Marieke van der Klaauw: Verstandig omgaan met sociale media

Sociale media zijn voor veel mensen zowel privé als zakelijke een vast onderdeel van het dagelijks leven. We wisselen informatie uit, hebben een mening en soms werk dat het net ingewikkeld maakt om daar goed mee om te gaan. Waar moet je allemaal rekening mee houden? En ooit komt de onvermijdelijke dag dat je het niet goed doet. Hoe ga je daarmee om? Dat vertelt Marieke van der Klaauw, van het Openbaar Ministerie.

De boefjes van EenVandaag

Volgens EenVandaag is  er paniek in de onderwereld: het Nederlands Forensisch Instituut blijkt in staat te zijn om versleutelde berichten van dure ‘PGP-telefoons’ te halen. De toestellen zouden vooral in het criminele circuit gebruikt worden.

Als het verhaal van EenVandaag zou kloppen en PGP-versleutelde berichten in het wild te kraken zouden zijn dan is de impact enorm. We zijn van dit soort technieken zeer afhankelijk.

Behalve criminelen hebben ook bedrijven, banken, overheden, journalisten, activisten, ondernemingsraden, ambassades, techneuten en risicobewuste burgers deze software in gebruik. Zelf gebruik ik het voor mails met klanten, mijn vrouw en vrienden. Kortom: De techniek is breed in gebruik.

Specifieke aanval

Wat EenVandaag beschrijft is een aanval die in januari van dit jaar bekend werd. Het Nederlands Forensisch Instituut gebruikt een applicatie van Cellebrite, een maker van forensische software. Om berichten te kunnen lezen, moeten de onderzoekers beschikken over het apparaat met daarop ook de geheime sleutels om de berichten te lezen.

De aanval op de berichten is dan ook heel specifiek. Pas als de overheid het toestel in handen heeft, kunnen berichten worden ontcijferd. Welk apparaat je ook hebt, zodra het in kundige, onbedoelde handen valt dan worden de berichten erop gekraakt. Het is niet hetzelfde als het kraken van de techniek. Je moet bij dit voorbeeld de telefoon al in handen hebben. Bij een inbeslagname moet daar wel juridische grond voor zijn.

Server kraken

In de uitzending wordt ook beweerd dat een server in beslag is genomen en de berichten op die server zijn gekraakt. Mocht dat waar blijken dan zou dat groot nieuws zijn. Op de server hebben berichten namelijk nooit in onversleutelde vorm gestaan en ook de sleutels zelf staan niet op de server. Zo’n aanvalt schoffelt de techniek onderuit.

Het punt is alleen dat  EenVandaag niet het begin van bewijs levert en het verhaal ook niet aannemelijk maakt. Er is geen forse steiging in de oplossingspercentages van criminaliteit. Uit documenten blijkt het niet. De passages uit het item zijn gewoon afkomstig van in beslag genomen telefoons.

PGP zal ooit wel te kraken zijn, maar dit is niet het verhaal dat dat bloot legt.

Journalistieke boefjes

Het is bangmakerij voor die ‘oh zo criminele’ versleuteling. De ‘paniek in de onderwereld’ maakt dat beeld nog nét iets sterker. Dat die paniek er is, wordt niet aannemelijk gemaakt. Het klinkt natuurlijk stoer: het zijn vooral boefjes die PGP gebruiken.

De werkelijkheid is ingewikkelder. Zeker 15 redacteuren van de Telegraaf, 10 van de NOS en eentje van EenVandaag zijn te benaderen via hun publieke PGP-sleutel. Dat is handig voor mensen met vertrouwelijke informatie en volstrekt legitiem.

Hobbyproject Stemcomputers

Dinsdag stemt de kamer over een experiment met een stemcomputer. Het hobbyproject ontbeert financiële dekking, sjoemelt met beveiligingseisen en lijkt op één leverancier toe te spitsen.

Het wetsvoorstel is een initiatief van VVD-kamerlid Joost Taverne. Hij wil proberen in een beperkt aantal gemeenten met een computer te stemmen. Wat de test moet kosten is onzeker, omdat de ontwerpen er nog niet zijn. Maar volgens Taverne moeten we rekening houden met een bedrag van minimaal 20 miljoen euro. Landelijk zou dit het tienvoudige zijn.

Geen dekking

Waar het geld vandaan moet komen is voor de VVD’er een raadsel. Daarom wees Minister Plasterk erop dat verkiezingen voor rekening van de gemeenten komen. De reactie van de Vereniging Nederlandse Gemeenten spreekt boekdelen. Na jarenlang roepen dat de computers zoveel geld besparen, hoeven ze hem opeens niet meer.

De rekenmeesters van de VNG zien de bui namelijk al hangen. Na aanschaf van de stemcomputers moet je manipulatie voorkomen. De software heeft updates nodig en fysiek is veel aan beveiliging nodig. Vooral dat laatste is enorm duur als je dat goed wilt doen. Manipuleren kan in seconden. Bewaking is dan ook een continu proces.

Onveilig

Daarnaast valt er al vóór de computer is uitgedacht te twijfelen over de beveiliging. De aangetrokken expertgroep besloot namelijk al heel snel de eisen naar beneden bij te stellen. Wie verkiezingen serieus neemt, zorgt dat mensen in vrijheid kunnen stemmen en dat geheim blijft wat ze stemmen. Ook moet je niet verkiezingen kunnen stelen.

Daarvoor moet je exact weten wat je computers doen: zowel de hardware als de software. Die les hebben we wel van het Volkswagen-dieselschandaal geleerd. Op de productie van de computers zelf zal er volledige regie moeten zijn. Alleen hebben de experts die eis laten vallen, omdat dan de kostprijs van de machines velen malen hoger wordt.

Met dank aan zeer verfijnde microtechnologie wordt het steeds lastiger manipulatie of het opslaan van stemgedrag te detecteren. Dat is allemaal theoretisch geneuzel zolang je de verkiezingen maar gelooft. Alleen als dat niet het geval is dan heb je een dijk van een probleem: verkiezingen gaan immers over het overtuigen van de verliezer.

Grondwettelijke regels

In Duitsland zijn daarom stemcomputers defacto verboden door het grondwettelijk hof. Dat redeneert namelijk zo dat iedereen altijd moet kunnen begrijpen hoe verkiezingen lopen. Kun je het systeem niet uitleggen aan mijn 84-jaar oude moeder dan houdt het gewoon op. Democratie hoort namelijk geen zwarte magie te zijn.

Maar Joost Taverne heeft een broertje dood aan rechters die op grondrechten toetsen. Hij negeerde de uitspraak van het Hof om doodleuk zijn mede politici in het debat te doen geloven dat juist in Duitsland stevig werd geëxperimenteerd met stemcomputers. Minister Plasterk corrigeerde hem hierop.

Ongeloofwaardig

En waarom doet Joost het allemaal? Volgens zijn Twitter-feed voor de gehandicapten, die dan zelfstandig kunnen stemmen. Nogal ongeloofwaardig als je bij de VVD hoort. De partij probeerde een paar weken geleden nog te voorkomen dat ondernemers hun winkels voor rolstoelen toegankelijk moeten maken of hun website vriendelijker voor blinden.

Dinsdag stemt de Kamer het wetsvoorstel waarschijnlijk af. Hoe de computers eruit gaan zien is nog onbekend. Maar waarschijnlijk werken ze ongeveer zoals Smartmatic, dochter van de Britse SGO Groep, ze maakt. Dat bedrijf mocht namelijk op uitnodiging van de VVD een lobbytocht langs politici maken. Ze leveren ook een prima oplossing als we alleen beveiligingseisen en democratische controlemechanisme loslaten.

Harry Dragstra: veiliger werken in de cloud

Organisaties slaan meer en meer gegevens op in de cloud, verwerken administraties en versturen gegevens via de cloud. Is dat wel veilig? Welke keuzes maakt DUO daarin om de informatieveiligheid te vergroten? Beveiligingsexpert Harry Dragstra legt dat uit aan Brenno de Winter.

Ot van Daalen: Privacyregels in de cloud

Als je als organisatie gegevens wilt opslaan in de cloud waarop moet je dan letten en wat als je je gegevens weer uit de cloud wilt halen. Wat kun je doen als voorbereiding voor het geval er op termijn een datalek binnen je organisatie ontdekt wordt. Ot van Daalen geeft hierover een aantal tips aan Jan Renshof van het CIP.

https://vimeo.com/163234640/s

 

De privacy op orde krijgen is best lastig. Eerder vertelde Angelique Oortmarssen over het omzetten van wetgeving in concrete daden.

Ot van Daalen vertelde eerder waar je op moet letten als je persoonsgegevens gaat verwerken.

Erik de Jong: Hoe moet je omgaan met cryptolocker?

Wat moet er gebeuren als je organisatie geconfronteerd wordt met een datalek. Natuurlijk is het eerst achterhalen wat er gebeurd is en wat de acties zouden moeten zijn. Maar hoe moet het forensisch onderzoek plaatsvinden, hoe moet je een crisis team inrichten, welke expertise moet daarin vertegenwoordigd zijn. Erik de Jong van Fox-it legt aan Brenno de Winter uit welke stappen een organisatie moet nemen om te achterhalen of er een datalek is en hoe daar mee om te gaan. Stel je hebt last van een cryptolocker wat kun je dan doen? Moet je ingaan op de eisen van de aanvallers en geld betalen? Hoe werkt het proces dan, als je ingaat op de chantage eisen hoe gaat dat dan?

Eerder vertelde Erik de Jong al over datalekken. Welke stappen moet je nu zetten om later datalekken te kunnen opsporen en te achterhalen wat er precies gebeurd is?

Angelique Oortmarssen privacywetgeving omzetten in daden

Om aan de eisen van de wet rond privacy te voldoen is voor veel organisaties behoorlijk lastig. Hoe weet je zeker of je echt aan de regels voldoet? En hoe kun je het voor elkaar krijgen om als organisatie echt privacyvriendelijk te zijn? Het CIP heeft een methode ontwikkeld om dat goed te regelen. Angelique van Oortmarssen legt aan Brenno de Winter uit hoe Grip op Privacy de wet omzet in concrete handelingen. Ook helpt de methodiek organisaties die privacy op een hoger niveau willen krijgen dan de wetgever verplicht. Met het gebruik van deze hulpmiddelen kunnen organisaties privacy binnen hun organisatie op een hoger niveau te brengen.

 

Eerder legde Ot van Daalen al uit waar grofweg op moet worden gelet als je persoonsgegevens gaat verwerken:

Erik de Jong: Ik heb een datalek. Wat nu?

Sinds 1 januari 2016 geldt er een meldpunt datalekken voor alle organisaties in Nederland. Iedere organisatie moet datalekken melden aan de Autoriteit Persoonsgegevens. De vraag is hoe je erachter komt dat jouw organisatie een datalek heeft. Erik de Jong van FoxIT legt aan Brenno de Winter uit hoe je datalekken kunt opsporen en wat je moet vastleggen om bij misdaad eventuele daders te identificeren.

Als de macht geen kennis heeft

Kennis is macht, maar heeft de macht ook kennis? Met het wetsvoorstel van Ard van der Steur om de politie te laten hacken is veel mis. Neem het gebrek aan kennis bij mensen met veel macht.

Rechter

Als de hackbevoegdheid wordt ingezet dan gaan de rechter-commissaris en de Officier van Justitie daarover. In de toelichting bij de wet erkent de minister dat het bij hen ontbreekt aan kennis. Volgens de minister moet daarom worden afgegaan op de expertise van de politie.

In tegenstelling tot bijvoorbeeld een huiszoeking kijkt een rechter-commissaris niet mee tijdens het hacken. Dat zou ook weinig uithalen, want probeer maar een handeling te destilleren uit allerlei ingewikkelde plaatjes op het scherm of langs vliegende karakters. De rechtelijke macht heeft gewoon die kennis niet en krijgt die van Van der Steur ook niet.

Advocaten

Voor de advocaat is het nog lastiger. Hij moet afgaan op het verslag van de agent. Daar moet maar uit blijken of de juiste apparaten zijn gehacked, het bewijs klopt of er is gerommeld met het bewijs. Dat laatste lijkt misschien vergezocht, maar in 2013 bleken tapgesprekken in een drugszaak door de politie verzonnen. Een gesprek is terug te luisteren, maar bij een proces-verbaal van een hack ontbreekt het onderliggende bewijs.

In het wetsvoorstel staat of valt een zaak met die ene hackende expert met veel kennis en vooral veel macht. En de advocaat krijgt niet de toegang tot die informatie om onschuldige mensen straks uit de cel te kunnen houden.

Politiek

En de politiek? Die gaat straks stemmen over een wetsvoorstel, waarbij de toelichting op de wet beschrijft dat ze veel informatie (en dus kennis) niet hebben. Bijvoorbeeld: Hoe stellen we vast of de gebruikte hulpmiddelen correct functioneren? Hoe waarborgen we het updaten van hacking tools en de correcte werking na een update? Hoe voorkomen we dat er fouten worden gemaakt? Hoe  regelen we toezicht tijdens het hacken?

Al deze vragen moeten in een later stadium na het aannemen van de wet nog eens beantwoord worden. De kamer ontbeert dus zeer belangrijke kennis en op ict-gebied concluderen ze zelf ook al kennis te ontberen:

“De Kamer maakt haar controlerende taak niet waar door een gebrek aan interesse voor ICT en een gebrek aan deskundigheid op ICT-gebied.”

Tja kennis is macht, maar bij de hackbevoegdheid ontbreekt het aan kennis bij hele machtige mensen…

Wetgeving en wijsheid bij digitale criminaliteit

Nederland is hard op weg om wetgeving voor digitale criminaliteit aan te nemen. Het heeft er alle schijn van dat die nieuwe wetgeving weinig zal bijdragen aan het voorkomen van de nogal ernstige fouten die worden belicht in ‘Making a Murderer’.

De urenlange documentaireserie ‘Making a Murderer’ laat op pijnlijk wijze zien hoe twee Amerikanen in dezelfde moordzaak worden veroordeeld. Beide veroordeelden hebben onderling verschillende verhaallijnen. Vooral de manier waarop bewijs is verzameld, kun je niet anders typeren dan ‘twijfelachtig’.

Een van de meest opmerkelijke aspecten van de zaak is de autosleutel van het slachtoffer. Die lag op de grond in de woontrailer van Steven Avery, de hoofdverdachte. Op een foto is duidelijk te zien dat het bewijsmiddel voor het oprapen ligt. Het DNA van de verdachte zat zelfs nog op de sleutel. Het begin van een sterke zaak, zou je denken.

Wat de zaak aanmerkelijk compliceert, is dat de trailer gedurende meerdere dagen diverse keren is doorzocht zonder dat de sleutel werd aangetroffen. Als de sleutel uiteindelijk wordt aangetroffen, ligt hij duidelijk zichtbaar op de grond. Het DNA-spoor is dan wonderbaarlijk genoeg het enige dat op de sleutel zit. Verder is het object brandschoon. Er zitten zelfs geen vingerafdrukken van het slachtoffer op. Erg onwaarschijnlijk, wat de vraag rechtvaardigt: is die sleutel er later neergelegd?

Het manipuleren van bewijs komt vaker voor. Ook in Nederland zijn bijvoorbeeld tapverslagen onjuist uitgewerkt, waardoor er iets anders stond dan de verdachte heeft gezegd. In 2013 bleek dat in een drugszaak zelfs tapverslagen door de politie zijn verzonnen. Natuurlijk maakt dat een verdachte nog niet onschuldig. Maar soms vergeet ook een agent dat het uitgangspunt de onschuld van mensen is.

In de digitale wereld worden die risico’s groter. Recent stuurde Minister Van der Steur het wetsvoorstel Computercriminaliteit III naar de Tweede Kamer. Dat moet de politie de bevoegdheid geven in grotere zaken in te breken op computers, spionagesoftware te plaatsen of informatie ontoegankelijk te maken. Ofwel: ze mogen computers manipuleren op afstand.

In Duitsland draaide die bevoegdheid uit op een puinhoop. Hackers kregen de software in handen en analyseerden die. Ook de software bleek een puinhoop: het was kwetsbaar voor misbruik, verdachten konden de politie hacken en onbevoegden konden bij verdachten inbreken en bewijs planten zonder sporen achter te laten.

Welke software in Nederland gebruikt gaat worden, is geheim. Hoe we toetsen of dit goed gebruikt wordt, of de software correct werkt (en na een update blijft werken) en hoe misbruik wordt voorkomen, is allemaal onbekend. Ik wens de wetsmakers in Den Haag nadrukkelijk veel wijsheid toe, maar geef direct toe: helemaal gerust ben ik er niet op.