beelden, de mogelijkheid om de camera’s te hacken, het je anders gaan gedragen in ruimten waar je gefilmd wordt en je dus minder vrij voelen. Vooral de vergelijking met 1984 van George Orwell doet het dan goed. Die redenering is gemakkelijk te pareren met een ‘als je niets te verbergen hebt dan heb je niets te vrezen’.

Maar die redenering klopt dus niet. Daar kwamen de Nederlandse handbalvrouwen achter nadat zij naar de sauna gingen. Een camera in de kleedkamer werd voer voor sekssites. Naast input voor Big Brother zijn de vrouwen nu ook commerciële handelswaar. Want de sportieve, naakte lichamen hadden niets te verbergen, maar veel te verliezen.

De camera’s zouden volgens de eigenaar van de sauna zijn gehackt. Geen gek verhaal, want welke beveiliging mag je verwachten van een hd-camera van twee tientjes inclusief de kosten verzending? En die hangen we op internet? Met dank aan dat gedrag zijn duizenden camera’s zonder enige beveiliging te bekijken. Zo kijken viespeuken mee in de sauna, pedo’s bij de kinderopvang en stalkers bij gewillige slachtoffers.

Ontspannen

Ondertussen blijken camera’s maar beperkt te werken in het voorkomen van misdrijven. Bij de opsporing kunnen ze nuttig zijn. Maar we mogen twijfelen aan de effectiviteit van het middel. De critici hadden misschien toch een punt toen ze stelden dat er aan de technologie ook risico’s zitten.

Camera’s zijn zo klein dat we ze niet meer zien. Terwijl de kwaliteit van het beeld toeneemt, daalt de prijs en daarom zijn ze overal in ons leven. Maar wat doet dat met ons gedrag als we ons omkleden in het zwembad, de kinderen bij de buitenschoolse opvang brengen, in de sauna zijn of op een openbaar toilet zitten? Ben je helemaal jezelf of moet je toch denken aan die gluurders op de sekssite?

CYBER Charlatans

Donderdagavond ben ik gewezen op een passage in het boek ‘De Wereld van CYBERSECURITY en CYBERCRIME’, waarin de suggestie wordt gewekt dat ik tips zou hebben gegeven. Die suggestie is onjuist en onwaar. ‘Tips van Brenno de Winter’ is buiten mij om gemaakt en tegen mijn wil in het boek gekomen.

Wel ben ik gevraagd een citaat te leveren voor het boek. Ik heb daarvoor het manuscript gevraagd. Na het doorworstelen van een paar pagina’s heb ik de uitgever gezegd dat dit werk een verzameling onzin was. Natuurlijk heb ik geweigerd een citaat gegeven. De enige tip die ik heb gegeven is het niet uitbrengen van dit broddelwerk.

De nauwelijks te ontdekken hack

Het is de nachtmerrie van iedere organisatie: je neemt beveiliging serieus en doet al het juist en toch ben je kwetsbaar voor de digitaal kraak die niet of nauwelijks te ontdekken is. Wie een virtuele dienst heeft, kan bedrijfsgegevens zo in handen van andere gebruikers geven. De Meltdown-aanval maakt dat nachtmerriescenario realiteit.

Meltdown is een aanval, waarbij de onderzoekers niet het besturingssysteem of de software aanvallen, maar de processoren. Dit ligt een niveau dieper dan het besturingssysteem. De processor kun je niet updaten zonder de hardware te vervangen. Er is dan ook geen simpele oplossing. Wie braaf heeft geupdate, de computer bewaakt en eigenlijk alles doet wat zo belangrijk is, blijkt toch kwetsbaar.

Veel scenario’s

Het besturingssysteem kan – zolang dit probleem niet bekend is – deze aanval ook niet ontdekken en zeker ook niet stoppen. Alles wat met de processor gebeurt is niet alleen te volgen. Wachtwoorden zijn af te tappen en daarmee wordt de ramp groter. In veel gevallen kun je dan inloggen of op andere manieren misbruik maken. Deze aanval is een opstapje naar veel en veel meer.

In een donker scenario kun je de werking van een computer aanpassen. Een bank die saldi verkeerd weergeeft, een zelfrijdende auto met een eigen wil, een vliegtuig dat de weg kwijt is, een administratie die niet meer klopt of een mobiele telefoon die telefoonnummers wist, zijn voorbeelden van aanvallen die mogelijk worden.

Wie een computer deelt door bijvoorbeeld gebruik te maken van een virtuele server is extra kwetsbaar. De buurman op dezelfde set aan machines kan meekijken bij andere gebruikers. En het slechtste nieuws van alles is: dit zijn aanvallen die je mogelijk in de toekomst wel kunt detecteren, maar niet zomaar in logboeken terugvindt. De aanval is gericht tegen de processor niet het besturingssysteem. Wie het netwerk niet actief bewaakt en weet waar te zoeken zal niets door hebben.

NSA-stijl

Dit is de droom van iedere kwaadwillende aanvaller: inbreken, misbruik maken van systemen en nagenoeg niet te detecteren zijn. De natte droom van een inlichtingendienst alla NSA. Of die dit soort mogelijkheden hebben op dit moment weten we niet. Maar het onderzoek naar Meltdown maakt pijnlijk duidelijk hoe belangrijk het is dat we aanvalsscenario’s beter leren te begrijpen.

Erik de Jong: Economische Spionage hoe de Chinezen het doen Mo Fang

Hoe werkt economische spionage? Mó fáng is een Chinese groepering die zich richt op economische spionage. Erik de Jong van Fox-it legt aan Brenno de Winter hoe Mó fáng te werk gaat.
Doelgroep: management en security officers van bedrijven waar veel innovatieve kennis beschikbaar is.

Leerpunten:
· Economische spionage is een langlopende operatie;
· APT Advanced Persistent Threat;
· Breng je medewerkers op de hoogte van mogelijke economische spionage.

Digitale stormvloed: Beveiliging is wachten op de Titanic

In mijn boek “Digitale stormvloed” sta ik uitgebreid stil bij tussen de parallel die er is tussen fysieke veiligheid en digitale veiligheid. Het kantelpunt bij fysieke veiligheid in vooral de logistiek is evident de ondergang van de Titanic. In de digitale veiligheid is dat kantelpunt nog niet geweest. De passage uit het boek treft u hieronder aan.

Wat de samenleving veiliger kan maken, hebben we in vergelijkbare situaties al geleerd. Na een groot veiligheidsincident in de scheepvaart, met een trein of in de luchtvaart volgt steevast een publiek rapport. We trekken lessen die vaak uitmonden in duidelijke regels. Na het verdwijnen van de MH370 wordt overwogen om gebruik te gaan maken van het Inmarsat-satellietsysteem dat momenteel ook in de zeevaart in moeilijk te volgen gebieden een rol speelt. Na de crash van het vliegtuig van Turkish Airlines bij Schiphol zijn bijvoorbeeld verbeteringen in de hulpverlening doorgevoerd. Na het neerschieten van de MH17 is afgesproken dat een aantal inlichtingendiensten beter waarschuwen voor gevaarlijke gebieden en is besloten om niet langer over conflictgebieden te vliegen als dat niet echt noodzakelijk is. Maar in de informatiebeveiliging is het nog niet gebruikelijk om na een groot incident breed lessen te trekken en bindend regels op te leggen. Het lijkt erop alsof de wereld wacht op de digitale ondergang van een Titanic voor er echt iets verandert. “Digitale stormvloed: Beveiliging is wachten op de Titanic” verder lezen

Uber belemmert innovatie met geheimzinnigheid datalek

Taxibedrijf Uber heeft een groot datalek met persoonsgegevens onder de pet gehouden. Het bedrijf betaalde zelfs de hackers om de zaak te sussen. Dat is niet alleen slecht voor de 57 miljoen klanten die het betreft, maar ook voor ambities voor zelfrijdende auto’s.

De hack vond vermoedelijk plaats in oktober 2016 en treft persoonsgegevens van 57 miljoen klanten over de hele wereld en persoonsgegevens van 600.000 chauffeurs in de Verenigde Staten. Bloomberg heeft een artikel geplaatst waar ook inhoudelijk uitleg is te vinden.

Geheimzinnigheid

Het bedrijf besloot honderdduizend dollar te betalen om bij de hackers te bedingen dat de zaak niet naar buiten zou komen. Die vorm van geheimzinnigheid is alleen al kwalijk, omdat in diverse landen – waaronder Nederland – dit soort beveiligingsincidenten een meldplicht kennen. In ieder geval bij de toezichthouder, maar in veel gevallen ook bij de klant: u en ik.

Met de geheimzinnigheid is niet alleen de wet overtreden, maar ook moreel verwerpelijk. Het miskent dat na een lek de chauffeur of de klant zelf een inschatting moet kunnen maken of ze risico lopen. Maar nog belangrijker: door een cultuur van wegmoffelen, wordt verdedigen tegen criminaliteit moeilijker. Anders gezegd: geheimzinnigheid is in het belang van kwaadwillende hackers die belang hebben dat we ons niet beter beveiligen.

Vanuit beveiligingsoogpunt wil je juist wel weten wat er gebeurd is en welk probleem is verholpen. Door lessen te trekken, kunnen we het een volgende keer beter doen. Voor fysieke veiligheid is lessen trekken de norm sinds de ondergang van de Titanic. Voor digitale veiligheid zou dat niet anders moeten zijn in onze informatiesamenleving.

Zelfrijdende auto

Bij een bedrijf als Uber mag je de lat zelfs hoger leggen. De onderneming werkt aan een zelfrijdende auto, die uiteindelijk de taxichauffeur moet vervangen. Dat is de software die moet helpen het aantal verkeersdoden fors naar beneden te krijgen. Auto’s zijn meer en meer afhankelijk van technologie. Daar is geen ruimte voor een mentaliteit waar je een ton betaalt om problemen onder het tapijt te schuiven.

Onze samenleving is zeer afhankelijk van technologie en door de snelheid van ontwikkeling ook kwetsbaar voor allerhande vormen van misbruik en ellende door softwarefouten. Dat zou de ICT-industrie zich meer mogen aantrekken, want uiteindelijk gaat digitale veiligheid ook over onze fysieke veiligheid.