vrijdag 29 september 2017

PvIB-lustrum

Donderdagavond waren een kleine vijfhonderd informatiebeveiligers bijeen in fort Voordorp om het tweede lustrum van het Platform voor Informatiebeveiliging te vieren. Niet dat we pas tien jaar een beroepsvereniging hebben; het PvIB ontstond destijds door de fusie van twee verenigingen die hetzelfde veld bespeelden.

Op dit informatiebeveiligingsfestival traden drie sprekers op, die het aanhoren stuk voor stuk waard waren. De eerste was Kees Verhoeven, lid van de Tweede Kamer voor D66 en – naar eigen en andermans zeggen – de enige in de Kamer die zich actief met IT bemoeit. Koning Eenoog in het land der blinden, zo noemt hij zichzelf, en dat terwijl hij niet eens een IT-achtergrond heeft. En als er dan al zo weinig IT-betrokkenheid en -kennis is, dan kun je wel raden hoe het is gesteld met kennis en aandacht voor informatiebeveiliging. Maar diezelfde Kamer moet wel beslissen over wetgeving op dat gebied, zoals de vernieuwde Wet op de inlichtingen- en veiligheidsdiensten, beter bekend onder de naam sleepnetwet. Die wet maakt het mogelijk dat de AIVD en de MIVD (de Algemene dan wel de Militaire Inlichtingen- en Veiligheidsdienst) massaal online communicatie mag afluisteren. Nederland was al kampioen telefoons aftappen, maar daarbij was steeds het uitgangspunt dat je ergens van werd verdacht. Met de sleepnetwet wordt het mogelijk dat ook burgers die nergens van worden verdacht worden afgeluisterd, bijvoorbeeld omdat ze in de buurt van een verdachte persoon wonen. Er loopt momenteel een initiatief om een raadgevend referendum over deze wet te organiseren. Maar dat zou dus allemaal niet nodig moeten zijn als er meer expertise – of op z’n minst interesse – voor deze materie bij politici zou zijn. Verhoeven: “Alexander Pechtold kijkt me nog steeds wat glazig aan als ik zeg dat er meer geld naar cybersecurity moet.”

De tweede spreker was Inge Philips-Bryan van adviesbureau Deloitte. Ook zij had niet veel goede woorden over voor politici. Maar Philips (oud-politietopvrouw) nam het wel op voor ruime digitale opsporingsbevoegdheden, met het argument dat je het ‘op afstand binnendringen’ in een computer veel en veel beter kunt controleren dan een fysieke huiszoeking. Dat klopt, maar dan moet dat natuurlijk wel ook zo ingericht worden. Dat betekent niet alleen dat alle handelingen gelogd worden, maar ook dat een onafhankelijke functionaris die logging stelselmatig onderzoekt en onregelmatigheden rapporteert, waardoor er ook een preventieve werking van uitgaat. Als logging in deze context slechts wordt bewaard voor het geval ooit ergens vragen over worden gesteld – dus zonder dat proactieve onderzoek – dan lopen we in mijn ogen teveel risico op misstanden. Als de politie dat nu al doet is dat prima, maar dan mogen ze er best wel wat ruchtbaarheid aan geven.

De laatste keynote werd verzorgd door een totaal ander slag spreker: Martijn Aslander, ‘stand-up filosoof’, ‘boardroom sparring partner’ en voorzien van een rappe tong. Aslander vertelde over onderzoek naar gegevensopslag in DNA dat geweldige mogelijkheden gaat bieden. Eén gram DNA zou voldoende zijn om er zo’n beetje alle informatie van de mensheid in op te slaan. Ons werk als informatiebeveiliger houdt dan op te bestaan, aldus Aslander, want “ik zou niet weten hoe je dat nog kunt beveiligen”. Beveiligen hoeft straks ook niet meer, want de meeste dingen worden toch bijna gratis: voor de iPhone hoef je misschien over een poosje niet meer te betalen als je via dat toestel anoniem medische gegevens beschikbaar stelt die voor onderzoeksdoeleinden kunnen worden gebruikt. De waarschuwing ‘als iets gratis is, dan bij jij het product’ wordt zo wel heel persoonlijk.

Een politicus die in de woestijn roept, een ex-politiechef die hem bijvalt maar tegelijkertijd ook voorstander van ruime opsporingsbevoegdheden is en een filosoof die met zoveel woorden zegt dat we ons straks nergens meer druk over hoeven te maken. Het was een interessante avond.

En in de grote boze buitenwereld …


... werd deze week bekend dat Deloitte maanden geleden gehackt is.

... zijn bij de Deloitte-hack álle beheerdersaccounts en de gehele interne e-mail gecompromitteerd.

... werkt het spamfilter van KPN al een tijdje niet.

... wordt driekwart van alle cybercrime in Nederland niet bij de politie gemeld.

... werd vorig jaar twintig procent van de Nederlandse bedrijven he slachtoffer van cyberaanvallen. Dit percentage lijkt me wat aan de lage kant, maar helaas wordt de term 'cyberaanval' niet gedefinieerd in dit artikel.

... snappen de meeste mensen wel dat een public key gepubliceerd moet worden en dat je een private key geheim moet houden. Bij Adobe ging dat toch mis.

... hebben Russische hackers een botnet gebruikt om de Duitse verkiezingen te beïnvloeden.

... vraagt deze 'ransomware' niet om geld maar om blootfoto's. Of je typt gewoon 12345 in.

... hebben onderzoekers van twee Amerikaanse universiteiten ontdekt dat het ontgrendelpatroon van  Android-toestellen gemakkelijk kan worden afgekeken. Kennelijk was er even geen zinniger onderzoeksdoel voorhanden.

... moeten banken nu toch echt iets gaan doen aan geldautomaten die nog op Windows XP draaien.

... is de automatisering van je huis natuurlijk ook kwetsbaar.


Geen opmerkingen:

Een reactie posten