Uber belemmert innovatie met geheimzinnigheid datalek

Taxibedrijf Uber heeft een groot datalek met persoonsgegevens onder de pet gehouden. Het bedrijf betaalde zelfs de hackers om de zaak te sussen. Dat is niet alleen slecht voor de 57 miljoen klanten die het betreft, maar ook voor ambities voor zelfrijdende auto’s.

De hack vond vermoedelijk plaats in oktober 2016 en treft persoonsgegevens van 57 miljoen klanten over de hele wereld en persoonsgegevens van 600.000 chauffeurs in de Verenigde Staten. Bloomberg heeft een artikel geplaatst waar ook inhoudelijk uitleg is te vinden.

Geheimzinnigheid

Het bedrijf besloot honderdduizend dollar te betalen om bij de hackers te bedingen dat de zaak niet naar buiten zou komen. Die vorm van geheimzinnigheid is alleen al kwalijk, omdat in diverse landen – waaronder Nederland – dit soort beveiligingsincidenten een meldplicht kennen. In ieder geval bij de toezichthouder, maar in veel gevallen ook bij de klant: u en ik.

Met de geheimzinnigheid is niet alleen de wet overtreden, maar ook moreel verwerpelijk. Het miskent dat na een lek de chauffeur of de klant zelf een inschatting moet kunnen maken of ze risico lopen. Maar nog belangrijker: door een cultuur van wegmoffelen, wordt verdedigen tegen criminaliteit moeilijker. Anders gezegd: geheimzinnigheid is in het belang van kwaadwillende hackers die belang hebben dat we ons niet beter beveiligen.

Vanuit beveiligingsoogpunt wil je juist wel weten wat er gebeurd is en welk probleem is verholpen. Door lessen te trekken, kunnen we het een volgende keer beter doen. Voor fysieke veiligheid is lessen trekken de norm sinds de ondergang van de Titanic. Voor digitale veiligheid zou dat niet anders moeten zijn in onze informatiesamenleving.

Zelfrijdende auto

Bij een bedrijf als Uber mag je de lat zelfs hoger leggen. De onderneming werkt aan een zelfrijdende auto, die uiteindelijk de taxichauffeur moet vervangen. Dat is de software die moet helpen het aantal verkeersdoden fors naar beneden te krijgen. Auto’s zijn meer en meer afhankelijk van technologie. Daar is geen ruimte voor een mentaliteit waar je een ton betaalt om problemen onder het tapijt te schuiven.

Onze samenleving is zeer afhankelijk van technologie en door de snelheid van ontwikkeling ook kwetsbaar voor allerhande vormen van misbruik en ellende door softwarefouten. Dat zou de ICT-industrie zich meer mogen aantrekken, want uiteindelijk gaat digitale veiligheid ook over onze fysieke veiligheid.

De onderzoeksraad moet de Digitale Ramp Belastingdienst onderzoeken

Na de onthulling bij Zembla over hoe bij de Belastingdienst met gevoelige gegevens wordt omgesprongen komt de vraag op of er sprake is van een datalek. In antwoord op vragen erkent Staatssecretaris Eric Wiebes (VVD) dat 18 mensen de gevoelige gegevens op een USB-stick konden zetten. Tijd voor een onderzoek naar welke bedrijfscultuur kon leiden tot deze digitale ramp.

In de ‘Broedkamer’ brengt de Belastingdienst allerhande gegevens van 11 miljoen mensen en 2 miljoen bedrijven bij elkaar om zo op basis van big data-technieken fraudepatronen op te sporen. Dat klinkt misschien niet leuk, maar het is wel onvermijdelijk. Via vage grensoverschrijdende bedrijfsconstructies en handelsketens vinden transacties plaats die op een belastingaangifte niet meer terug zijn te vinden. Een minder orthodoxe aanpak is in dat licht wel begrijpelijk, maar die raakt wel de vrijheid van iedere Nederlander.
 
Governance

Bij deze aanpak gaat het om nogal wat gegevens: fiscale data, financiële transacties, reisgedrag, telefoongesprekken met de Belastingdienst, parkeergegevens, vastlegging van auto’s die onder camera’s doorrijden en ga zo maar door. Hoe ver de data-analyse gaat geeft de fiscus weer op haar eigen vacaturesite. Eerder waarschuwde de Raad van State dat er nauwelijks een gegeven te bedenken is dat niet verwerkt kan worden. Maatregelen tegen iedere vorm van misbruik zijn dan ook cruciaal. De governance van beveiliging en privacybescherming moet op orde zijn.
Het in januari 2017 verschenen rapport “Onderzoek naar de besluitvormingsprocedures binnen de Belastingdienst” naar de vertrekregeling maakt duidelijk dat juist die governance nog de aandacht verdient:

‘Verbetering van de checks and balances binnen de Belastingdienst en in relatie met het departement is dringend noodzakelijk. De gang van zaken rond de vertrekregeling is geen incident maar vormt een illustratie van een breder probleem.’

18 ontheffingen

Ook bij de problematiek van de ‘Broedkamer’, de afdeling die nu ‘Data & Analytics’ heet, komt dit probleem naar voren, blijkt uit de beantwoording van Kamervragen door Wiebes:

‘In het verleden hebben die ontheffingen in ruimere mate bestaan (maximaal 18 met toegang tot data), veelal aan medewerkers die deze ontheffing hadden verkregen vanuit hun vorige functie binnen de Belastingdienst. Eind 2015 zijn deze ontheffingen stapsgewijs ingetrokken op initiatief van de Broedkamer zelf, zodat ultimo 2015, dus voor de oprichting van D&A, alle ontheffingen waren ingetrokken. Sindsdien is nog eenmaal een tijdelijke ontheffing verleend.’

De bedoelde ontheffingen waren verleend voor het gebruik van een usb-stick. Samengevat waren er 18 mensen die toestemming hadden een usb-stick te gebruiken. Dit recht vloeit voort uit een eerdere job en kennelijk schort het bij het omgaan met deze gegevens aan goede procedures. Later is nog iemand toestemming gegeven binnen de afdeling D&A om met een usb-stick te werken.
 
Niet geschreven

Maar het interessante in de antwoorden zit in wat Wiebes niet opschrijft. Nergens lezen we dat het gebruik van usb-sticks onmogelijk is gemaakt. Anders was het immers geen noemenswaardig beveiligingsrisico. De techniek verhindert het kopiëren van gegevens niet. 18 en zeer waarschijnlijk meer mensen konden in de periode 2013-2016 dus deze zeer gevoelige gegevens kopiëren en meenemen.
Ook lees ik nergens dat mensen die op deze afdeling D&A werken aan fysieke controles worden onderworpen om het stelen van deze gegevens te voorkomen. Bij inlichtingendiensten is zoiets wel gebruikelijk en de gevoeligheid rechtvaardigt dit ook. Nogmaals: we spreken hier over zeer gedetailleerde data van 11 miljoen burgers en 2 miljoen bedrijven. Als het mis is gegaan is dit waarschijnlijk niet meer te bewijzen.
We kunnen er lang en kort over discussiëren, maar dit is volgens de juridische definitie een datalek. Want de vraag is niet of het is misgegaan, maar of het is uit te sluiten. Dat laatste is niet het geval; 18, 19 of misschien wel meer mensen hebben de belastingdata van zo’n beetje iedereen kunnen kopiëren.
 
Onderzoek

Het verhaal van de Broedkamer is ofwel een digitale ramp die zich in stilte heeft voltrokken, of een digitale near miss van enorme proporties. Om lessen te leren hoor je dat goed te onderzoeken als ware het een scheepsramp. Net als bij Diginotar zou de Onderzoeksraad voor Veiligheid een logische keuze zijn.
Dat Wiebes nu met een eigen onderzoek komt waarin de top zichzelf onderzoekt, helpt daarbij onvoldoende. Je wilt juist dat een externe blik hier fris naar kijkt. Ook het onderzoek van de Autoriteit Persoonsgegevens is daarvoor niet geschikt. Die kijken naar de huidige situatie en de vraag of de Belastingdienst nu aan de Wet bescherming persoonsgegevens voldoet. Dat is nuttig, maar onvoldoende.
 
Allemaal belangrijke informatie, maar nog niet antwoord op de vraag: hoe verkeerd is het gegaan, hoe heeft dat zo kunnen komen en waarom zijn de resultaten van eerdere onderzoeken kennelijk onvoldoende opgevolgd?

Is Yahoo! een kat in de zak?

Yahoo! krijgt de grootste hack ooit over zich heen, bespioneert zijn klanten en houdt cruciale informatie onder de pet. Het wordt pijnlijk duidelijk dat Verizon mogelijk een kat in de zak heeft gekocht.

Bij een hack op Yahoo! zijn zo’n 200 miljoen persoonsgegevens buitgemaakt. Het gaat om wachtwoorden, geheime vragen, e-mailgegevens, geboortedata en vooral de toegang tot het platform om identiteitsdiefstal te plegen. Problematisch daarbij is dat niet het bedrijf, maar de media de onthulling brengen.

Dat het bedrijf is gehackt, hoeft niet noodzakelijkerwijs pijnlijk te zijn. Het overkomt vrijwel ieder bedrijf. Wel problematisch is dat nu het bedrijf deze hack toegeeft, blijkt dat het incident al in 2014 plaatsvond. Ook gaat het niet om 200 miljoen slachtoffers, maar 500 miljoen. Het is de grootst bekende hack ooit en het bedrijf nam niet de moeite haar klanten te informeren. Voor Verizon, dat momenteel bezig is Yahoo! te kopen, is dit een enorme tegenslag. Dat bedrijf heeft een tak met veel expertise rond informatiebeveiliging. Met het jaarlijkse Data Breach Investigations Report gaat Verizon er prat op dat het juist transparantie brengt. Dit lek en met name het moedwillig verzwijgen ervan is slecht voor de beeldvorming.

Daarbij is er nog iets anders pijnlijk. Verizon koopt Yahoo! voor 14,8 miljard dollar met als belangrijkste doelstelling het verkrijgen van toegang tot de klanten. Niet alleen ondermijnt de hack en het geheimhouden daarvan de relatie met de klanten, maar ook devalueert de waarde aanzienlijk; het klantenbestand wordt op het darkweb voor zo’n 1800 dollar aangeboden. Verizon krijgt dus een kat in de zak.

Dat kat-in-de-zakgevoel is nog groter door het bekend worden dat in 2015 – dus ver na de onthullingen van Snowden – Yahoo! actief heeft meegewerkt met de NSA. Het bedrijf heeft software gemaakt om e-mails van klanten te scannen, die voor de NSA interessante berichten identificeert. Vervolgens heeft Yahoo! deze mailberichten aan de spionagedienst doorgespeeld. Dit was zo geheim dat zelfs de CISO hier niets van wist. Eerder bleek uit documenten van Snowden al dat de onderneming via de webcam spionage in hun messenger mogelijk maakte.

Die scansoftware en het doorspelen van berichten aan de nationale inlichtingendienst kun je misschien nog vergoelijken in een pre-Snowden-tijdperk, maar het laatste zeker niet. Die spionage ondermijnt volledig het vertrouwen in de maildienst, cloudopslag en kan voor zakelijk gebruik heel schadelijk zijn. Zeker voor de koper Verizon. Tot nu toe gold hun beveiligingstak als een vertrouwde partij, maar met de koop van Yahoo! verbinden ze zich aan een partij die concurrentiegevoelige informatie zonder pardon doorspeelt aan inlichtingendiensten.

Het laatste nieuws is dat Verizon nu een miljard minder wil betalen. Met dat geld willen ze schadeclaims tegen Yahoo! afwikkelen. Maar het is natuurlijk vooral omdat ze nu iets kopen wat ze bij nader inzien helemaal niet willen hebben. Deze kat in de zak kan namelijk gemeen krabben.

Dit artikel verscheen eerder op ICT Magazine.

Harry Dragstra: veiliger werken in de cloud

Organisaties slaan meer en meer gegevens op in de cloud, verwerken administraties en versturen gegevens via de cloud. Is dat wel veilig? Welke keuzes maakt DUO daarin om de informatieveiligheid te vergroten? Beveiligingsexpert Harry Dragstra legt dat uit aan Brenno de Winter.

Ot van Daalen: Privacyregels in de cloud

Als je als organisatie gegevens wilt opslaan in de cloud waarop moet je dan letten en wat als je je gegevens weer uit de cloud wilt halen. Wat kun je doen als voorbereiding voor het geval er op termijn een datalek binnen je organisatie ontdekt wordt. Ot van Daalen geeft hierover een aantal tips aan Jan Renshof van het CIP.

https://vimeo.com/163234640/s

 

De privacy op orde krijgen is best lastig. Eerder vertelde Angelique Oortmarssen over het omzetten van wetgeving in concrete daden.

Ot van Daalen vertelde eerder waar je op moet letten als je persoonsgegevens gaat verwerken.

Erik de Jong: Ik heb een datalek. Wat nu?

Sinds 1 januari 2016 geldt er een meldpunt datalekken voor alle organisaties in Nederland. Iedere organisatie moet datalekken melden aan de Autoriteit Persoonsgegevens. De vraag is hoe je erachter komt dat jouw organisatie een datalek heeft. Erik de Jong van FoxIT legt aan Brenno de Winter uit hoe je datalekken kunt opsporen en wat je moet vastleggen om bij misdaad eventuele daders te identificeren.

Arjen Kamphuis: Over veiliger mobiel werken

Een belangrijk aspect bij het voorkomen van lekken is ons eigen gedrag. We hebben een flinke invloed door goed na te denken welke informatie we waar delen. Ook is het mogelijk om met simpele stappen onze apparatuur beter te beveiligen. Hoe dat kan legt Arjen Kamphuis, Lead advisor information security, Brunel uit aan Jan Renshof van het CIP.

De duivel uitdrijven met Beëlzebub

Het klinkt simpel: als hackers inbreken in computers, dan moeten we de politie ook de mogelijkheid tot hacken bieden. Het lijkt een nuttig middel om hackers te stoppen. Alleen worden wij er onveiliger van. Het is de duivel uitdrijven met Beëlzebub.

In het wetsvoorstel, dat nu bij de Tweede Kamer ligt, krijgt de politie de bevoegdheid om ook te mogen hacken in computers, mobieltjes en andere apparaten die met internet verbonden zijn. Eufemistisch noemt Minister Van der Steur het “heimelijk en op afstand (‘on line’) onderzoek doen in computers”.

Inbrekerstuig

Hacken is niet de digitale variant van inbreken in een huis. Om binnen te komen in een computersysteem (of mobiel) zijn zwakheden nodig. Zodra die lekken zijn verholpen werkt de aanval niet meer. Je kunt digitaal niet een deur intrappen of een ruit open maken en die achteraf vervangen.

Wil de politie binnenkomen dan zijn zogenaamde 0day-lekken nodig ofwel lekken die nog niet publiekelijk bekend zijn. Bedrijven als Hacking Team leveren dit soort digitaal inbrekerstuig aan overheden.

Lekken niet dichten

De lekken worden aangeboden in een schimmige wereld. Bij het kopen van 0day-lekken van hackers beloven ze naast tienduizenden euro’s te betalen de zwakheden niet bij de leverancier te melden, zodat de aanval blijft werken.

Zoals beschreven in deze e-mail met afspraken met een Russische hacker:

“You promise to not report this 0day to vendor or disclosure it before the patch. obviously it is not our interest!”

Duistere zaken

Om te kunnen inbreken op enkele computers van verdachten blijven honderden miljoenen computers lek. Want zodra de zwakheid is gemeld bij de softwarebouwer kan die het probleem dichten. Als dat is gedaan dan is deze route om binnen te komen afgelopen.

Het kopen van dit soort 0day-lekken is een duistere business, waarin veel geld omgaat. Sommige experts zijn zeer actief in het vinden van deze lekken voor de handel. Niets staat ze in de weg om naast het verkopen van de lekken aan Hacking Team ze ook aan criminelen te verkopen.

Schimmige zaken

Ondertussen blijkt onze politie serieus geïnteresseerd te zijn om met Hacking Team zaken te doen. Een pijnlijke bijkomstigheid daarbij is dat deze beoogd leverancier hun tools ook leveren aan twijfelachtige regeringen van landen als Azerbeidzjan, Kazachstan, Uzbekistan, Rusland, Bahrein, Saudi Arabië, de Verenigd Arabische Emiraten, Nigeria en Ethiopië.

In deze landen nemen de overheden het niet altijd even nauw met de mensenrechten. Het digitaal inbrekerstuig wordt regelmatig gebruikt om in te breken op computers van journalisten. Dat brengt zowel hen als hun bronnen in gevaar. Ook bijvoorbeeld tegenstanders van dergelijke regimes worden door dit soort hackertools aangevallen.

Duivel uitdrijven

Krijgt de minister zijn zin krijgt dan wordt het aanschaffen van digitaal inbrekerstuig legitiem We houden daarmee een industrie in stand met als gevolg het minder snel dichten van lekken met bijkomende onveiligheid.

De lekken zijn ondertussen voor iedereen beschikbaar: twijfelachtige regimes, de politie met goed bedoelde intenties, criminelen en organisaties die bedrijfsspionage willen plegen. Alleen daarom is de voorgestelde hackbevoegdheid een klassiek voorbeeld van de Duivel uitdrijven met Beëlzebub.

Beveiligingsupdate: Aljo Houtman – het internet der dingen

Wat betekent het dat we koelkasten, stereosets, slimme meters, thermostaten online beschikbaar maken en dus het internet der dingen bouwen? Zelf zien dat je veilig bent, is lastig te zien. Je moet er daarom kunnen vertrouwen dat de leverancier heeft nagedacht over beveiliging en ‘Security by Design’ doet. Aljo Houtman van Valori legt dat uit aan Brenno de Winter.