Wie helpt nu met wat bij informatiebeveiliging?

Het Nationale Cyber Security Centrum (NCSC) en de Informatiebeveiligingsdienst (IBD) helpen organisaties wanneer een incident rond informatiebeveiliging optreedt. Maar wie nu doet nu wat en wat mag je van welke oganisatie? NCSC richt zich daarbij primair op het Rijk en de vitale sectoren en IBD op de gemeenten. Zij kunnen organisatie helpen bij het melden van incidenten maar ook in de juiste richting wijzen bij het afhandelen van een incident. Maar voorkomen is beter dan genezen daarom bieden ze baselines aan om de basis op orde te hebben en zo preventief maatregelen te nemen ter bescherming. Martijn Hamer van het NCSC en Nausikaa Efstratiades van de IBD vertellen aan Elleke Oosterwijk wat we van hun organisaties nu wel en vooral wat we niet mogen verwachten.

Doelgroep: medewerker informatiebeveiliging, crisisteams informatiebeveiliging. Leerpunten:

  • NCSC en IBD hebben een coördinerende taak
  • De organisaties richten zich vooral op de overheid (het NCSC ook op vitale sectoren)
  • Organisaties blijven zelf verantwoordelijk voor de afhandeling van een incident
  • Zet de BIG of BIR in om de basis op orde te hebben

Het Nationale Cyber Security Centrum (NCSC) en de Informatiebeveiligingsdienst (IBD) helpen organisaties wanneer een incident rond informatiebeveiliging optreedt. Maar wie nu doet nu wat en wat mag je van welke oganisatie? NCSC richt zich daarbij primair op het Rijk en de vitale sectoren en IBD op de gemeenten. Zij kunnen organisatie helpen bij het melden van incidenten maar ook in de juiste richting wijzen bij het afhandelen van een incident. Maar voorkomen is beter dan genezen daarom bieden ze baselines aan om de basis op orde te hebben en zo preventief maatregelen te nemen ter bescherming. Martijn Hamer van het NCSC en N van de IBD vertellen aan Elleke Oosterwijk wat we van hun organisaties nu wel en vooral wat we niet mogen verwachten.

Doelgroep: medewerker informatiebeveiliging, crisisteams informatiebeveiliging. Leerpunten:

  • NCSC en IBD hebben een coördinerende taak
  • De organisaties richten zich vooral op de overheid (het NCSC ook op vitale sectoren)
  • Organisaties blijven zelf verantwoordelijk voor de afhandeling van een incident
  • Zet de BIG of BIR in om de basis op orde te hebben

Hans de Raad over veilig e-mailgebruik

Tijd en plaats onafhankelijk werken leidt ertoe dat medewerkers hun werk e-mailadres ook voor privé doeleinden gebruikt en ook privé e-mail voor zakelijk gebruik. Is dit altijd schadelijk? Wat kan een werkgever doen om de werknemer te informeren over de do’s en don’ts van emailgebruik? Beveiligingsexpert Hans de Raad spreekt hierover met Jan Renshof van het CIP.

Doelgroep: iedereen die privémail via zijn of haar zakelijke mailaccount verstuurd vice versa.

Leerpunten:
• Gebruik een server onder eigen of vertrouwd beheer en niet een openbare cloudserver
• Een email is qua openbaarheid vergelijkbaar met een briefkaart
• Maak gebruik van versleuteling

 

Digitaal Lockpicken bij Van der Valk

In Hotel van der Valk in Zwolle mochten hackers naar hartelus aan de slag gaan met het kraken van nieuwe sloten die werken op basis van Bluetooth. Er werden een aantal aanvalsscenario’s gevonden, maar het lukte uiteindelijk niet om daadwerkelijk een slot te openen. Een hacker geeft de moed niet op en probeert nog een scenario uit.

Ook de media deden verslag van de bijeenkomst. RTV Oost:

Ga verder met “Digitaal Lockpicken bij Van der Valk” lezen

Een auto stelen door een beveiligingslek

ls je op vakantie gaat vanaf Schiphol kun je kiezen uit tientallen parkeerbedrijfjes die rondom de luchthaven opereren. Het idee is simpel; als je op reis gaat geef je je auto af, en als je terug komt wordt deze weer voorgereden. Je verwacht dat de auto veilig is terwijl jij ergens van de zon aan het genieten bent. Maar dat kan vies tegenvallen…

Beveiligingslek
Kassa kreeg een tip over een lek in de beveiliging van het reserveringssysteem bij de parkeerbedrijven van Airport Parking Solutions. Bij het openen van een reservering bleek het mogelijk om, met het veranderen van het reserveringsnummer in de URL, als buitenstaander door het gehele reserveringssysteem heen te lopen en alle voorgaande en huidige reserveringen te kunnen inzien.

De persoonsgegevens van tienduizenden parkeerders zijn hiermee onbedoeld openbaar geworden. Door het ontbreken van een beveiliging op de website dat buitenstaanders de toegang tot het systeem ‘aan de achterkant’ zou moeten ontzeggen, bleek het nu mogelijk om exact te kunnen zien wie er een reservering heeft gedaan voor welke auto en hoe lang deze persoon op vakantie is.

Brenno de Winter, onderzoeksjournalist en te gast in de studio, reageert op dit lek. Het is ernstig dat er zoveel persoonsgegevens op straat hebben gelegen, waar de mogelijkheid bestaat om kwaad te doen op het moment dat iemand duidelijk van huis is, volgens de Winter.

Vreemde auto ophalen
Vervolgens bleek ook nog dat de controle bij één van deze bedrijven bij het ophalen van een auto onvoldoende was. Enkel het laten zien van een uitgeprinte reservering bleek voldoende om de auto die op de reservering stond aangegeven mee te krijgen. Er werd niet om een legitimatiebewijs gevraagd.

Omdat het via het beveiligingslek mogelijk bleek om een willekeurige reservering uit te printen, besloten we de proef op de som te nemen bij het bedrijf Vip Parking, onderdeel van Airport Parking Solutions, en drie keer met een geprinte reservering uit het systeem een vreemde auto op te gaan halen. Alle drie de pogingen die Kassa deed om een auto op te halen met een geprint reserveringsticket van iemand anders, lukte.

 


Reactie eigenaar
De eigenaar van Airport Parking Solutions reageert geschrokken als wij hem op de hoogte stellen van onze bevindingen. Het lek was bij het bedrijf niet bekend, en volgens de eigenaar zijn de medewerkers van Vip Parking daarnaast ook geïnstrueerd om bij het afgeven van de auto om een identiteitsbewijs te vragen. Dat is in de drie gevallen dat wij een verkeerde auto ophaalden niet gebeurd. De eigenaar van Airport Parking Solutions, Karim Boukhidous, heeft in onze uitzending aangegeven geschrokken te zijn en heeft het lek gelijk gedicht. Daarnaast geeft hij aan de medewerkers extra geïnstrueerd te hebben over het verplicht controleren van de naam op het ticket en op het paspoort. Dit zou ervoor moeten zorgen dat er nooit meer een auto van iemand anders aan de verkeerde persoon meegegeven kan worden.

Brenno de Winter bevestigt dat het lek is gedicht. “De reserveringen zijn niet meer online toegankelijk. De reserveringen worden nu alleen via de mail gestuurd en dus alleen toegankelijk voor de juiste mensen. Het beveiligingslek is opgelost.”


Schiphol  
Rondom de luchthaven Schiphol zijn tientallen parkeerbedrijfjes actief die geen onderdeel zijn van Schiphol Airport, en niet vallen onder de officiële parkeergelegenheid van Schiphol. Lees hieronder de complete reactie van Amsterdam Airport Schiphol:

“Helaas wordt de naam Schiphol vaak gebruikt door allerlei bedrijven die parkeerdiensten aanbieden. Amsterdam Airport Schiphol heeft geen relatie met deze bedrijven en heeft daarmee geen invloed op hun bedrijfsvoering. Wij adviseren reizigers dan ook altijd het parkeren bij Schiphol zélf te boeken. Dit kan via de website van Schiphol (www.schiphol.nl). Dat is veilig en betrouwbaar. Als je daar kiest voor een valet dienst dan zorgen officiële Schiphol medewerkers ervoor dat je auto op een parkeerterrein of in een garage van Schiphol zelf wordt geparkeerd. Wanneer je terugkomt, liggen je sleutels klaar en staat je auto buiten op je te wachten bij vertoon van de bij aflevering getekende beheerovereenkomst en een geldig paspoort. De enige die de auto mee krijgt is gewoon de rechtmatige eigenaar.”

 

Wachten op onze eigen Titanic

Na een groot veiligheidsincident volgt steevast een publiek rapport en worden er lessen getrokken die vaak uitmonden in duidelijke regels. Dit doen we nog niet na een groot incident in de informatiebeveiliging. Het lijkt erop alsof de wereld wacht op de digitale ondergang van een Titanic voor er echt iets verandert.

Als een bedrijf bij een presentatie wil laten zien dat zij een goede partner is voor informatiebeveiliging, dan begint het verhaal doorgaans met statistieken: hoeveel records er elke minuut worden gelekt, wat een gemiddeld incident kost, hoeveel incidenten er zijn, wat de maatschappelijke schade is, hoeveel meldingen er van datalekken zijn gedaan en ga zo maar door. Cijfertjes, cijfertjes en nog meer cijfertjes met als onderliggende boodschap: het is allemaal heel erg gesteld met beveiliging. Deze zorgelijkheid is als sneeuw voor de zon verdwenen, wanneer een hack in het nieuws komt. Dan nemen we het incident voor kennisgeving aan.

Scheepsrampen

Dat verschijnsel is niet nieuw en valt te vergelijken met veiligheidsincidenten. In 1120 liep het Engelse White Ship aan de grond: 300 mensen verloren hun leven. Kamikazes – oorspronkelijke betekenis: ‘goddelijke wind’ – redden Japan tot twee keer aan toe van een Mongoolse invasie. In deze hevige stormen vergingen in 1274 en 1281 diverse Mongolische schepen met meer dan 100.000 doden als gevolg, in 1694 kwamen 498 mensen om het leven toen HMS Sussex in een storm verging, in 1647 liep het Nederlandse schip de Prinses Amelia aan de grond met 86 doden als gevolg en in 1703 kwamen meer dan 1.500 mensen om het leven toen dertien Engelse schepen in het kanaal vergingen. Mensen zagen het probleem wel, waren erdoor getroffen, maar fundamenteel veranderde er niets.

In de ICT meten we niet in omgekomen mensen, maar in records die gelekt zijn. Inmiddels komen met enige regelmaat aantallen van miljoenen inloggegevens of honderden miljoenen creditcardnummers langs, met Yahoo! als voorlopig dieptepunt met 500 miljoen records. Soms kost een datalek daadwerkelijk mensenlevens, maar ook dat blijft een nieuwsfeit. Er is zelfs een lijst met de top-10 van OWASP met meest prominente oorzaken voor hacks. De oorzaken van de hacks wisselen eens in de drie jaar van positie, maar worden niet aangepakt, uitgebannen of fors verminderd. Dat is op zijn minst merkwaardig, aangezien een aantal zaken uit deze lijst zeer simpel te voorkomen zijn.

Bindende regelgeving

In de zeevaart volgde een breed gedragen besef dat er iets fundamenteel moest veranderen toen de stoomschepen kwamen. Het aantal incidenten groeide en in 1889 volgde een conferentie in Washington waar vooral werd gesproken over verkeersregels op zee. Er kwamen regels, maar onder andere de Britten deden niet mee. De grote angst bij het bedrijfsleven was dat commerciële vrijheid in het geding zou komen als er regels aan de zeevaart zouden worden opgelegd. Verschillende landen maakten eigen regelgeving, soms in samenwerking met andere landen, soms geheel zelfstandig. Er werd geen algemene lijn gevolgd, er was geen uniformiteit en veel kon zelf worden geregeld. Deze besluiteloosheid komt abrupt ten einde als de Titanic in 1912 na vijf dagen varen op haar eerste tocht zinkt na een botsing op een ijsberg.

Doordat er geen bindende regelgeving bestond, kon de reder van dit onheilsschip er om esthetische redenen voor kiezen het aantal reddingssloepen te halveren. Een installatie voor morsecode is wel aan boord, al is ook dat niet verplicht. Met als gevolg dat niet alle schepen in de buurt over een dergelijke installatie beschikken, en er geen uitluisterplicht bestaat bij de schepen die het wel hebben. Lang niet ieder schip in de buurt komt de Titanic dan ook te hulp. De desastreuze gevolgen zijn bekend: 1522 doden. Kennelijk maakte dat monsterlijke aantal zoveel indruk, dat er in 1914 voor het eerst een internationaal verdrag kwam (Safety of Life at Sea), waarin minimale eisen vast kwamen te liggen, zoals een plaats in een sloep voor iedereen, gebruik van radio, radiowacht, onderzoek naar rampen en het in kaart brengen van ijsbergen. Veiligheidsregels die de norm werden en met enige regelmaat worden herzien en aangescherpt.

Zinkend schip

In de ict-industrie leven we overduidelijk in de periode tussen de eerste Internationale Maritieme Conferentie van Washington in 1889 en de ondergang van de Titanic. We zien en onderkennen de problemen, willen we er best wel iets aan doen, maar komen niet tot harde minimale eisen die wereldwijd geaccepteerd worden. Er bestaat dan weliswaar enige regelgeving, maar vaak is onduidelijk wat er nu wel of niet aan beveiliging moet worden gedaan om daaraan te voldoen. Het bedrijfsleven klaagt via brancheverenigingen dat privacywetgeving en vooral hun databescherming direct marketing en big data hinderen. Meer regels, zoals de Europese privacy verordening, zijn dan ook schadelijk voor de commercie. Wat nog altijd minder indruk lijkt te maken, is dat gehackte computers van bedrijven een zinkend schip kunnen maken. Slechte beveiliging en internationale heldere afspraken en werkwijzen zijn dus net zo funest voor het bedrijfsleven en raken het imago van hele industrieën.

Geen beveiligingseisen

Helaas valt er in dit kader weinig positiefs over de politiek te melden. Er komen wel ‘cybercrimeverdragen’, maar die gaan vooral over opsporing van binnendringers en de straffen die zij tegemoet zien. Nergens rept men over verantwoordelijkheden van organisaties die andermans gegevens beheren, een minimale norm waar ze aan zouden moeten voldoen, zelfs niet over consequenties of sancties bij uitlokking. Nog altijd ontbreekt het aan een minimale set aan beveiligingseisen, waarvan we als gezamenlijke industrie zeggen: als je dat niet geregeld hebt, word je op zijn minst aangemerkt als nalatig. Ook voor de makers van de boten – de softwareontwikkelaars – gelden niet eens minimale beveiligingseisen. Er bestaat geen lijst met zaken die minimaal geregeld moeten zijn om het leeuwendeel van de aanvallen te voorkomen. Voor de hand liggende punten, die door autoriteiten snel controleerbaar zijn. In de zeevaart worden de eisen na andere incidenten uitgebreid met maatregelen die de veiligheid verder kunnen vergroten. Dat daarenboven nog meer specifieke eisen voor een toepassing of een risicoprofiel kunnen gelden, spreekt voor zich.

Te weinig sloepen

En dus blijven wij, vooral om esthetische redenen, varen met boten met te weinig sloepen. We blijven doodleuk weigeren cryptografie in te zetten, ‘omdat het de verwerking zo vertraagt’. We negeren de update-adviezen ‘omdat het de operatie mogelijk verstoort’. We blijven werken met zwakke toegangsbeveiliging ‘omdat inloggen anders zo’n gedoe is’. En we hebben nog steeds geen harde eisen voor een continue radiowacht; iemand dus die blijft kijken of er een beveiligingsincident optreedt. Niet zo gek dat meer dan 80 procent van de hacks pas na weken of maanden wordt ontdekt.

Om veilig over de digitale oceanen te kunnen varen met anderen, is studie nodig. De rampen die er al zijn geweest moeten goed worden onderzocht. Wij zien de ernst van de situatie wel in, maar passen deze logica als samenleving en als industrie niet breed toe. Nog niet. Kennelijk moet daarvoor eerst onze eigen ramp zich nog voltrekken, onze eigen Titanic.

Deze column verscheen eerder op IT Beheer Magazine

Rotterdams referendum ontsnapt aan ICT-blunder

Als Rotterdam op 30 november 2016 naar de stembus gaat voor een referendum dan is het een zegen dat de burgers niet kunnen stemmen in de cloud. Volgens burgemeester Ahmed Aboutaleb kan dat namelijk veilig met DigiD. Uit stukken blijkt nu dat basale zaken voor het systeem als het voorkomen manipulatie van de stemmen of het bewaren van het stemgeheim niet zijn afgedekt. Voor de gebruikte software is niet eens een ontwerp beschikbaar.

Op 30 november 2016 stemt Rotterdam over de vraag of 20.000 goedkope woningen mogen worden gesloopt. Aboutaleb wil dat, maar er zijn veel burgers tegen. De burgermeester maakte bekend een referendum hierover in de cloud te willen organiseren, waarbij burgers met DigiD kunnen inloggen. Met een beroep op de Wet openbaarheid van bestuur(Wob) heb ik alle documenten over dit stemmen opgevraagd.

Eerlijke verkiezingen

Om een referendum eerlijk te laten verlopen, moet minimaal aan een aantal eisen worden voldaan:

  1. Waarborgen van het stemgeheim;
  2. Stemgerechtigden moeten daadwerkelijk in staat zijn om te stemmen;
  3. Het niet mogelijk is te rommelen met de stemmen door aanvallers of bestuurders;
  4. De burger kan controleren dat de verkiezingen kloppend verlopen;
  5. Het is duidelijk hoe het kiessysteem werkt;

Deze en alle andere eisen horen thuis in specificaties, systeembeschrijvingen en de beschrijving van gebruikte technieken. Dan kunnen we zien wat het systeem doet en of dat overeenkomt met de eisen. De gemeente Rotterdam heeft die documenten in het geheel niet. Wat de bouwplannen zijn van het systeem is voor gemeente en burger niet te toetsen. Hoe het gebruik van niet anonieme DigiD toch het stemgeheim waarborgt is een raadsel.

Dat is problematisch, maar nog niet onoverkomelijk. Bij ieder systeem draait het om wat er nu daadwerkelijk is gebouwd: de software. Uit de broncode, zeg maar de systeemcode die de programmeurs maken en die het echte programma vormen, blijkt pas echt of aan de eisen wordt voldaan. Maar ook die broncode heeft de gemeente niet. Daarmee ontbreekt ook aan de mogelijkheid om daarop gebruikelijke beveiligingscontroles uit te voeren.

Niet toetsbaar

Wat er geleverd wordt door de leverancier is schimmig en niet controleerbaar. De kiezer kan zelfs niet controleren wat de leverancier zegt te gaan bieden. Want die informatie is volgens Rotterdam een bedrijfsgeheim. Het gevolg is dat de verkiezingen niet toetsbaar zijn. Of het bedrijf te vertrouwen is weten we niet, want ook die naam wordt niet gecommuniceerd. Zelfs basale controles naar de organisatie kunnen we niet uitvoeren.

Wel is gekeken naar veiligheid en een zogenaamde penetratietest uitgevoerd. Daarbij kijkt een bedrijf of er zwakheden van de buitenkant te zien zijn en of daar aan een standaard wordt voldaan. Naar het hele systeem, de kwaliteit van de software of achterdeurtjes is niet gekeken. Ook beschikt de gemeente niet over testrapporten dat de leverancier zelf kwaliteit waarborgt.

Bij het testen is iets ontdekt wat zo ernstig was dat het gerepareerd is en daarna opnieuw getest. In de offerte voor die test staat: “Wel is uiteraard de balans tussen investering en risicoreductie in evenwicht gehouden.” Hoe goed is geïnvesteerd op de testen, wat de bevindingen zijn, is weer geheim.

Zwarte doos

Aboutaleb presenteert een zwarte doos waar nooit harde eisen zijn neergelegd voor een eerlijk verkiezingsproces, dat geen systeemontwerp kent en waarvan hij niet weet wat er uiteindelijk gebouwd is. Er is niet het begin van bewijs dat het DigiD-systeem eerlijke verkiezingen waarborgt. Wat getest kon worden, bleek onveilig en veel is niet getest. Dat is geen goede basis voor een gewoon systeem laat staan voor verkiezingen.

De Verenigde Staten laten zien dat de presidentsverkiezingen voor de machtigste baan onderwerp van discussie kunnen worden door elektronisch stemmen. Gelukkig heeft de gemeenteraad van Rotterdam een stokje voor stemmen in de cloud gestoken. Aboutaleb heeft namelijk geen flauw idee hoeveel Rotterdammers beschikken over een DigiD en hoeveel burgers kunnen stemmen.

Lees de Wob-stukken hier:

 

Première Find My Phone – Anthony van der Meer

Dit keer in plaats van een reguliere CIPcast de première van een documentaire.

Per week wordt er in Nederland 300 keer aangifte gedaan van smartphone diefstal. Naast het feit dat je een dure telefoon kwijt bent, heeft een onbekende ook toegang tot al je foto’s, video’s, e-mails, contacten en berichten. Maar wat voor persoon steelt een telefoon? En waar komen die telefoons terecht? In de documentaire Find my Phone wordt het tweede leven van een gestolen telefoon gevolgd. Door middel van spyware maak je kennis met de persoon achter de diefstal. Maar hoe goed kun je iemand eigenlijk leren kennen aan de hand van zijn telefoon?

Een vrij beschikbare bewustwordingstraining

Ieder bedrijf hoort aan bewustwording binnen de organisatie te doen. Dat is niet alleen een onderdeel van beveiligingsnormen, maar ook noodzakelijk om ieder beleid kansrijk te maken. Personeel zal dus moeten worden getraind. Radically Open Security ontwikkelt producten die vrij beschikbaar zijn om te gebruiken en ontwikkelden een bewustwordingstraining in opdracht van een van hun klanten.

De training is kosteloos en herbruikbaar beschikbaar. Hoe dat werkt vertelt Melanie Rieback, de oprichter van het bedrijf, aan Ad Reuijl van het CIP.

 

De documenten van de training zijn hier beschikbaar:

 

 

 

Marieke van der Klaauw: Verstandig omgaan met sociale media

Sociale media zijn voor veel mensen zowel privé als zakelijke een vast onderdeel van het dagelijks leven. We wisselen informatie uit, hebben een mening en soms werk dat het net ingewikkeld maakt om daar goed mee om te gaan. Waar moet je allemaal rekening mee houden? En ooit komt de onvermijdelijke dag dat je het niet goed doet. Hoe ga je daarmee om? Dat vertelt Marieke van der Klaauw, van het Openbaar Ministerie.

De boefjes van EenVandaag

Volgens EenVandaag is  er paniek in de onderwereld: het Nederlands Forensisch Instituut blijkt in staat te zijn om versleutelde berichten van dure ‘PGP-telefoons’ te halen. De toestellen zouden vooral in het criminele circuit gebruikt worden.

Als het verhaal van EenVandaag zou kloppen en PGP-versleutelde berichten in het wild te kraken zouden zijn dan is de impact enorm. We zijn van dit soort technieken zeer afhankelijk.

Behalve criminelen hebben ook bedrijven, banken, overheden, journalisten, activisten, ondernemingsraden, ambassades, techneuten en risicobewuste burgers deze software in gebruik. Zelf gebruik ik het voor mails met klanten, mijn vrouw en vrienden. Kortom: De techniek is breed in gebruik.

Specifieke aanval

Wat EenVandaag beschrijft is een aanval die in januari van dit jaar bekend werd. Het Nederlands Forensisch Instituut gebruikt een applicatie van Cellebrite, een maker van forensische software. Om berichten te kunnen lezen, moeten de onderzoekers beschikken over het apparaat met daarop ook de geheime sleutels om de berichten te lezen.

De aanval op de berichten is dan ook heel specifiek. Pas als de overheid het toestel in handen heeft, kunnen berichten worden ontcijferd. Welk apparaat je ook hebt, zodra het in kundige, onbedoelde handen valt dan worden de berichten erop gekraakt. Het is niet hetzelfde als het kraken van de techniek. Je moet bij dit voorbeeld de telefoon al in handen hebben. Bij een inbeslagname moet daar wel juridische grond voor zijn.

Server kraken

In de uitzending wordt ook beweerd dat een server in beslag is genomen en de berichten op die server zijn gekraakt. Mocht dat waar blijken dan zou dat groot nieuws zijn. Op de server hebben berichten namelijk nooit in onversleutelde vorm gestaan en ook de sleutels zelf staan niet op de server. Zo’n aanvalt schoffelt de techniek onderuit.

Het punt is alleen dat  EenVandaag niet het begin van bewijs levert en het verhaal ook niet aannemelijk maakt. Er is geen forse steiging in de oplossingspercentages van criminaliteit. Uit documenten blijkt het niet. De passages uit het item zijn gewoon afkomstig van in beslag genomen telefoons.

PGP zal ooit wel te kraken zijn, maar dit is niet het verhaal dat dat bloot legt.

Journalistieke boefjes

Het is bangmakerij voor die ‘oh zo criminele’ versleuteling. De ‘paniek in de onderwereld’ maakt dat beeld nog nét iets sterker. Dat die paniek er is, wordt niet aannemelijk gemaakt. Het klinkt natuurlijk stoer: het zijn vooral boefjes die PGP gebruiken.

De werkelijkheid is ingewikkelder. Zeker 15 redacteuren van de Telegraaf, 10 van de NOS en eentje van EenVandaag zijn te benaderen via hun publieke PGP-sleutel. Dat is handig voor mensen met vertrouwelijke informatie en volstrekt legitiem.