Spionage en naïviteit

“Over spionage moeten we niet naïef zijn”, roepen politici. Een slimme retorische zet om zonder feiten andersdenkenden aan de kant te zetten. Zo’n houding is niet behulpzaam bij dit complexe beveiligingsvraagstuk.

Digitale spionage is ernstig. Al langer dan een decennium maakt de AIVD van ieder jaarverslag gebruik om ons te wijzen op de digitale interesse die er in ons land bestaat. Nederland speelt politiek een belangrijke rol door de vele internationale organisaties die zich hier hebben gevestigd. Onze innovatie maakt ons een aantrekkelijk doelwit voor economische spionage. Jaarlijks worden terabytes aan waardevolle data gestolen.

Vier Russen werden ons land uitgezet, omdat ze via wifi bij gevoelige documenten van de OPCW wilden komen. Datzelfde viertal werd verdacht van de hack op de mail van de democratische partij tijdens de campagne van Hillary Clinton. De hack op de hotelketen Mariott zou Chinese spionage zijn. De Verenigde Arabische Emiraten hackten iPhones om zo journalisten en dissidenten in de gaten te houden.

Onze inlichtingendiensten hacken webcams en systemen van de Russen. De Britten houden via de hack op Belgacom een oogje in het zeil bij de Belgische regering en de NATO. Amerikaanse inlichtingendiensten hebben toegang tot data van alle cloud-partijen van Amerikaanse origine. Die praktijk is bekend sinds de onthullingen van Snowden. Wikileaks onthulde hoe inlichtingendiensten mee konden luisteren met smart-tv’s.

En dan zijn er nog de bedrijven die elkaar bespioneren. Een Nederlands informatiebeveiligings­bedrijf steelt aanbestedingsinformatie uit Singapore. In 2017 arresteert de FIOD een medewerker van een technologiebedrijf voor diefstal van bedrijfsgeheimen bestemd voor een concurrent. Een ERP-leverancier steelt miljoenen documenten van een concurrent.

Met deze overvloed aan voorbeelden die boven de radar zijn verschenen, wordt ook de politiek wakker. Zij roepen om vooral naar de afkomst van een leverancier te kijken. Zo vrezen politici Chinese spionage bij C2000. Nu is dit systeem bestemd voor operationele, vluchtige informatie en niet voor beleid en strategie. Daarnaast is het nog maar de vraag of zo’n aanval realistisch wel mogelijk is. Er zijn overigens normenkaders die precies dit gevreesde risico behoorlijk inperken. Maar toch…

Het kabinet belooft een Rusland- en China-strategie. Een nogal eenzijdige aanpak als u het mij vraagt. Het gaat bijvoorbeeld volledig voorbij aan spionage uit het Verenigd Koninkrijk, de Verenigde Staten, Verenigde Arabische Emiraten, Iran, Noord Korea enzovoort. En precies daar zit hem de kneep. Dergelijke beloftes illustreren de kortzichtige benadering van de problematiek. Er wordt niet gereageerd op concrete risico’s of feiten, maar door algemene angst te zaaien, wordt de illusie gewekt dat ‘men’ er bovenop zit.

Spionage is van alle tijden en alle landen. We moeten dan ook niet kijken naar de afkomst, maar naar de risico’s. Dat betekent beveiliging op orde brengen, due diligence bij de inkoop en normen hanteren. Daarop moeten we goed toetsen, oftewel: audits uitvoeren. In beveiliging is namelijk weinig ruimte voor lichtgelovigheid, een synoniem voor naïviteit.

Opheffen XS4ALL voor efficiëntie is een dure grap

Het voorgenomen opheffen van XS4ALL zou voor KPN wel eens veel kostbaarder kunnen blijken dan de efficiëntie die het ooit zou kunnen opleveren.

XS4ALL bestaat al sinds de dagen dat KPN nog analoge telefoon leverde en geen benul had wat dat internet eigenlijk was. XS4ALL is het laatste restje dat herinnert aan die begintijd. Maar de commotie die ontstond gaat over veel meer dan nostalgie en emotie. De diepgewortelde banden met de hackersgemeenschap zorgen niet alleen voor een ethische meerwaarde, maar zorgen ook voor een technische koploperspositie. Die zou je juist kunnen uitbuiten, in plaats van te elimineren.

Historisch trackrecord

Het trackrecord van XS4ALL is legendarisch. XS4ALL procedeerde met complexe en principiële rechtszaken tegen Stichting Brein en Scientology, het richtte de digitale burgerrechtenbeweging Bits of Freedom op, komt op voor privacy en veiligheid, heeft diepe worstels in de hackersgemeenschap. Kortom, XS4ALL staat dicht bij internetzaken die ons allemaal raken.

KPN’s trackrecord is anders. Het bedrijf incorporeerde eerder internetprovider Planet. Het historisch relevante nieuwsarchief werd vrijwel direct weggegooid. Het bedrijf vecht geen principiële rechtszaken in ieders belang tot de bodem uit en doet niet mee met de gezamenlijke wasstraat tegen DDoS-aanvallen van providers. Wel maakte het zich in het kader van Maatschappelijk Verantwoord Ondernemen druk over privacy door op een bijeenkomst te vragen wanneer ik het wél goed zou vinden als mijn gegevens voor andere doelen wordt gebruikt. Een principieel ander uitgangspunt dus.

Niet hetzelfde

KPN denkt dat de bedrijven wel in elkaar te schuiven zijn. Wie op de KPN-website komt merkt wat het verkoopargument is: ‘goedkoop’ en ‘voordeel’, terwijl XS4ALL als boodschap uitdraagt: ‘beste provider’ en ‘kwaliteit’. In het geval van ‘voordelig’ Telfort, is het opheffen van het merk te begrijpen, maar bij XS4ALL niet. Het technisch beheer en de zakelijke infrastructuur zijn anders. Maar het is ook méér dan dat: de cultuur, het activisme, het zelfstandige; dát zijn de elementen die XS4ALL zo sterk maken. En die je juist terug moet geven.

De Raad van Bestuur zal XS4ALL en hun fans ongetwijfeld zien als een stel ‘internethippies’. Maar de mix van zakelijkheid en idealisme is een krachtige: een internetpetitie krijgt op het moment van schrijven al steun van meer dan 45.000 mensen (bijna 20 procent van het klantenbestand van XS4ALL), de media-aandacht is wel erg langdurig en er is een actiecomité gestart met kennis van actievoeren, geld en een concreet plan. De Italiaans-Colombiaanse bestuursvoorzitter van KPN botst hier met een stuk Nederlandse cultuur. En Hollandse zakelijkheid: wij weten hier dondersgoed hoe je een winstgevend bedrijf nóg winstgevender kunt maken.

Innovatie

Groei, wat aandeelhouders graag willen, is niet vanzelfsprekend. Met een koers die al een jaar tussen de twee en drie euro schommelt (waar deze ooit ruim 43 euro was) ontbreekt geld om echt verder in glasvezel te investeren. Kennelijk is de situatie zo nijpend dat KPN grijpt naar de ‘efficiencyslag’. Zitten aandeelhouders daarop te wachten? Of willen zij een innoverend KPN zien dat met XS4ALL – bijvoorbeeld – een gouden kans heeft nu de kabelmarkt opengaat?

Spreken met impact

Soms krijg ik de vraag om voor een lezing mijn powerpoint-presentatie op te sturen. Soms kan dat niet door actualiteit en soms krijg je dan als feedback: ‘je hebt bijna alleen foto’s en afbeeldingen en nauwelijks tekst’. Dat is bewust. Want impact van een lezing zit in het verhaal niet in bullet-points.

De Vlaamse cabaretier Arnout Van den Bossche maakt met zijn sketch over Powerpoint heel duidelijk waarom het over het verhaal gaat. Hij slaat de figuurlijke spijker zeer vakkundig op zijn.

Gehackt door de Russen met ouderwetse wardriving

Met de recente onthulling van een spionageoperatie in het centrum van Den Haag herleven oude tijden uit de koude oorlog en de ICT. De zaak maakt snoeihard duidelijk dat het met informatiebeveiliging maar droevig gesteld is.

Toen in de jaren 90 van de vorige eeuw draadloze netwerken in opkomst waren, was het onder hackers een sport om te gaan ‘wardriven’. Met een computer, insteekmodule voor wifi en een antenne reed je door stadscentra. Je kon meeliften op de netwerken van anderen, kijken naar bestanden op computers en bij bedrijven netwerken overnemen. Het was eigenlijk te simpel.

De oude tijden herleven nu blijkt dat de Russische inlichtingendienst GRU precies deze methode gebruikt om her en der in te breken op netwerken van organisaties. Ze gebruiken daarbij de zeer populaire WiFi Pineapple, een kastje dat vaak opduikt bij presentaties over beveiliging om de gevaren van draadloze netwerken te demonstreren.

De zaak maakt duidelijk dat de GRU gevoelige documenten prima via een draadloze verbinding op afstand kan ophalen. Goede beveiliging zou wifiverbindingen anders behandelen dan fysieke verbindingen en er in een aantal gevallen zelfs voor kiezen om documenten in het geheel niet via een netwerk toegankelijk te maken. In al die jaren is er maar weinig verbeterd.

Dankzij onze laksheid kunnen inlichtingendiensten, criminelen en anderen kinderlijk eenvoudig toegang krijgen om documenten te stelen, beschadigen, vernietigen of te plaatsen. Het schokkende ervan is dat het niet meer vereist dan vaak gratis software, goedkope standaardcomputers of een WiFi Pineapple en een beetje knappe antenne. Sterker nog: in de tijden van het wardriven waren we in de hackerscene dol op Pringles-chips. Niet zozeer omdat ze lekker zijn, maar vooral omdat de blikken perfecte richtantennes zijn voor wifi. We krikten er de reikwijdte van netwerken fors mee op van enkele honderden meters tot zelfs enkele kilometers.

Het is nog een geluk dat de Russen vanuit een auto besloten te hacken. Ze hadden ook kunnen kiezen voor de patser-optie: niet alleen parkeren bij het Marriott Hotel, maar er meteen in te checken om vanuit een knappe kamer voorzien van deugdelijk roomservice en een kaartje ‘niet storen’ aan de deur rustig te hacken. Eerst bij het OPCW om vervolgens de doos Pringles een kwart slag te draaien naar het Catshuis toe.

Maar goed, de hackers zaten wel in de auto en werden bovendien gestoord. “Met het onthullen van de werkwijze van de GRU maken we het de GRU moeilijker en vergroten we tegelijkertijd onze eigen weerbaarheid,” zei de Minister van Defensie trots. Ik onderschrijf die boodschap en pleit al langer voor meer openheid over hoe incidenten verlopen. Maar het is ook onze collectieve taak om twintig jaar na het wardriven eindelijk eens de naïviteit van ons af te schudden. Laten we onze beveiligingsmaatregelen nu écht richten op dreigingen die we al ruim twintig jaar in het vizier hebben.

Nationale DNA-databank is wensdenken

Na de aankondiging dat Jos B. hoofdverdachte in de verkrachting en moord op Nicky Verstappen is, kwam de politiek met de oplossing. Ieders DNA moet in een database. Los van de vraag of Europese mensenrechten-wetgeving de ruimte biedt voor een DNA-databank, toont het weer een verschrikkelijk wensdenken naar een alomvattende oplossing.

Uit onderzoek blijkt dat in de gedachten van 85 procent van de bevolking DNA een trefzekere, foutloze manier is om bij een verdachte uit te komen. De praktijk is alleen weerbarstiger. Zo werkt de techniek niet zo dat er een absolute ‘ja/nee’-match is, maar gaat het om de kans dat er een match is. Statistieken zijn soms misleidend en de testen laten ruimte voor interpretatie.

Geen foutloze technologie

Een bijkomend probleem is dat er verschillende testen zijn en ook daar schiet de nauwkeurigheid tekort. De betere testen zijn – u raadt het al – fors duurder. Precies dat ondervond de Taiwanees Chen Long-Qi toen een DNA-test hem match voor een verkrachting aanwees. Vijf jaar na zijn veroordeling toonde een nieuwe, duurdere test aan dat hij juist geen match was en onschuldig bleek te zijn. Naast het leven van de slachtoffers was ook dat van hem geruïneerd.

Daarnaast gebeurt het ook dat sporen van meerdere mensen soms in een monster voorkomen. Toen een Amerikaans overheidsinstituut in 2013 de proef op de som nam door een monster met DNA van vier mensen op te sturen met een zogenaamde verdachte die niet in het spoor zat, wees toch 70 procent van de onderzoeksbureaus deze persoon als match aan. Wetenschappers zijn in toenemende mate kritisch op hoe de techniek in het strafrecht wordt verheerlijkt. Niet zonder reden, zo blijkt. In de VS loopt het aantal fouten met DNA inmiddels in de duizenden.

Nieuwe risico’s

Ook het dogmatisch geloof in onfeilbare technologie vormt een risico. Want DNA aangetroffen is al snel schuldig. Dus loont het voor criminelen om in trein, bus, restaurant of kapper wat haren mee te nemen. Altijd handig om op een plaats delict achter te laten. Met Nederland in een DNA-database blijft de politie op afstand.

Ook levert een nationale DNA-databank nieuwe potentiële gevaren op. Hoe beveiligen we zoveel data tegen misbruik, manipulatie of diefstal? Hoe voorkomen we dat de DNA-profielen voor andere doelen worden ingezet, zoals medische profielen maken of voorspellen dat iemand crimineel zou kunnen worden op basis van DNA? Of hoe voorkomen we dat we het breder gaan inzetten in de toekomst dan alleen levens- of geweldsdelicten? En wat stellen we in het werk om niet bij een volgende bezuinigingsronde de kwaliteit van de toch dure testen omlaag te schroeven?

Verkeerde focus

Politici zitten niet te wachten op risico’s en willen graag dé oplossing. Als het misgaat, zit er een nieuw kabinet en is dan is het hun probleem. Ondertussen blijven met de focus op DNA andere ingewikkelde debatten uit. Zo is er weinig aandacht voor de vraag waarom Jos B. niet was aan te pakken toen hij eerder in het dossier opdook. Had de politie te weinig mogelijkheden, te weinig mensen of is er een andere oorzaak?

De focus op een dure DNA-databank voor dit soort incident overschreeuwt ingewikkelde vraagstukken waar geen pasklaar antwoord op is. Is het niet slimmer de focus te verleggen naar het kleiner maken van de kans op seksueel misbruik en moord? Moeten we niet meer energie steken in het monitoren van mensen die veel met gevoelige groepen omgaan? Moeten we niet vaker toetsen of het wel goed gaat? Maar dat lijkt voor de politiek onbespreekbaar, want als politici het niet meer weten, grijpen ze naar technologie als de simpele oplossing.

Zet privacywetgeving in tegen databoeven

Na het misbruiken van Facebook-gegevens door Cambridge Analytica werd opeens pijnlijk data wat de kracht van big data is. De gebruikers laten onbewust zoveel informatie achter dat zaken als politieke voorkeuren, seksuele geaardheid, medische of psychische problemen met redelijke zekerheid kunnen worden worden vastgesteld op basis van bezochte sites, likes, berichten en andere informatie.

Handig

Soms is het gebruik van die data reuze handig. Een dienst als Tinder kan zo mensen goed aan elkaar koppelen op basis van het Facebook-profiel. De wordt zo gekneed dat de dienst bijna griezelig goed werkt. Zo heb ik mijn huidige vrouw leren kennen, waarbij niet alleen interesses, sociale achtergrond, werkveld en netwerk overeenkomen, maar ook op veel politieke onderwerpen de match eng klopt. Wat er daarna met de data gebeurt, weet ik niet.

Wie er toegang krijgt tot de data kan veel mensen weinig schelen. Ook Facebook moet geld verdienen en daarom is het gebruik door adverteerders is niet meer dan logisch. Dat die data ook misbruikt kan worden toont Cambridge Analytica. Zij zetten de data, mogelijk ten onrechte, in om een beeld te vormen van gebruikers en die met de juiste toonzetting voor verkiezingen te benaderen.

Asbestproblematiek

Natuurlijk kennen we het gezegde ‘dat als de dienst gratis is, ben jij het product’. Maar het maakt nogal uit hoe dat vorm krijgt. De toestemming die we geven, kan natuurlijk geen blanco cheque zijn. De privacywetgeving die in mei ingaat verplicht niet alleen om duidelijk uit te leggen wat er met data gebeurt. Als de toestemming wordt ingetrokken – wat onder de nieuwe wet altijd kan – moeten ook anderen stoppen met het gebruik van de gegevens.

Facebook zegt echter dat het regelen van de privacy en daarmee het voldoen aan deze regels jaren kan duren. Een typisch voorbeeld van een veelkoppig monster waar we als gebruikers weinig regie over hebben. Dat doet sterk denken aan de asbest-problematiek. Ook daar duurt het een lange tijd voor de gevaren zich manifesteren, maar als het mis gaat is de schade onherstelbaar.

Ingrijpen

Natuurlijk kunnen we er ons eenvoudig vanaf maken door te roepen dat we het zelf doen, diensten niet moeten gebruiken of dan maar geen gegevens moeten verstrekken. Maar de profielen van Facebook en andere diensten worden op zoveel manieren gevuld dat je eraan onttrekken heel lastig is. En daarnaast is niet de gebruiker het probleem, maar het bedrijf. Alleen een overheid heeft de middelen om in te grijpen bij bedrijven als Facebook en Cambridge Analytics.

Daar ligt nu een schone taak. Het zijn bedrijven die gegevens misbruiken, die verantwoordelijk zijn voor het lekken van de gegevens. Zij zijn het dus die helder moeten vertellen hoe ze de data gebruiken. Dat laatste gebeurt vaak alleen in vage bewoordingen, omdat het verhaal onprettig is. Net als bij asbest zou je de gevaren aan gebruikers moeten voorleggen. In mei is de Europese privacywetgeving bindend. Een mooi moment om te gaan ingrijpen en dwingend dit soort praktijken te stoppen.

Wijzigingen Wiv stap vooruit, maar onvoldoende

De voorgestelde aanpassingen op de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017) na de uitslag van het referendum zijn concreet en een verbeteringen. Toch haalt het niet de echte pijnpunten weg. Wat mij betreft een gemiste kans.

Restrictiever

Dat er nu restrictiever wordt gekeken naar welke landen de inlichtingendiensten gevoelige data over bijvoorbeeld Nederlandse burgers mogen uitleveren, is een goede stap. De vraag is hoe publiek dat debat wordt gevoerd. Leveren wij gegevens bijvoorbeeld aan de VS uit? Maar een van de grootste pijnpunten blijft overeind: men mag data naar andere landen sturen zonder dat dit gefilterd of onderzocht wordt. Het blijft vreemd dat dit nog altijd overeind blijft. Want waarom gegevens over Nederlandse burgers naar andere landen sturen zonder te weten of het nuttig is.

Het laatste punt blijft ongelukkig. Andere landen leveren namelijk niet zomaar informatie over eigen burgers uit. Wij lijken hiermee meer data uit te leveren dan andere landen ons aan informatie gunnen. Vergelijkbare wetten in andere landen zijn restrictiever. Ook blijft onduidelijk hoe wordt voorkomen dat gesleepte data niet wordt ingezet voor economische spionage. In Nederland is dat verboden, maar in het buitenland niet.

Fundamentele rechten

Verder is het goed dat fundamentele rechten nu op de radar komen bij het inzetten van ongericht (slepen) van gegevens. Het logisch gevolg daarvan is dat je ook gaat kijken hoe je zo’n bevoegdheid vervolgens gerichter gaat inzetten. Ook het niet automatisch drie jaar bewaren van gegevens is een logische stap, omdat een inbreuk op rechten van mensen zo kort mogelijk hoort te zijn. Maar dit zijn ook precies twee van de punten waar zeer waarschijnlijk het Europese Hof voor de Rechten van de Mens over zou zijn gevallen.

Tot slot is het jammer dat het kabinet er niet voor gekozen heeft om het hacken van derden die volledig onschuldig zijn te schrappen. Juist Nederland zou beter moeten weten. In ons land is immers Diginotar gehackt met als doel verkeer van Iran naar vooral Google te kunnen tappen. In de nasleep ging het bedrijf failliet en had ons land ook forse schade. Los daarvan werd de hack gebruikt om dissidenten te hinderen.

Mene tekel

Samenvattend is dit een kleine stap in de goede richting. Het is niet te begrijpen dat nog altijd gegevens ongezien aan diverse andere landen worden verstrekt zonder dat bekend is dat dit iets oplevert of noodzakelijk is. Dat is ook ouderwets denken. Er zijn technische mogelijkheden om data veel slimmer en gerichter uit te wisselen. Dat die niet worden benut is een gemiste kans. Was de mensenrechtentoets ingezet, zouden we alleen gefilterde data uitwisselen en niet derden hacken dan was de wet echt een ander plaatje.

(On)veiliger door techniek?

De opmars van de digitalisering heeft gezorgd voor veel vooruitgang in het veiligheidsdomein. We leven in de veiligste samenleving ooit met dank aan de technologie. Maar introduceren we geen nieuwe, onbeheersbare risico’s?

Camera’s zijn niet meer weg te denken uit het straatbeeld, in het openbaar vervoer, in de restaurants, cafés, scholen, kinderopvang, de werkvloer en andere aspecten van het openbare leven. In straten waar de camera’s niet hangen, zijn er burgers die actievoeren om alsnog onder cameratoezicht te vallen.

En voor de prijs hoef je het niet te laten. Voor een kleine negen euro bestel je in China al een full-hd-camera. Wie liever via draadloze netwerken werkt betaalt het dubbele en voor een paar tientjes meer is de camera direct op internet aangesloten. De techniek is zo verfijnd dat je de camera’s ook steeds beter kunt verbergen. Waarom zou je het niet doen?

Sekssites

Uiteindelijk is de toegevoegde beveiliging het ultieme argument. Alleen de enkele privacy-fetisjist zeurt nog wat door over de twijfels aan de effectiviteit, het misbruiken van de beelden, de mogelijkheid om de camera’s te hacken, het je anders gaan gedragen in ruimten waar je gefilmd wordt en je dus minder vrij voelen. Vooral de vergelijking met 1984 van George Orwell doet het dan goed. Die redenering is gemakkelijk te pareren met een ‘als je niets te verbergen hebt dan heb je niets te vrezen’.

Maar die redenering klopt dus niet. Daar kwamen de Nederlandse handbalvrouwen achter nadat zij naar de sauna gingen. Een camera in de kleedkamer werd voer voor sekssites. Naast input voor Big Brother zijn de vrouwen nu ook commerciële handelswaar. Want de sportieve, naakte lichamen hadden niets te verbergen, maar veel te verliezen.

De camera’s zouden volgens de eigenaar van de sauna zijn gehackt. Geen gek verhaal, want welke beveiliging mag je verwachten van een hd-camera van twee tientjes inclusief de kosten verzending? En die hangen we op internet? Met dank aan dat gedrag zijn duizenden camera’s zonder enige beveiliging te bekijken. Zo kijken viespeuken mee in de sauna, pedo’s bij de kinderopvang en stalkers bij gewillige slachtoffers.

Ontspannen

Ondertussen blijken camera’s maar beperkt te werken in het voorkomen van misdrijven. Bij de opsporing kunnen ze nuttig zijn. Maar we mogen twijfelen aan de effectiviteit van het middel. De critici hadden misschien toch een punt toen ze stelden dat er aan de technologie ook risico’s zitten.

Camera’s zijn zo klein dat we ze niet meer zien. Terwijl de kwaliteit van het beeld toeneemt, daalt de prijs en daarom zijn ze overal in ons leven. Maar wat doet dat met ons gedrag als we ons omkleden in het zwembad, de kinderen bij de buitenschoolse opvang brengen, in de sauna zijn of op een openbaar toilet zitten? Ben je helemaal jezelf of moet je toch denken aan die gluurders op de sekssite?

CYBER Charlatans

Donderdagavond ben ik gewezen op een passage in het boek ‘De Wereld van CYBERSECURITY en CYBERCRIME’, waarin de suggestie wordt gewekt dat ik tips zou hebben gegeven. Die suggestie is onjuist en onwaar. ‘Tips van Brenno de Winter’ is buiten mij om gemaakt en tegen mijn wil in het boek gekomen.

Wel ben ik gevraagd een citaat te leveren voor het boek. Ik heb daarvoor het manuscript gevraagd. Na het doorworstelen van een paar pagina’s heb ik de uitgever gezegd dat dit werk een verzameling onzin was. Natuurlijk heb ik geweigerd een citaat gegeven. De enige tip die ik heb gegeven is het niet uitbrengen van dit broddelwerk.

Digitale stormvloed: Beveiliging is wachten op de Titanic

In mijn boek “Digitale stormvloed” sta ik uitgebreid stil bij tussen de parallel die er is tussen fysieke veiligheid en digitale veiligheid. Het kantelpunt bij fysieke veiligheid in vooral de logistiek is evident de ondergang van de Titanic. In de digitale veiligheid is dat kantelpunt nog niet geweest. De passage uit het boek treft u hieronder aan.

Wat de samenleving veiliger kan maken, hebben we in vergelijkbare situaties al geleerd. Na een groot veiligheidsincident in de scheepvaart, met een trein of in de luchtvaart volgt steevast een publiek rapport. We trekken lessen die vaak uitmonden in duidelijke regels. Na het verdwijnen van de MH370 wordt overwogen om gebruik te gaan maken van het Inmarsat-satellietsysteem dat momenteel ook in de zeevaart in moeilijk te volgen gebieden een rol speelt. Na de crash van het vliegtuig van Turkish Airlines bij Schiphol zijn bijvoorbeeld verbeteringen in de hulpverlening doorgevoerd. Na het neerschieten van de MH17 is afgesproken dat een aantal inlichtingendiensten beter waarschuwen voor gevaarlijke gebieden en is besloten om niet langer over conflictgebieden te vliegen als dat niet echt noodzakelijk is. Maar in de informatiebeveiliging is het nog niet gebruikelijk om na een groot incident breed lessen te trekken en bindend regels op te leggen. Het lijkt erop alsof de wereld wacht op de digitale ondergang van een Titanic voor er echt iets verandert. Ga verder met “Digitale stormvloed: Beveiliging is wachten op de Titanic” lezen