 |
| Afbeelding via Pixabay |
“WhatsApp en Telegram, moet ik daar wat mee?”, vroeg een collega. Mijn antwoord was zo helder als een beekje in de Alpen: “Niet zakelijk gebruiken.”
Waarom heb ik daar zo’n uitgesproken mening over? Omdat ik er onderzoek naar heb gedaan op basis van de vraag: welke apps voor instant messaging kun je vanuit beveiligings- en privacyperspectief het beste inzetten voor zakelijk gebruik, en welke kun je maar beter links laten liggen? Bij beveiliging gaat het er in wezen om of de app gebruik maakt van degelijke versleuteling, zodat niemand kan meelezen – ook niet de aanbieder van de berichtendienst zelf. Privacy draait om het vertrouwen dat je mag hebben in de manier waarop de aanbieder omgaat met gebruikers- en verkeersgegevens. Dat laatste gaat over wie wanneer met wie contact heeft en dergelijke.
Het is ook interessant om naar het verdienmodel te kijken. Een oud gezegde luidt: als iets gratis is, dan ben jij het product. Met andere woorden: je betaalt dan door je gegevens, zoals naam, e-mailadres en geboortedatum af te staan, die de aanbieder bijvoorbeeld kan doorverkopen aan reclamebedrijven.
De inhoud van je berichten is veilig bij WhatsApp. Ze worden betrouwbaar versleuteld en de sleutels zitten alleen op het toestel van de gebruiker, waardoor WhatsApp zelf niet kan meelezen en ze opsporings- en inlichtingendiensten niet verder kunnen helpen als die erom vragen. Maar WhatsApp laat wel steken vallen op het gebied van de privacy. De app komt uit de stal van Meta, het advertentiebedrijf waar onder andere ook Facebook deel van uitmaakt. Het is algemeen bekend dat Meta zijn geld verdient door jouw gegevens handig te gebruiken (daarom noem ik het ook een advertentiebedrijf). Als je dat – als particulier of als organisatie – geen fris idee vindt, dan moet je WhatsApp niet gebruiken.
Dan Telegram. Die app is van Russische oorsprong, al woont het bedrijf daar niet meer. Ze verhuizen steeds als de ICT-regelgeving in het land van vestiging hen niet aanstaat. Momenteel zitten ze in Dubai, al is het bedrijf juridisch gevestigd in de VS en het VK. Het verdienmodel is vaag: de oprichter zegt er zijn eigen spaargeld in te hebben gestoken, en daarna is geld opgehaald bij diverse investeerders. Een belangrijker punt van kritiek heeft betrekking op de beveiliging: die staat standaard uit, en als je ‘m aanzet, dat maak je gebruik van een door Telegram zelf ontwikkeld cryptografisch protocol, waar de meeste informatiebeveiligers hun neus voor ophalen, omdat het niet door de gemeenschap kan worden getoetst. Bovendien kan Telegram over de sleutel beschikken waarmee berichten worden versleuteld, en kan het bedrijf berichten lezen of anderen laten meelezen. Groeps-chats kunnen al helemaal niet versleuteld worden.
Ben je geschrokken? Gelukkig zijn er ook chat-apps beschikbaar die een kritische blik redelijk goed kunnen weerstaan. Binnen de gehele rijksoverheid kunnen we chatten met Webex, dat we ook gebruiken om online te vergaderen. Deze app van het Amerikaanse bedrijf Cisco wordt voor ons gehost in Amsterdam, hetgeen privacy-technisch goed uitkomt. De privacy- en beveiligingsaspecten zijn uitvoerig onderzocht en goed bevonden.
Kijk je naar de publiek beschikbare chat-apps, dan zijn er twee die positief opvallen: Threema en Signal. Het Zwitserse Threema laat zich voorstaan op de mogelijkheid om anoniem te blijven en het naleven van de AVG, en ook met de versleuteling van het berichtenverkeer zit het helemaal goed. Aan dat alles hangt wel een prijskaartje: van eenmalig enkele euro’s voor consumenten tot een maandelijkse bijdrage per toestel voor bedrijfslicenties. En dat maakt Signal interessant: dat is ‘gewoon’ gratis en toch niet commercieel, omdat de app wordt gefinancierd met donaties. Vooraanstaande cryptografen en privacyvoorvechters geven de voorkeur aan Signal, en dat geeft mij het vertrouwen dat zowel de berichtenbeveiliging als de privacy dik in orde zijn.
Een poosje geleden zag ik een teammanager wit wegtrekken toen ik hem vroeg of zijn team Telegram gebruikt (ik had zoiets opgevangen). Hij was oprecht geschrokken toen hij besefte dat dat niet zo’n goede keus was. Zijn team is daarna snel overgestapt op Signal. Ook veel andere teams hebben de overstap al gemaakt. Wie volgt?
En in de grote boze buitenwereld …
- beschikt je iPhone straks over extreme mogelijkheden om je tegen zeer gerichte aanvallen te beschermen.
- heeft de Oekraïense politie een bende opgepakt die zich voordeed als de EU.
- vormen ransomware en statelijke actoren de belangrijkste digitale dreigingen voor Nederland.
- liggen politiegegevens van een miljard Chinezen op straat doordat een ambtenaar per ongeluk zijn wachtwoord in een blog vermeldde en een crimineel dat zag.
- voeren criminelen online sollicitatiegesprekken met behulp van deepfake-technologie.
- heeft de gemeente Buren het rapport over de malware-aanval op de gemeente vrijgegeven voor publicatie.
- boekt de Universiteit Maastricht drie ton winst bij dankzij de spraakmakende ransomware-aanval uit 2019.
- spreekt Mikko Hypponen over de cyberoorlog in Oekraïne.
- wil de Tweede Kamer dat het kabinet end-to-end versleuteling blijft steunen.
- gaat het kabinet de cyberweerbaarheid van het mkb verhogen.
- schrapt de Douane het BSN uit het EORI-nummer.
- heeft het NIST vier kwantumbestendige cryptografische algoritmes gekozen.
Geen opmerkingen:
Een reactie posten