De regering begint 2016 ronduit goed!

Eindelijk geeft Nederland aan hoe we omgaan met versleuteling op internet. De keuze is lastig, omdat opsporingsbelangen botsen met een vrij internet. Minister Ard van der Steur begint het jaar goed door een duidelijk keuze te maken: versleuteling is te belangrijk om stuk te maken.

Dat blijkt uit een brief aan de Tweede Kamer heeft gestuurd.

Lastig probleem

Om vertrouwelijk te communiceren, wordt op internet gebruik gemaakt van encryptie. Daardoor kunnen we veel veiliger financiële transacties doen, persoonlijke communicatie beschermen, blijven bedrijfsgeheimen vertrouwelijk en kunnen ook overheden veilig communiceren. In een digitale wereld heb je dat nodig om vertrouwd zaken te kunnen doen.

Aan de andere kant is er een roep om juist de versleuteling te verzwakken door achterdeurtjes in te bouwen of de sleutels aan de overheid te geven. Zo kunnen bij belangrijke opsporingsonderzoeken vertrouwelijke gegevens toch worden achterhaald. Vooral na aanslagen of bij kinderporno wordt die oproep veel gedaan.

Haken en ogen

Maar het probleem van achterdeurtjes is dat ook een kwaadwillende die kan achterhalen. Door software te analyseren, in te breken bij overheden of in sommige gevallen netwerkverkeer te analyseren, krijgen onbevoegden dan ook toegang tot de gegevens. Als je cryptografie verzwakt dan schaadt je daarmee de werking van de technologie. Een beetje stuk voor alleen een goedwillende overheid bestaat niet.

Het stuk maken van technologie heeft het grote gevaar dat deze technologieën op een gegeven moment niet meer zijn te gebruiken. Je kunt dan niet meer vertrouwd een financiële transactie doen, niet meer vertrouwen op bepaalde systemen en uiteindelijk raakt dat het vertrouwen in de digitale economie (online bestellen, online betalen, informatie opslaan in de cloud, enzovoort).

De vraag is dus of je nog open voor business bent als de onderliggende technologie is beschadigd. Waarom zou een bedrijf uit het buitenland de informatie in Nederland opslaan als een buurland de mogelijkheid biedt om wel veilig te werken? De risico’s die je loopt met het verzwakken van versleuteling zijn enorm.

Keuzes maken

De keuze die eigenlijk voorligt is de vraag wat belangrijker is: een digitale samenleving hebben en houden of een overheid – in theorie – altijd toegang tot alle informatie bieden. Daarbij moeten we ons wel beseffen dat een beetje crimineel zich niet zou houden aan de regel dat cryptografie verzwakt moet zijn en je uiteindelijk de goedwillende burger benadeelt.

Minister Ard van der Steur begint het jaar 2016 goed in zijn brief aan de Tweede Kamer die keuze duidelijk te maken voor een vrij internet en niet cryptografie stuk te maken:

“Het kabinet heeft tot taak de veiligheid van Nederland te waarborgen en strafbare feiten op te sporen. Het kabinet onderstreept hierbij de noodzaak tot rechtmatige toegang tot gegevens en communicatie. Daarnaast zijn overheden, bedrijven en burgers gebaat bij maximale veiligheid van de digitale systemen. Het kabinet onderschrijft het belang van sterke encryptie voor de veiligheid op internet, ter ondersteuning van de bescherming van de persoonlijke levenssfeer van burgers, voor vertrouwelijke communicatie van overheid en bedrijven, en voor de Nederlandse economie.

Derhalve is het kabinet van mening dat het op dit moment niet wenselijk is om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland. In de internationale context zal Nederland deze conclusie en de afwegingen die daaraan ten grondslag liggen uitdragen.”

Winst

Op dit dossier kiest de regering voor een vertrouwde digitale samenleving. Dat is goed nieuws en winst. Nu hopen dat met dit standpunt ook Minister Plasterk zijn wetsvoorstel voor de inlichtingendiensten aanpast. Hij eiste onder omstandigheden ook verzwakking van cryptografie.

Overigens is daarmee niet alles veilig voor de criminelen, want als het aan de regering ligt wordt het wel mogelijk op computers in te breken en zo bij gegevens te komen vóór ze worden versleuteld.

Digitale veiligheid moet aandacht op scholen krijgen

Regelmatig blijken grote hacks een eenvoudig te voorkomen oorzaak te hebben. Het gevolg is dat gevoelige gegevens van de klant, burger of zakelijk partner in foute handen komen. Volgens de Cyber Security Raad schiet de kennis ernstig tekort. Het lesprogramma moet daarom om. Eind oktober bracht ik het verhaal van een USB-stick die door de HEMA uit de handel was genomen. De oorzaak was een reeks beveiligingsproblemen. Zo deugde de software op de stick niet. Ook de clouddienst waar mensen een backup konden achterlaten zat vol fouten.

Het geheel was een tombola van nogal breed bekende programmeer- en configuratiefouten. Wie kwaad in de zin had, kon niet alleen documenten stelen maar ook andere diensten van de leverancier van de clouddienst misbruiken. De HEMA had zelf niet genoeg onderzoek naar hun partner gedaan en stoppen met het product was de enige zinnige optie.

Betere opleiding

Bij het ontwikkelen van software gaat nog altijd veel mis. De Cyber Security Raad, een adviesorgaan van de overheid, constateert dat een oplossing ligt in het beter opleiden van mensen. In een rapport maandag (PDF) pleit zij voor een beter aanbod van lessen. Dat begint wat hen betreft al op heel jonge leeftijd. Zo gaan jongeren bewuster met technologie om.

Ook moeten de vakopleidingen beter zodat beveiliging meer aandacht krijgt. Ook zal er een tekort aan beveiligingsexperts. Om in de toekomst mee te blijven doen in de vaart der volkeren moeten opleidingen anders. Bedrijfsleven en ICT’ers zouden ook een rol moeten krijgen, stelt de Raad.

Tekort

De Cyber Security Raad waarschuwt dat we een tekort aan beveiligingsexperts gaan krijgen. Zelfs als we beveiligingsproblemen te lijf willen gaan dan ontbreekt het binnenkort aan expertise. Volgens het adviesorgaan is de problematiek dan ook urgent.

“Als Nederland niet genoeg investeert in cybersecurity, kunnen bedrijfsleven, overheid en burgers kwetsbaar worden voor onder andere bedrijfsspionage, het stelen van privacygevoelige gegevens, identiteitsfraude, productieverstoring of imagoschade”, waarschuwt de Cyber Security Raad. “De digitale toekomst van Nederland moet veilig worden gesteld. Dat kan door te zorgen voor voldoende cybersecurity professionals en door de Nederlandse jeugd voor te bereiden op de digitale toekomst.”

Verkeerde loket

In totaal zijn er zes aanbevelingen. Ze liggen zo voor de hand dat je zou denken dat het een open deur intrappen is. Maar het probleem is wel dat het rapport veel werk zou betekenen als de adviezen worden opgevolgd. Opleidingen moeten anders en ook docenten moeten worden opgeleid. Werk aan de winkel voor het Ministerie van Onderwijs, Cultuur en Wetenschappen, een departement dat op het digitale dossier niet bepaald uitblinkt.

Maar bij de uitreiking schittert staatssecretaris Sander Dekker door afwezigheid. Zijn collega van Veiligheid en Justitie, Klaas Dijkhoff, neemt het in ontvangst. Dat is het verkeerde loket, want het gaat echt om opleiding. Dat is weinig geruststellend. De digitale samenleving is realiteit. Wat kan urgenter zijn dan volgende generaties daarvoor weerbaar maken?

Alert Online over social engineering

Eenmaal per jaar is er in Nederland aandacht voor de risico’s van online werken op internet. In het kader van deze bewustwordingscampagne is onderstaande video beschikbaar over de gevaren van social engineering (het je voordoen als iemand anders). Om veiliger te zijn kunt u zelf veel eenvoudige stappen zetten. Zie daarvoor de adviezenpagina op Alert Online of verdiep u via De Beveiligingsupdate.

De Beveiligingsupdate: Waarom is wifi onveilig? Wat kun je doen?

Overal zijn er draadloze netwerken en iedereen maakt daar met verve gebruik van. Maar hoe veilig is dat en hoe kun je jezelf tegen risico’s wapenen? Ronald Kingma van SecureLabs praat over de risico’s en tips met Elleke Oosterwijk van het CIP. Wie veiliger wil zijn bij draadloze netwerk kan ook kijken op de pagina over draadloos van veiliginternetten.nl. Daarbij gaat het niet alleen over gebruik van draadloze netwerken, maar ook zijn er tips om zelf Wifi op te zetten.

 

Eerder belichtte Ronald Kingma met Brenno de Winter een scenario hoe draadloze netwerken het mogelijk maakten om geld te stelen van mensen die internetbankieren misbruikten.

Beveiligingsupdate: Hans de Raad over het veiliger e-mailen

Als je een e-mailbericht stuurt. Hoe veilig is dat eigenlijk? Vaak voelt dat vertrouwt aan. Maar kunnen andere partijen meelezen met onze berichten? En als dat kan wat kunnen we daartegen doen? Beveiligingsexpert Hans de Raad van OpenNovations praat daarover met Ad Reuijl van het CIP.

 

Wilt u meer weten over risico’s van e-mail of encryptie, lees dan verder

Ga verder met “Beveiligingsupdate: Hans de Raad over het veiliger e-mailen” lezen

Responsible disclosure richtlijn is onverantwoord risico

Donderdag introduceert minister Opstelten van Veiligheid en Justitie een richtlijn voor responsible disclosure. Het is een leuke gedachte-oefening, maar voor hackers bloedlink en volkomen zinloos.

De gedachte bij responsible disclosure is dat er een verantwoorde manier wordt gevonden om beveiligingsproblemen aan te melden bij organisaties. Daarbij is het de bedoeling dat het zo wordt gemeld dat niet meteen alle gegevens op straat liggen. Er was veel onduidelijkheid in de bestaande regelgeving en daarom heeft het National Cyber Security Center een richtlijn opgesteld. Lees de column op HP/de Tijd.