Sleepwet: Praat mee over je digitaal privéleven

Met een nieuwe afluisterwet gaat Nederland een grens over waar internetexperts, wetenschappers, geheimhouders, bedrijfsleven en mensenrechtenactivisten fel tegen zijn. Een haalbaar referendum stelt een fundamentele verandering eindelijk ter discussie.

De nieuwe Wet op de inlichtingen- en veiligheidsdiensten (Wiv) opent de weg om naast gericht op een persoon of groep ook onschuldige burgers te tappen. Alles uit naam van de veiligheid. Wat de wetswijziging moet opleveren is niet onderbouwd.

Fundamentele verandering

In de nieuwe wet kan bijvoorbeeld een hele wijk of een organisatie worden getapt. De hoop is dat daarmee bepaald afwijkend gedrag in kaart te brengen is. Hoe dat werkt, is niet onderbouwd. Wat nieuw is, is dat we geen vermoeden meer nodig hebben om mensen in de gaten te houden.   

In een informatiesamenleving laten we met bijna alles digitale sporen achter op sociale netwerken, mail en computersystemen cruciaal. Ook zaken als een misstand, conflict, medische informatie of iets anders heeft opeens de terechte angst dat iemand meekijkt. Daarmee komt ons digitale privéleven ter discussie te staan. We gaan een grens over.

Dat gaat niet alleen mensen aan, maar ook bedrijven. Hoe aantrekkelijk is het voor een buitenlandse onderneming om zich hier te vestigen of hier computers te plaatsen en vervolgens de bedrijfsgeheimen in te leveren bij de Nederlandse overheid? Dat schept niet bepaald een lekker vestigingsklimaat.

Weerstand

Er is veel kritiek bij wetenschappers, experts op het gebied van aftappen, het bedrijfsleven (waaronder grote ondernemingen als Microsoft, Google, KPN, T-Mobile, Vodafone, BT, Tele2, Verizon, internetproviders, enzovoort), de koepel voor de ICT-branche, de Raad van State, bij mensenrechten- en burgerrechtenorganisaties, belangengroepen van bijvoorbeeld journalisten, advocaten, Greenpeace, huisartsen, VNONCW en ga zo maar door. Om duidelijk te zijn: allen zijn om veel verschillende redenen tegen de wet.

Met de kritiek is nauwelijks iets gedaan. Critici zet Lodewijk Asscher (PvdA) weg als ‘naïef’ zonder onderbouwing over nut en noodzaak te leveren. Het maatschappelijk debat is nauwelijks gevoerd. De kamer ging akkoord en dat is niet heel bijzonder voor een orgaan dat in de afgelopen kabinetsperiode de volgende conclusie(lange pdf) over zichzelf trok:

De Kamer maakt haar controlerende taak niet waar door een gebrek aan interesse voor ICT en een gebrek aan deskundigheid op ICT-gebied. Bovendien schiet de Tweede Kamer informatievoorziening van het kabinet aan de Kamer tekort.

De vraag is daarom gerechtvaardigd wie er nu naïef is. Er is zicht (ruim 297.000 van de 300.000 handtekeningen zijn gehaald) op een raadgevend, correctief referendum over deze Wet op de inlichtingen- en veiligheidsdiensten met de daarbij horende debatten in aanloop naar het referendum.

Een mooi moment om de niet malse waarschuwingen nu eens goed en rustig opnieuw te bespreken, bewijs van noodzaak en effectiviteit te eisen om zelf keuzes te maken over de inrichting van onze informatiesamenleving. De vraag is of de overheid ons hele leven moet controleren of niet. Voor dat debat teken ik, u ook?

Leren van de massale digitale infecties met WannaCry wereldwijd

Volgens onderzoekers zijn honderdduizenden computers getroffen door de gijzelsoftware die bestanden op computers ontoegankelijk maakt (versleuteld). Pas na betaling van een bedrag van 300 dollar belooft de aanvaller de schade ongedaan te maken. Op basis van wat we nu weten kunnen we veel leren om de kans op dergelijke digitale virusuitbraken te verkleinen en de gevolgen te beperken.

Tussen de slachtoffers van de kwaadaardige software, met de onder andere de namen WannaCry of WannaCrypt, zitten in ieder geval Britse ziekenhuizen, de Deutsche Bahn, het Russische Ministerie van Binnenlandse Zaken, automobielbouwer Renault, Universiteiten, telecomproviders, vervoersbedrijf FedEx, de betaalautomaten QPark en veel particulieren. Het virus is inmiddels al door meerdere experts bekeken en daardoor zijn er veel technische details beschikbaar:

  1. De software werkt op het Windows-platform. Apple OS X en Linux zijn voor dit specifieke probleem niet gevoelig;
  2. De verspreiding gaat volgens de Nederlandse overheid in eerste instantie via e-mail;
  3. Om te kunnen functioneren maakt WannaCry gebruik van een zwakheid in Windows. Dit probleem is op op 14 maart 2017 door Microsoft in een update verholpen. Wie tijdig zijn Windows-computer heeft bijgewerkt is dan ook niet kwetsbaar voor dit specifieke probleem. Als gevolg van de massale uitbraak heeft Microsoft zelfs updates uitgebracht voor Windows XP, Windows 8 en Windows Server 2003. Deze besturingssystemen worden eigenlijk niet meer ondersteund door de softwaregigant;
  4. Er zijn meerdere gevallen van besmetting met de software waar de versleutelingssoftware niet heeft gewerkt. In die gevallen detecteerde antivirussoftware dat ook gedrag van programmatuur in de gaten houdt het afwijkende gedrag;
  5. De misbruikte zwakheid in het systeem en de technologie om er misbruik van te maken is ontwikkeld door de Amerikaanse NSA. Zij gebruiken de techniek naar alle waarschijnlijkheid om toegang tot bestanden van hun doelen te krijgen en een achterdeur op machines te plaatsen. De hackersgroep ‘The Shadow Brokers’ brachten die op 14 april 2017. De aanvallers gebruiken de techniek nu om bestanden te versleutelen en ze te gijzelen;
  6. De malware met de naam WannaCry is niet nieuw, omdat eerdere varianten al eerder slachtoffers maakte. Wat deze aanval anders is de omvang waarmee nu computers worden getroffen en dat daarbij opvallende organisaties worden getroffen;
  7. In de kwaadaardige software zit de mogelijkheid om het virus uit te schakelen. Een 22-jarige beveiligingsexpert, die twittert onder de naam @MalwareTechBlog, ontdekte dat de software zoekt naar een domeinnaam. Door dit domein te registreren stopt de uitbraak. Inmiddels zijn nieuwe varianten van dit virus niet op deze manier te stoppen;

Leren

Op basis van voorbeelden waar zaken misgaan kunnen we veel leren. De bekende details van WannaCrypt maken duidelijk dat hier al snel een aantal lessen te trekken zijn.

Maatregelen die dit incident hadden voorkomen en in de toekomst de kans op dit soort incidenten fors kleiner maken:

  1. Snel installeren van updates. WannaCrypt misbruikt een bekend lek, waarvoor Microsoft inmiddels een update heeft uitgebracht. Het updaten kunt u handmatig doen of Windows zo instellen dat dit automatisch gebeurt. Veel besmettingen – ook dit specifieke geval – zijn mogelijk dankzij het niet bijwerken van systemen. Het inbreken op computersystemen is vaak ook mogelijk door verourderde software. Een paar grote voorbeelden zijn bijvoorbeeld DigiNotar, KPN en het Groene Hart Ziekenhuis was verouderde software de oorzaak waarop de aanvaller binnen komt;
  2. Klik niet op links of bijlages die u niet volledig kunt vertrouwen. Dit virus in eerste instantie wordt verspreid via e-mail. Al jaren verspreiden virussen zich via e-mail. Ook bij grotere hacks zien we vaak dat de aanvaller via kwaadaardige software binnenkomt. De verspreiding vindt dan vaak plaats via e-mail door mensen te verleiden op een link te klikken of een bijlage te openen. Op deze manier kwam ook de volledige bedrijfsadministratie van het Italiaanse bedrijf Hacking Team op straat te liggen en kregen de aanvallers van de Democratische Partij in de VS toegang tot de mail van de campagne van Hillary Clinton;

 

Factoren die de gevolgen van deze aanval kleiner kunnen maken:

  1. Antivirus. Een infectie is niet altijd te voorkomen. Veel antivirus-paketten detecteerden de software niet toen het op het systeem kwam. De werking van de malware wordt door veel pakketten wel gedetecteerd. Dat is nuttig. Daarom helpt antivirussoftware. Dat detecteert in een aantal gevallen de kwaadaardige software als het op de computer dreigt te komen. Daarnaast detecteren veel leveranciers ook afwijkend gedrag. Als de malware begint met schade te maken dan valt dát op dan stopt de software de werking;
  2. Goede backup. De criminelen kunnen geld voor ontcijferen van gegijzelde data vragen, omdat veel mensen en bedrijven niet beschikken over goede backups. Dan is de keuze: betalen en data krijgen of niet betalen en geen gegevens meer hebben. Met een goede reservekopie verdwijnt de kracht van de chantage;
  3. Politiek gericht op beveiliging. Het virus is afkomstig van een lek dat is ontdekt door de NSA. De Amerikaanse dienst zoekt – net als in andere landen gebeurt – actief naar zwakheden in systemen om te misbruiken in digitale oorlogsvoering of in opsporing. Een digitaal wapenarsenaal heeft als gevolg dat deze overheden een belangen hebben om deze lekken niet te laten liggen. Dit soort zwakheden komen vroeg of laat in handen van criminelen, zoals ook nu gebeurt. Een logische stap zou zijn om niet lekken te gebruiken om in te breken, maar ze te laten dichten door leveranciers en zo iedereen veiliger te maken. Dat is wel een politieke keuze om te maken;
  4. Niet alles hetzelfde systeem. Door te werken een enkele omgeving – in dit geval Microsoft Windows – betekent dat een uitbraak succesvol is door een hele organisatie. Wie kijkt naar een mix van verschillende systemen (bijvoorbeeld door kantoorfunctionaliteit te splitsen van andere functionaliteit) zorgt ervoor dat een virus niet automatisch succesvol is over de hele organisatie;

We kunnen veel stappen zetten om een herhaling van dit incident te voorkomen of de gevolgen te verminderen. Natuurlijk zijn er meer op basis van dit incident te identificeren. Wie begint de basis op orde te brengen, maakt de kansen kleiner om niet getroffen te worden.

De aanval van de Autoriteit Persoonsgegevens op gemeenten is ongenuanceerd

Met de publicatie van cijfers rond datalekken opent de Autoriteit Persoonsgegevens(AP) meteen de aanval op de Nederlandse gemeenten. Maar zonder de broodnodige nuance is het beeld behoorlijk vertekend.

Als je de cijfers droog bekijkt dan is er een explosie gaande van het aantal meldingen. In het eerste kwartaal meldden de gemeenten 331 datalekken waar dat er over 2016 nog 533 waren.

Onbekendheid

Wat de cijfers niet vertellen is dat de meldplicht nieuw is sinds 2016. Veel bedrijven en overheden weten er iets van en belangrijker nog lang niet altijd is duidelijk wat allemaal een datalek is. Daarom loopt Autoriteit Persoonsgegevens allerhande bijeenkomsten af om precies die uitleg te geven.

Het begrip is nogal breed. Een verloren of verkeerd bezorgde brief, ransomware die een computer lamlegt, een mobiele telefoon die zoek is, zijn voor veel organisaties minder bekende vormen van datalekken. Daarbij hoeft er niets gebeurd te zijn, maar als je het niet kunt uitsluiten dan moet je melden. Een wat grotere gemeente zal – als ze zich dit realiseren – dus al snel fors meer incidenten melden. Dat maakt het beeld negatiever, maar zegt weinig over de vraag of gemeenten het slechter doen dan bijvoorbeeld veel MKB-bedrijven

De cijfers maken vooral duidelijk dat we beter zicht op de enorme omvang van de problematiek. Over heel Nederland werden er namelijk in 2016 5849 meldingen gedaan tegen 2388 in het eerste kwartaal. Dat 331 van de meldingen voor rekening van de gemeenten komen, doet vermoeden dat veel van de bijna 1,5 miljoen ondernemingen bitter weinig melden of wel uitzonderlijk veel veiliger zijn.

Wolfsen

De voorzitter van de Autoriteit Persoonsgegevens, Aleid Wolfsen, opent de aanval op gemeenten. Maar in de statistieken staat de zorg op de eerste plaats. Opmerkelijk genoeg staat echter de zorg en niet het openbaar bestuur op de eerste plaats. Wolfsen verwijt de gemeente te weinig te doen.

Maar in tegenstelling tot de zorg hebben gemeenten in reactie op Diginotar en het door mij georganiseerde Lektober besloten om de Informatie Beveiligings Dienst (IBD) op te richten. Die geeft advies, werkt aan normenkaders en coördineert bij incidenten. Zoiets bestaat bijvoorbeeld in de zorg – waar meer dan bij gemeenten gemeld wordt – niet. Dat is ook nodig, want juist gemeenten staan dichter bij de burger dan veel andere overheidsinstellingen. Over die stap hoor je de Autoriteit in het geheel niet.

De AP vertelt gemeenten niet wanneer zij voldoende doen of wat zij minimaal verwachten. De wetstekst is vaag en een ‘nee niet goed genoeg’ helpt dan niet. Ook de meldplicht is alleen maar een registratie en er vloeit geen informatie terug om lering uit te trekken. Wat daarbij steekt is dat sinds decentralisatie gemeenten opeens heel veel meer informatie moeten verwerken. Vanuit het Rijk is de ondersteuning voor digitale verantwoordelijkheden nu eigenlijk nagenoeg niet bestaand.

BSN

Ook de aandacht van Wolfsen op de gevaren van gelekte BSN’s miskent de onderliggende problematiek. Een identificatienummer is langzamerhand zo belangrijk geworden dat het mensen kwetsbaar maakt. Je kunt je BSN niet vervangen als deze is gelekt, waarbij een creditcardnummer wél kan worden vervangen. Om dan dit bij datalekken bij gemeenten nu zo centraal te stellen is wel wat misplaatst.

Tussen al het cijfergeweld is er één cijfer dat de Autoriteit Persoonsgegevens niet geeft. Sinds begin 2016 heeft die organisatie de bevoegdheid om boetes op te leggen of een last onder dwangsom te geven. Over dat handhaven hoor je nooit iets. Dat zou moeilijk zijn (en daar kun je over twisten). Ondertussen adviseren sommige advocaten vervolgens om een lek maar niet te melden.

Meer nuance

Datalekken zijn een groot probleem dat maar niet verdwijnt. Maar conclusies over groei kun je op basis van de cijfers van de AP niet trekken. Er zijn tenenkrommende voorbeelden van slechte gemeenten te vinden. Van Ede die een veelvoorkomend SQL-injectielek tot geheim verklaren tot Rotterdam die het liefst hele rapporten geheim verklaard.

Dat de AP heeft dankzij de meldplicht een schat aan nuttige gegevens waar we veel van kunnen leren om herhaling te voorkomen. Maar die informatie komt niet openbaar. Het zou Wolfsen als toezichthouder sieren als hij iets beter naar het hele speelveld kijkt, doorgraaft naar oorzaken van problemen en vooral eens meer details deelt, zodat we kunnen leren. Daar zou ons land digitaal echt veiliger van worden.

Wie helpt nu met wat bij informatiebeveiliging?

Het Nationale Cyber Security Centrum (NCSC) en de Informatiebeveiligingsdienst (IBD) helpen organisaties wanneer een incident rond informatiebeveiliging optreedt. Maar wie nu doet nu wat en wat mag je van welke oganisatie? NCSC richt zich daarbij primair op het Rijk en de vitale sectoren en IBD op de gemeenten. Zij kunnen organisatie helpen bij het melden van incidenten maar ook in de juiste richting wijzen bij het afhandelen van een incident. Maar voorkomen is beter dan genezen daarom bieden ze baselines aan om de basis op orde te hebben en zo preventief maatregelen te nemen ter bescherming. Martijn Hamer van het NCSC en Nausikaa Efstratiades van de IBD vertellen aan Elleke Oosterwijk wat we van hun organisaties nu wel en vooral wat we niet mogen verwachten.

Doelgroep: medewerker informatiebeveiliging, crisisteams informatiebeveiliging. Leerpunten:

  • NCSC en IBD hebben een coördinerende taak
  • De organisaties richten zich vooral op de overheid (het NCSC ook op vitale sectoren)
  • Organisaties blijven zelf verantwoordelijk voor de afhandeling van een incident
  • Zet de BIG of BIR in om de basis op orde te hebben

Het Nationale Cyber Security Centrum (NCSC) en de Informatiebeveiligingsdienst (IBD) helpen organisaties wanneer een incident rond informatiebeveiliging optreedt. Maar wie nu doet nu wat en wat mag je van welke oganisatie? NCSC richt zich daarbij primair op het Rijk en de vitale sectoren en IBD op de gemeenten. Zij kunnen organisatie helpen bij het melden van incidenten maar ook in de juiste richting wijzen bij het afhandelen van een incident. Maar voorkomen is beter dan genezen daarom bieden ze baselines aan om de basis op orde te hebben en zo preventief maatregelen te nemen ter bescherming. Martijn Hamer van het NCSC en N van de IBD vertellen aan Elleke Oosterwijk wat we van hun organisaties nu wel en vooral wat we niet mogen verwachten.

Doelgroep: medewerker informatiebeveiliging, crisisteams informatiebeveiliging. Leerpunten:

  • NCSC en IBD hebben een coördinerende taak
  • De organisaties richten zich vooral op de overheid (het NCSC ook op vitale sectoren)
  • Organisaties blijven zelf verantwoordelijk voor de afhandeling van een incident
  • Zet de BIG of BIR in om de basis op orde te hebben

Hans de Raad over veilig e-mailgebruik

Tijd en plaats onafhankelijk werken leidt ertoe dat medewerkers hun werk e-mailadres ook voor privé doeleinden gebruikt en ook privé e-mail voor zakelijk gebruik. Is dit altijd schadelijk? Wat kan een werkgever doen om de werknemer te informeren over de do’s en don’ts van emailgebruik? Beveiligingsexpert Hans de Raad spreekt hierover met Jan Renshof van het CIP.

Doelgroep: iedereen die privémail via zijn of haar zakelijke mailaccount verstuurd vice versa.

Leerpunten:
• Gebruik een server onder eigen of vertrouwd beheer en niet een openbare cloudserver
• Een email is qua openbaarheid vergelijkbaar met een briefkaart
• Maak gebruik van versleuteling

 

Digitaal Lockpicken bij Van der Valk

In Hotel van der Valk in Zwolle mochten hackers naar hartelus aan de slag gaan met het kraken van nieuwe sloten die werken op basis van Bluetooth. Er werden een aantal aanvalsscenario’s gevonden, maar het lukte uiteindelijk niet om daadwerkelijk een slot te openen. Een hacker geeft de moed niet op en probeert nog een scenario uit.

Ook de media deden verslag van de bijeenkomst. RTV Oost:

“Digitaal Lockpicken bij Van der Valk” verder lezen

Een auto stelen door een beveiligingslek

ls je op vakantie gaat vanaf Schiphol kun je kiezen uit tientallen parkeerbedrijfjes die rondom de luchthaven opereren. Het idee is simpel; als je op reis gaat geef je je auto af, en als je terug komt wordt deze weer voorgereden. Je verwacht dat de auto veilig is terwijl jij ergens van de zon aan het genieten bent. Maar dat kan vies tegenvallen…

Beveiligingslek
Kassa kreeg een tip over een lek in de beveiliging van het reserveringssysteem bij de parkeerbedrijven van Airport Parking Solutions. Bij het openen van een reservering bleek het mogelijk om, met het veranderen van het reserveringsnummer in de URL, als buitenstaander door het gehele reserveringssysteem heen te lopen en alle voorgaande en huidige reserveringen te kunnen inzien.

De persoonsgegevens van tienduizenden parkeerders zijn hiermee onbedoeld openbaar geworden. Door het ontbreken van een beveiliging op de website dat buitenstaanders de toegang tot het systeem ‘aan de achterkant’ zou moeten ontzeggen, bleek het nu mogelijk om exact te kunnen zien wie er een reservering heeft gedaan voor welke auto en hoe lang deze persoon op vakantie is.

Brenno de Winter, onderzoeksjournalist en te gast in de studio, reageert op dit lek. Het is ernstig dat er zoveel persoonsgegevens op straat hebben gelegen, waar de mogelijkheid bestaat om kwaad te doen op het moment dat iemand duidelijk van huis is, volgens de Winter.

Vreemde auto ophalen
Vervolgens bleek ook nog dat de controle bij één van deze bedrijven bij het ophalen van een auto onvoldoende was. Enkel het laten zien van een uitgeprinte reservering bleek voldoende om de auto die op de reservering stond aangegeven mee te krijgen. Er werd niet om een legitimatiebewijs gevraagd.

Omdat het via het beveiligingslek mogelijk bleek om een willekeurige reservering uit te printen, besloten we de proef op de som te nemen bij het bedrijf Vip Parking, onderdeel van Airport Parking Solutions, en drie keer met een geprinte reservering uit het systeem een vreemde auto op te gaan halen. Alle drie de pogingen die Kassa deed om een auto op te halen met een geprint reserveringsticket van iemand anders, lukte.

 


Reactie eigenaar
De eigenaar van Airport Parking Solutions reageert geschrokken als wij hem op de hoogte stellen van onze bevindingen. Het lek was bij het bedrijf niet bekend, en volgens de eigenaar zijn de medewerkers van Vip Parking daarnaast ook geïnstrueerd om bij het afgeven van de auto om een identiteitsbewijs te vragen. Dat is in de drie gevallen dat wij een verkeerde auto ophaalden niet gebeurd. De eigenaar van Airport Parking Solutions, Karim Boukhidous, heeft in onze uitzending aangegeven geschrokken te zijn en heeft het lek gelijk gedicht. Daarnaast geeft hij aan de medewerkers extra geïnstrueerd te hebben over het verplicht controleren van de naam op het ticket en op het paspoort. Dit zou ervoor moeten zorgen dat er nooit meer een auto van iemand anders aan de verkeerde persoon meegegeven kan worden.

Brenno de Winter bevestigt dat het lek is gedicht. “De reserveringen zijn niet meer online toegankelijk. De reserveringen worden nu alleen via de mail gestuurd en dus alleen toegankelijk voor de juiste mensen. Het beveiligingslek is opgelost.”


Schiphol  
Rondom de luchthaven Schiphol zijn tientallen parkeerbedrijfjes actief die geen onderdeel zijn van Schiphol Airport, en niet vallen onder de officiële parkeergelegenheid van Schiphol. Lees hieronder de complete reactie van Amsterdam Airport Schiphol:

“Helaas wordt de naam Schiphol vaak gebruikt door allerlei bedrijven die parkeerdiensten aanbieden. Amsterdam Airport Schiphol heeft geen relatie met deze bedrijven en heeft daarmee geen invloed op hun bedrijfsvoering. Wij adviseren reizigers dan ook altijd het parkeren bij Schiphol zélf te boeken. Dit kan via de website van Schiphol (www.schiphol.nl). Dat is veilig en betrouwbaar. Als je daar kiest voor een valet dienst dan zorgen officiële Schiphol medewerkers ervoor dat je auto op een parkeerterrein of in een garage van Schiphol zelf wordt geparkeerd. Wanneer je terugkomt, liggen je sleutels klaar en staat je auto buiten op je te wachten bij vertoon van de bij aflevering getekende beheerovereenkomst en een geldig paspoort. De enige die de auto mee krijgt is gewoon de rechtmatige eigenaar.”

 

Rotterdams referendum ontsnapt aan ICT-blunder

Als Rotterdam op 30 november 2016 naar de stembus gaat voor een referendum dan is het een zegen dat de burgers niet kunnen stemmen in de cloud. Volgens burgemeester Ahmed Aboutaleb kan dat namelijk veilig met DigiD. Uit stukken blijkt nu dat basale zaken voor het systeem als het voorkomen manipulatie van de stemmen of het bewaren van het stemgeheim niet zijn afgedekt. Voor de gebruikte software is niet eens een ontwerp beschikbaar.

Op 30 november 2016 stemt Rotterdam over de vraag of 20.000 goedkope woningen mogen worden gesloopt. Aboutaleb wil dat, maar er zijn veel burgers tegen. De burgermeester maakte bekend een referendum hierover in de cloud te willen organiseren, waarbij burgers met DigiD kunnen inloggen. Met een beroep op de Wet openbaarheid van bestuur(Wob) heb ik alle documenten over dit stemmen opgevraagd.

Eerlijke verkiezingen

Om een referendum eerlijk te laten verlopen, moet minimaal aan een aantal eisen worden voldaan:

  1. Waarborgen van het stemgeheim;
  2. Stemgerechtigden moeten daadwerkelijk in staat zijn om te stemmen;
  3. Het niet mogelijk is te rommelen met de stemmen door aanvallers of bestuurders;
  4. De burger kan controleren dat de verkiezingen kloppend verlopen;
  5. Het is duidelijk hoe het kiessysteem werkt;

Deze en alle andere eisen horen thuis in specificaties, systeembeschrijvingen en de beschrijving van gebruikte technieken. Dan kunnen we zien wat het systeem doet en of dat overeenkomt met de eisen. De gemeente Rotterdam heeft die documenten in het geheel niet. Wat de bouwplannen zijn van het systeem is voor gemeente en burger niet te toetsen. Hoe het gebruik van niet anonieme DigiD toch het stemgeheim waarborgt is een raadsel.

Dat is problematisch, maar nog niet onoverkomelijk. Bij ieder systeem draait het om wat er nu daadwerkelijk is gebouwd: de software. Uit de broncode, zeg maar de systeemcode die de programmeurs maken en die het echte programma vormen, blijkt pas echt of aan de eisen wordt voldaan. Maar ook die broncode heeft de gemeente niet. Daarmee ontbreekt ook aan de mogelijkheid om daarop gebruikelijke beveiligingscontroles uit te voeren.

Niet toetsbaar

Wat er geleverd wordt door de leverancier is schimmig en niet controleerbaar. De kiezer kan zelfs niet controleren wat de leverancier zegt te gaan bieden. Want die informatie is volgens Rotterdam een bedrijfsgeheim. Het gevolg is dat de verkiezingen niet toetsbaar zijn. Of het bedrijf te vertrouwen is weten we niet, want ook die naam wordt niet gecommuniceerd. Zelfs basale controles naar de organisatie kunnen we niet uitvoeren.

Wel is gekeken naar veiligheid en een zogenaamde penetratietest uitgevoerd. Daarbij kijkt een bedrijf of er zwakheden van de buitenkant te zien zijn en of daar aan een standaard wordt voldaan. Naar het hele systeem, de kwaliteit van de software of achterdeurtjes is niet gekeken. Ook beschikt de gemeente niet over testrapporten dat de leverancier zelf kwaliteit waarborgt.

Bij het testen is iets ontdekt wat zo ernstig was dat het gerepareerd is en daarna opnieuw getest. In de offerte voor die test staat: “Wel is uiteraard de balans tussen investering en risicoreductie in evenwicht gehouden.” Hoe goed is geïnvesteerd op de testen, wat de bevindingen zijn, is weer geheim.

Zwarte doos

Aboutaleb presenteert een zwarte doos waar nooit harde eisen zijn neergelegd voor een eerlijk verkiezingsproces, dat geen systeemontwerp kent en waarvan hij niet weet wat er uiteindelijk gebouwd is. Er is niet het begin van bewijs dat het DigiD-systeem eerlijke verkiezingen waarborgt. Wat getest kon worden, bleek onveilig en veel is niet getest. Dat is geen goede basis voor een gewoon systeem laat staan voor verkiezingen.

De Verenigde Staten laten zien dat de presidentsverkiezingen voor de machtigste baan onderwerp van discussie kunnen worden door elektronisch stemmen. Gelukkig heeft de gemeenteraad van Rotterdam een stokje voor stemmen in de cloud gestoken. Aboutaleb heeft namelijk geen flauw idee hoeveel Rotterdammers beschikken over een DigiD en hoeveel burgers kunnen stemmen.

Lees de Wob-stukken hier:

 

Première Find My Phone – Anthony van der Meer

Dit keer in plaats van een reguliere CIPcast de première van een documentaire.

Per week wordt er in Nederland 300 keer aangifte gedaan van smartphone diefstal. Naast het feit dat je een dure telefoon kwijt bent, heeft een onbekende ook toegang tot al je foto’s, video’s, e-mails, contacten en berichten. Maar wat voor persoon steelt een telefoon? En waar komen die telefoons terecht? In de documentaire Find my Phone wordt het tweede leven van een gestolen telefoon gevolgd. Door middel van spyware maak je kennis met de persoon achter de diefstal. Maar hoe goed kun je iemand eigenlijk leren kennen aan de hand van zijn telefoon?

Een vrij beschikbare bewustwordingstraining

Ieder bedrijf hoort aan bewustwording binnen de organisatie te doen. Dat is niet alleen een onderdeel van beveiligingsnormen, maar ook noodzakelijk om ieder beleid kansrijk te maken. Personeel zal dus moeten worden getraind. Radically Open Security ontwikkelt producten die vrij beschikbaar zijn om te gebruiken en ontwikkelden een bewustwordingstraining in opdracht van een van hun klanten.

De training is kosteloos en herbruikbaar beschikbaar. Hoe dat werkt vertelt Melanie Rieback, de oprichter van het bedrijf, aan Ad Reuijl van het CIP.

 

De documenten van de training zijn hier beschikbaar: