 |
| Eigen foto |
Daar in de verte staat’ie: de auto van de collega die ons wel even zou wegbrengen.
Je ziet hem door een spleet in de gesloten stalen poort van de parkeergarage
van het Joegoslaviëtribunaal in Den Haag.
We spoelen even 14 uur terug. Toen ging namelijk in het World Forum de tweedaagse
ONE Conference van start, waar een kleine tweeduizend informatiebeveiligers uit
binnen- en buitenland zich verzamelden om zich bij te laten praten over hun
vakgebied. Ook wij waren met een delegatie aanwezig en omdat we in Den Haag
bleven slapen, gingen we gezellig samen naar de Chinees. Na afloop van een
voortreffelijke maaltijd wilden we met tram of bus naar ons hotel, maar die ene
collega, die vlakbij woont en met de auto was, wilde ons ook wel even rijden.
Aangekomen bij de parkeergarage (om 22.42 uur) leek zijn auto eerst onvindbaar,
maar na enige tijd zoeken – en lichte twijfels over het parkeergeheugen van
onze collega – kwamen we dus bij die stalen poort en zagen we hem staan.
Onbereikbaar.
De portier van het bijbehorende hotel was zo vriendelijk om met ons mee
te lopen. “Ah, ik zie het al. U staat in de garage van het Tribunaal.” De
garage wordt gebruikt door hotelgasten, conferentiegangers en dus ook door
medewerkers van het Tribunaal. ’s Ochtends werd onze onfortuinlijke collega
door een verkeersregelaar precies dat gedeelte in gewuifd. De bewuste poort
stond toen gewoon open en er was geen enkele aanduiding dat dit een speciaal
gedeelte van de garage was. De verkeersregelaar wist misschien niet dat de
poort ’s avonds op slot zou gaan, of hij verwachtte niet dat een
conferentiebezoeker nog zo laat z’n auto zou willen ophalen. Via de intercom
bij de slagboom legde de portier contact met de beveiliger van het Tribunaal. Die
had wel een kaart waarmee hij de poort zou kunnen openen, maar die was zoek. Uiteindelijk
konden we de garage om 23.16 uur verlaten. En zo kun je dus door het bezoeken
van een informatiebeveiligingsconferentie verstrikt raken in fysieke
beveiligingsmaatregelen. Dit had ik zo niet kunnen bedenken. Maar ik moet het
eigenlijk over de conferentie hebben.
De oorlog in Oekraïne was daar een vrij prominent onderwerp. Dit is
namelijk de eerste echte oorlog die niet alleen te land, ter zee en in de lucht
wordt uitgevochten, maar ook in “de cyber”, zoals dat in militaire kringen
heet. Vanaf dag één ging men elkaar behalve fysiek ook digitaal te lijf, en
waarschijnlijk ook al eerder. Een van de sprekers, Cristin Flynn Goodwin van
Microsoft, hield ons voor dat een gevecht tegen een statelijke actor in je
eigen datacenter te vergelijken is met een man-tegen-mangevecht: moeizaam en
bloederig. Landen, die je digitaal aanvallen, hebben het voorzien op de ideeën
en de informatie die regeringen nodig hebben om besluiten te nemen over
belangrijke actuele zaken, aldus Goodwin. Daarbij hebben ze het vooral voorzien
op denktanks, non-gouvernementele organisaties (NGO’s), diplomaten,
beleidsadviseurs en academici.
Goodwins punt was dat je als organisatie niet in je uppie bent
opgewassen tegen al dat digitale geweld. Je kunt je gegevens daarom veel beter
in de cloud opslaan, waar je de bescherming geniet van een grote service
provider (waarbij het mooier zou zijn geweest om niet alleen het eigen bedrijf
te noemen). Die grote cloudleveranciers
beschikken over alle denkbare middelen om jouw kroonjuwelen optimaal te
beschermen, is de gedachte.
Van nature wil een land zijn kroonjuwelen dichtbij, op eigen grondgebied
houden. Verder schrijft de AVG voor dat persoonsgegevens van EU-burgers in
Europa moeten worden opgeslagen (onder bepaalde voorwaarden mag het ook
daarbuiten). Maar, zo betoogde Goodwin, dat is niet altijd verstandig. Zij
vertelde dat Oekraïne belangrijke delen van zijn nationale ICT volledig buiten
de eigen landsgrenzen heeft gestald. Ook andere landen moeten zich op een
dergelijk scenario voorbereiden, en het ook testen. Dat klinkt best eng, maar
ik kan me voorstellen dat het voor Oekraïne een kopzorg minder is. Althans,
zolang de verbindingen met die verre cloud standhouden.
De Nederlandse overheid heeft sinds kort nieuw beleid ten aanzien van de
public cloud. Zij switchte van “nee, tenzij” naar “ja, mits”. Mijn grootste
zorg daarbij is toch de beschikbaarheid van de gegevens. Een eigen datacenter
geeft je nou eenmaal een gevoel van tastbaarheid, van het tegen de borst kunnen
houden van de gegevens als het spannend wordt. Maar als je erover nadenkt,
slaat dat nergens op. Eén kruisraket, één ransomware-aanval en het is gedaan
met je gegevens. En toch zit er een extra dimensie aan die cloud: wat als jouw
land ruzie krijgt met het land van de cloudleverancier?
Als je auto op je eigen inrit staat, kun je er altijd bij. Staat hij in
een parkeergarage, dan bepaalt de beheerder van die garage of je weg kunt.
Zelfs externe factoren kunnen een rol spelen: jaren geleden bleek een reuzenrad
op het Apeldoornse Marktplein zo zwaar te zijn dat men vreesde dat de
parkeergarage onder het plein het gewicht niet zou kunnen dragen. Mensen, die
hun auto daar hadden geparkeerd, konden pas weer bij hun auto toen het
reuzenrad was afgebroken. Ik zie moeilijke keuzes op ons afkomen.
En in de grote boze buitenwereld …
- worden er druk lessen getrokken uit de oorlog in Oekraïne.
- maken cloudleveranciers natuurlijk ook fouten, getuige dit forse lek bij Microsoft.
- vindt Microsoft dat de ontdekker van dat lek schromelijk overdrijft.
- zit het Nederlandse hoger onderwijs al volop in de cloud.
- is er politieke aversie tegen Amerikaanse cloudleveranciers.
- wordt ransomware gebruikt ter voorbereiding van fysieke oorlogen.
- zijn niet alleen ambtenaren slachtoffer geworden van de ransomware-aanval op ID-ware.
- was de politie een ransomware-bende te slim af.
- lijken we een redelijk privacyminnend volkje te zijn.
- gebruikten aanvallers uitgerekend een kwetsbaarheid in een virusscanner om een andere virusscanner uit te schakelen.
- is het verschil tussen “aan” en “bcc” een datalek.
- beschuldigt Texas Google van het verzamelen van biometrische gegevens.
Geen opmerkingen:
Een reactie posten