Donderdagavond waren een kleine vijfhonderd informatiebeveiligers bijeen
in fort Voordorp om het tweede lustrum van het Platform voor Informatiebeveiliging
te vieren. Niet dat we pas tien jaar een beroepsvereniging hebben; het PvIB
ontstond destijds door de fusie van twee verenigingen die hetzelfde veld
bespeelden.
Op dit informatiebeveiligingsfestival traden drie sprekers op, die het
aanhoren stuk voor stuk waard waren. De eerste was Kees Verhoeven, lid van de
Tweede Kamer voor D66 en – naar eigen en andermans zeggen – de enige in de
Kamer die zich actief met IT bemoeit. Koning Eenoog in het land der blinden, zo
noemt hij zichzelf, en dat terwijl hij niet eens een IT-achtergrond heeft. En
als er dan al zo weinig IT-betrokkenheid en -kennis is, dan kun je wel raden
hoe het is gesteld met kennis en aandacht voor informatiebeveiliging. Maar
diezelfde Kamer moet wel beslissen over wetgeving op dat gebied, zoals de
vernieuwde Wet op de inlichtingen- en veiligheidsdiensten, beter bekend onder
de naam sleepnetwet. Die wet maakt het mogelijk dat de AIVD en de MIVD (de
Algemene dan wel de Militaire Inlichtingen- en Veiligheidsdienst) massaal
online communicatie mag afluisteren. Nederland was al kampioen telefoons
aftappen, maar daarbij was steeds het uitgangspunt dat je ergens van werd
verdacht. Met de sleepnetwet wordt het mogelijk dat ook burgers die nergens van
worden verdacht worden afgeluisterd, bijvoorbeeld omdat ze in de buurt van een
verdachte persoon wonen. Er loopt momenteel een initiatief om een raadgevend
referendum over deze wet te organiseren. Maar dat zou dus allemaal niet nodig
moeten zijn als er meer expertise – of op z’n minst interesse – voor deze
materie bij politici zou zijn. Verhoeven: “Alexander Pechtold kijkt me nog
steeds wat glazig aan als ik zeg dat er meer geld naar cybersecurity moet.”
De tweede spreker was Inge Philips-Bryan van adviesbureau Deloitte. Ook
zij had niet veel goede woorden over voor politici. Maar Philips (oud-politietopvrouw)
nam het wel op voor ruime digitale opsporingsbevoegdheden, met het argument dat
je het ‘op afstand binnendringen’ in een computer veel en veel beter kunt
controleren dan een fysieke huiszoeking. Dat klopt, maar dan moet dat
natuurlijk wel ook zo ingericht worden. Dat betekent niet alleen dat alle
handelingen gelogd worden, maar ook dat een onafhankelijke functionaris die
logging stelselmatig onderzoekt en onregelmatigheden rapporteert, waardoor er
ook een preventieve werking van uitgaat. Als logging in deze context slechts
wordt bewaard voor het geval ooit ergens vragen over worden gesteld – dus
zonder dat proactieve onderzoek – dan lopen we in mijn ogen teveel risico op
misstanden. Als de politie dat nu al doet is dat prima, maar dan mogen ze er
best wel wat ruchtbaarheid aan geven.
De laatste keynote werd verzorgd door een totaal ander slag spreker:
Martijn Aslander, ‘stand-up filosoof’, ‘boardroom sparring partner’ en voorzien
van een rappe tong. Aslander vertelde over onderzoek naar gegevensopslag in DNA
dat geweldige mogelijkheden gaat bieden. Eén gram DNA zou voldoende zijn om er zo’n
beetje alle informatie van de mensheid in op te slaan. Ons werk als
informatiebeveiliger houdt dan op te bestaan, aldus Aslander, want “ik zou niet
weten hoe je dat nog kunt beveiligen”. Beveiligen hoeft straks ook niet meer,
want de meeste dingen worden toch bijna gratis: voor de iPhone hoef je
misschien over een poosje niet meer te betalen als je via dat toestel anoniem
medische gegevens beschikbaar stelt die voor onderzoeksdoeleinden kunnen worden
gebruikt. De waarschuwing ‘als iets gratis is, dan bij jij het product’ wordt zo wel heel persoonlijk.
Een politicus die in de woestijn roept, een ex-politiechef die hem
bijvalt maar tegelijkertijd ook voorstander van ruime opsporingsbevoegdheden is
en een filosoof die met zoveel woorden zegt dat we ons straks nergens meer druk
over hoeven te maken. Het was een interessante avond.
En in de grote boze buitenwereld …
... werd deze week bekend dat Deloitte maanden geleden gehackt is.
... zijn bij de Deloitte-hack álle beheerdersaccounts en de gehele
interne e-mail gecompromitteerd.
... werkt het spamfilter van KPN al een tijdje niet.
... wordt driekwart van alle cybercrime in Nederland niet bij de politie
gemeld.
... werd vorig jaar twintig procent van de Nederlandse bedrijven he
slachtoffer van cyberaanvallen. Dit percentage lijkt me wat aan de lage kant,
maar helaas wordt de term 'cyberaanval' niet gedefinieerd in dit artikel.
... snappen de meeste mensen wel dat een public key gepubliceerd moet worden en dat je een private key geheim moet houden. Bij
Adobe ging dat toch mis.
... hebben Russische hackers een botnet gebruikt om de Duitse
verkiezingen te beïnvloeden.
... vraagt deze 'ransomware' niet om geld maar om blootfoto's. Of je
typt gewoon 12345 in.
... hebben onderzoekers van twee Amerikaanse universiteiten ontdekt dat
het ontgrendelpatroon van
Android-toestellen gemakkelijk kan worden afgekeken. Kennelijk was er
even geen zinniger onderzoeksdoel voorhanden.
... moeten banken nu toch echt iets gaan doen aan geldautomaten die nog
op Windows XP draaien.
... is de automatisering van je huis natuurlijk ook kwetsbaar.
Geen opmerkingen:
Een reactie posten