Gebroken bewolking

 

Afbeelding via Pixabay

Net nu ik me er zo’n beetje bij had neergelegd dat de uitspraak “de cloud is de computer van iemand anders” wel erg boomer is, klapte woensdag een belangrijke clouddienst eruit: Outlook, Teams en andere diensten van Microsoft deden het niet meer. Wat is dat toch met die cloud?

In 2016 gaf ik een presentatie met de titel De cloud is geen luchtig wolkentoetje. Op de titeldia stond een foto van captain Kirk uit de science fictionserie Star Trek, gevolgd door het introfilmpje van die serie. De epische woorden, die in het intro worden uitgesproken, had ik in mijn ondertiteling enigszins aangepast:

Cloud: the final frontier

These are the storages of the computing enterprise

Its never ending mission

To explore strange new servers

To seek out new privacy and new legislations

To boldly go where no byte has gone before.

Kijk, dat die cloud de computer van iemand anders is, dat is gewoon een feit. Het betekent simpelweg dat je niet gebruikmaakt van eigen spullen, maar – afhankelijk van het gekozen model – van de infrastructuur (‘het blik’), een ontwikkelplatform of een complete toepassing voor eindgebruikers van de cloudleverancier. Als privépersoon ben je vooral bekend met die laatste variant; grote kans dat de foto’s, die je met je telefoon maakt, in de cloud van Apple of Google worden opgeslagen – en dus niet op de telefoon zelf. Je Word- en Excel-bestanden staan niet meer op je laptop, maar in de Microsoft-cloud. LinkedIn, WhatsApp, Twitter, Zoom, Teams, Netflix: allemaal clouddiensten.

Waarom maken bedrijven gebruik van de cloud? Stel, je hebt een bedrijf dat één of enkele keren per jaar enorm veel klanten over de vloer krijgt, veel meer dan in de rest van het jaar. Denk dan bijvoorbeeld aan online winkels rond de feestdagen, de Belastingdienst in de periode waarin iedereen aangifte doet of een kaartjesverkoper voor een concert van een wereldster. Je hebt vast wel eens meegemaakt dat zo’n site tegen je zei: sorry, het is momenteel te druk, probeert u het later nog eens. Die situatie zul je sneller krijgen bij organisaties die alle spullen in eigen beheer hebben, in een eigen datacenter. Ze hebben daar een beperkte hoeveelheid servers en opslag- en netwerkcapaciteit. Om dat te voorkomen, zou zo’n bedrijf zijn datacenter moeten overdimensioneren. Veel apparatuur zit dan een groot deel van het jaar uit z’n neus te eten.

Het verleidelijke van de cloud is dat je hun diensten afneemt naar behoefte, en dat je snel kunt op- en afschalen. De cloud is elastisch, zoals dat heet. Cloudleveranciers hebben gigantische datacenters, waarmee ze heel veel klanten van over de hele wereld bedienen. Omdat ze zo groot zijn, en niet alle klanten op hetzelfde moment pieken, kunnen ze hun enorme capaciteit verdelen over al die klanten. Vraagt er eentje om meer, dan gaat dat niet ten koste van een ander. Naast deze flexibiliteit heeft de cloud natuurlijk nog een belangrijk voordeel: je hoeft de boel niet zelf te onderhouden en te beveiligen. Voor veel organisaties geldt bovendien dat een cloudleverancier dat veel beter kan dan zij dat zelf zouden kunnen.

Maar dan gebeurt er zoiets als afgelopen week. Azure, de clouddienst van Microsoft, had een storing die wereldwijd gebruikers raakte. Dat is tamelijk uitzonderlijk, want de grote cloudleveranciers hebben datacenters over de hele wereld gebouwd, die ook als elkaars back-up werken. Maar in dit geval was er een netwerkprobleem, dat ook de koppeling tussen die datacenters beïnvloedde. Als zoiets in je eigen datacenter gebeurt, dan hebben alleen jouw klanten daar last van. Veel bedrijven met een eigen datacenter zullen vaker verstoringen hebben die hun klanten raken dan bedrijven die in de cloud leven, vanwege die elasticiteit en flexibiliteit van de cloud. Maar het aantal getroffen klanten is een stuk kleiner: alleen de klanten van dát bedrijf worden getroffen. Een vergelijking dringt zich op: vliegen is vele malen veiliger dan autorijden, maar áls een vliegtuig crasht, dan vallen er vaak veel slachtoffers.

In mijn Star Trek-intro had ik het over ‘strange new servers’. Zowel het Engelse ‘strange’ als de Nederlandse vertaling ‘vreemd’ heeft meerdere betekenissen. Maar vooral ‘onbekend’ is hier van toepassing: de cloud is voor ons een zwarte doos waar we dingen in stoppen, in de hoop dat we er ook weer iets uit krijgen op het moment dat we het nodig hebben. Als dat een keer niet lukt, dan ben je net zo machteloos als wanneer je in een gestrande trein zit. Het is maar net de vraag hoe gemakkelijk je je daarbij voelt.

Oplossing

Vorige week daagde ik je uit om te ontdekken welke stukken van de blog door mij en welke door ChatGPT waren geschreven. De oplossing vind je hier. 

 

En in de grote boze buitenwereld …

• laat dit voorbeeld maar weer eens zien dat cloudklanten zélf hun gegevens moet versleutelen.
• kunnen hackers de gegevens van jouw organisatie misschien gewoon bij je leverancier ophalen, zoals in dit voorbeeld.
• jagen phishers op het wachtwoord van je password manager.
• heeft Google tienduizenden accounts afgesloten die vanuit China werden gebruikt voor het verspreiden van desinformatie.
• verdient Noord-Korea goed aan het hacken van crypto-portemonnees.
• heeft zelfs Rusland last van DDoS-aanvallen.
• vraagt de Australische politie ouders om naar de privacy-instellingen van hun kinderen te kijken.
• leidde internationale politiesamenwerking tot het neerhalen van een ransomware-netwerk.
• moeten beheerders van KeePass even een aanpassing in de configuratie aanbrengen.
• hekelt de Autoriteit Persoonsgegevens de antiwitwaswet.
• overleggen Nederland en de VS over de levering van ASML-chipfabrieken aan China.
• heeft ChatGPT gevolgen voor cybersecurity.

 

Privacy chat - de oplossing

 

Afbeelding via Pixabay

Onderstaande Security (b)log van 20 januari bevat de vraag: welke alinea’s heb ik geschreven en welke zijn aan het kunstmatige brein van ChatGPT ontsproten? Wel, de blauwe alinea’s zijn kunstmatig intelligent, de zwarte zijn van mij.

Gefascineerd las ik twee weken geleden het verhaal van collega-blogger Guido over ChatGPT,  de kunstmatig intelligente chatbot waar zomaar iedereen gebruik van kan maken. Tot nu toe kende ik chatbots – de vertaling ‘kletsautomaat’ dringt zich op – vooral van bedrijven die met alle geweld willen voorkomen dat je ze belt, en je in plaats daarvan aanbieden om met hun altijd vrolijke ingeblikte medewerker van gedachten te wisselen via het toetsenbord. Maar áls ik een vraag heb voor zo’n bedrijf, dan valt die zelden in een categorie waar de kleinkinderen van Clippy raad mee weten, want anders had ik het antwoord wel zelf in de FAQ gevonden.

Ken je de computer van professor Barabas uit Suske en Wiske nog? Die spuugde een kaartje uit met het antwoord op de gestelde vraag. Ik wilde wel eens zelf ervaren hoe dat in de praktijk werkt. Op 28 januari is het de Europese dag van de privacy, en ik had de privacy-collega’s in mijn team beloofd daar een blog aan te wijden. Bij wijze van experiment heb ik deze ene keer het schrijven daarvan uitbesteed. Echter niet helemaal: de volgende alinea’s zijn deels door ChatGPT, deels door mij geschreven (in de ChatGPT-stukken heb ik alleen hier en daar grammaticaal ingegrepen). Herken jij wie welke alinea heeft geschreven? Volgende week geef ik de oplossing.

Als Europeaan ben ik trots op de Europese Unie en haar rol in het beschermen van onze persoonlijke gegevens. Met de invoering van de Algemene Verordening Gegevensbescherming (AVG) in 2018 heeft de EU een van de strengste privacywetgevingen ter wereld ingevoerd. De AVG geeft consumenten meer controle over hun eigen gegevens en stelt bedrijven verantwoordelijk voor de bescherming van die gegevens.

Hoewel de AVG een belangrijke stap voorwaarts is, zal de strijd om onze privacy nooit eindigen. Technologische ontwikkelingen gaan sneller dan ooit en met de opkomst van kunstmatige intelligentie en het internet of things zijn er nieuwe uitdagingen waarmee we te maken krijgen. Bedrijven en overheden moeten zich blijven aanpassen aan het veranderende landschap om onze gegevens te beschermen.

Laten we even inzoomen op kunstmatige intelligentie als bedreiging voor onze privacy. Soms heb je er baat bij dat een bedrijf of een overheidsinstantie niet alles van je weet; in landen met een onderdrukkend regime geldt dit nog veel meer dan in onze westerse democratie. Zolang er alleen mensen en traditionele informatiesystemen in het spel zijn, worden er soms dingen over het hoofd gezien. Maar wat als kunstmatige intelligentie allerlei bronnen op ongekende wijze aan elkaar weet te knopen en verbanden weet te leggen waar je als mens of ‘domme’ computer nooit aan gedacht zou hebben? Is dat nog wel eerlijk? Hebben we niet van tijd tot tijd recht op een meevaller, doordat ‘het systeem’ iets over het hoofd ziet?

Het is niet alleen de verantwoordelijkheid van bedrijven en overheden om onze privacy te beschermen. Wij als consumenten hebben ook een rol te spelen. We moeten ons bewust zijn van onze eigen gegevens en hoe we die delen. We moeten vragen stellen over hoe bedrijven onze gegevens gebruiken en we moeten ons verzetten tegen ongepaste praktijken. Laten we samenwerken om onze privacy te beschermen, zodat we ons veilig en beschermd kunnen voelen in onze digitale wereld.

Een andere belangrijke stap is het gebruik van privacybevorderende technologieën, zoals Virtual Private Networks (VPN's) en encryptietools. Deze kunnen helpen om onze online communicatie te beschermen en onze persoonlijke informatie te beschermen tegen onderschepping door hackers of andere kwaadwillende actoren. Het is ook belangrijk om op de hoogte te blijven van privacykwesties en te pleiten voor sterkere privacybescherming op nationaal en internationaal niveau. Bijvoorbeeld door het ondersteunen van organisaties zijn die zich inzetten voor de verdediging van privacyrechten, en door zich uit te spreken tegen overheidstoezicht en gegevensverzamelingspraktijken die onze burgerlijke vrijheden bedreigen.

De wetenschappers Murphy en Woods formuleerden in 2009, in navolging van de Drie wetten van de robotica van de sciencefictionauteur Isaac Asimov, de Drie wetten voor verantwoordelijke robotica. De eerste van deze wetten luidt: “Een mens mag geen robot inzetten wanneer dit werk met de robot niet voldoet aan de hoogste wettelijke en professionele normen van veiligheid en ethiek.” Misschien moesten we deze wet ook maar eens van toepassing verklaren op kunstmatige intelligentie, en dan vooral vanwege de ethische kant, en om te voorkomen dat chatbots onze privacy bedreigen.

Privacy-chat

 

Afbeelding via deperfectepodcast.nl

Gefascineerd las ik twee weken geleden het (intern gepubliceerde) verhaal van collega-blogger Guido over ChatGPT,  de kunstmatig intelligente chatbot waar zomaar iedereen gebruik van kan maken. Tot nu toe kende ik chatbots – de vertaling ‘kletsautomaat’ dringt zich op – vooral van bedrijven die met alle geweld willen voorkomen dat je ze belt, en je in plaats daarvan aanbieden om met hun altijd vrolijke ingeblikte medewerker van gedachten te wisselen via het toetsenbord. Maar áls ik een vraag heb voor zo’n bedrijf, dan valt die zelden in een categorie waar de kleinkinderen van Clippy raad mee weten, want anders had ik het antwoord wel zelf in de FAQ gevonden.

Ken je de computer van professor Barabas uit Suske en Wiske nog? Die spuugde een kaartje uit met het antwoord op de gestelde vraag. Ik wilde wel eens zelf ervaren hoe dat in de praktijk werkt. Op 28 januari is het de Europese dag van de privacy, en ik had de privacy-collega’s in mijn team beloofd daar een blog aan te wijden. Bij wijze van experiment heb ik deze ene keer het schrijven daarvan uitbesteed. Echter niet helemaal: de volgende alinea’s zijn deels door ChatGPT, deels door mij geschreven (in de ChatGPT-stukken heb ik alleen hier en daar grammaticaal ingegrepen). Herken jij wie welke alinea heeft geschreven? Volgende week geef ik de oplossing.

Als Europeaan ben ik trots op de Europese Unie en haar rol in het beschermen van onze persoonlijke gegevens. Met de invoering van de Algemene Verordening Gegevensbescherming (AVG) in 2018 heeft de EU een van de strengste privacywetgevingen ter wereld ingevoerd. De AVG geeft consumenten meer controle over hun eigen gegevens en stelt bedrijven verantwoordelijk voor de bescherming van die gegevens.

Hoewel de AVG een belangrijke stap voorwaarts is, zal de strijd om onze privacy nooit eindigen. Technologische ontwikkelingen gaan sneller dan ooit en met de opkomst van kunstmatige intelligentie en het internet of things zijn er nieuwe uitdagingen waarmee we te maken krijgen. Bedrijven en overheden moeten zich blijven aanpassen aan het veranderende landschap om onze gegevens te beschermen.

Laten we even inzoomen op kunstmatige intelligentie als bedreiging voor onze privacy. Soms heb je er baat bij dat een bedrijf of een overheidsinstantie niet alles van je weet; in landen met een onderdrukkend regime geldt dit nog veel meer dan in onze westerse democratie. Zolang er alleen mensen en traditionele informatiesystemen in het spel zijn, worden er soms dingen over het hoofd gezien. Maar wat als kunstmatige intelligentie allerlei bronnen op ongekende wijze aan elkaar weet te knopen en verbanden weet te leggen waar je als mens of ‘domme’ computer nooit aan gedacht zou hebben? Is dat nog wel eerlijk? Hebben we niet van tijd tot tijd recht op een meevaller, doordat ‘het systeem’ iets over het hoofd ziet?

Het is niet alleen de verantwoordelijkheid van bedrijven en overheden om onze privacy te beschermen. Wij als consumenten hebben ook een rol te spelen. We moeten ons bewust zijn van onze eigen gegevens en hoe we die delen. We moeten vragen stellen over hoe bedrijven onze gegevens gebruiken en we moeten ons verzetten tegen ongepaste praktijken. Laten we samenwerken om onze privacy te beschermen, zodat we ons veilig en beschermd kunnen voelen in onze digitale wereld.

Een andere belangrijke stap is het gebruik van privacybevorderende technologieën, zoals Virtual Private Networks (VPN's) en encryptietools. Deze kunnen helpen om onze online communicatie te beschermen en onze persoonlijke informatie te beschermen tegen onderschepping door hackers of andere kwaadwillende actoren. Het is ook belangrijk om op de hoogte te blijven van privacykwesties en te pleiten voor sterkere privacybescherming op nationaal en internationaal niveau. Bijvoorbeeld door het ondersteunen van organisaties zijn die zich inzetten voor de verdediging van privacyrechten, en door zich uit te spreken tegen overheidstoezicht en gegevensverzamelingspraktijken die onze burgerlijke vrijheden bedreigen.

De wetenschappers Murphy en Woods formuleerden in 2009, in navolging van de Drie wetten van de robotica van de sciencefictionauteur Isaac Asimov, de Drie wetten voor verantwoordelijke robotica. De eerste van deze wetten luidt: “Een mens mag geen robot inzetten wanneer dit werk met de robot niet voldoet aan de hoogste wettelijke en professionele normen van veiligheid en ethiek.” Misschien moesten we deze wet ook maar eens van toepassing verklaren op kunstmatige intelligentie, en dan vooral vanwege de ethische kant, en om te voorkomen dat chatbots onze privacy bedreigen.

 

En in de grote boze buitenwereld …

• vindt ChatGPT zelf ook dat het onze privacy kan bedreigen.
• zinnen docenten op maatregelen om het gebruik van ChatGPT voor het maken van huiswerk en verslagen tegen te gaan.
• is een vier jaar oude versie van de Amerikaanse no fly list uitgelekt via een regionale luchtvaartmaatschappij.
• zijn de gegevens van tientallen miljoenen accounts gestolen bij T-Mobile in de VS.
• heeft WhatsApp een fikse privacyboete gekregen.
• monitoren zowel overheden als bedrijven jouw social media.
• wordt hier de LockBit-ransomware simpel uitgelegd.
• leidt het groeiende gebruik van multifactorauthenticatie tot meer aanvallen op telecombedrijven.
• fakkelt het Russische Kaspersky de van oorsprong eveneens Russische chat-app Telegram af.
• verzamelde de Landmacht illegaal informatie.
• maakt de politie onderscheid tussen cybercrime en gedigitaliseerde criminaliteit, die overigens wel beide vorig jaar afnamen.
• moeten websites meteen een knop bieden om cookies te weigeren.

 

Waarom je externe e-mail niet kunt versleutelen

 

Afbeelding via Pixabay

Al hoestend en snotterend struikelde ik het nieuwe jaar in, en nog steeds zijn paracetamol, hoestdrankjes en thee met honing mijn beste vriendjes. Willoos dobber ik mee op de golven van deze epidemie. Nu we de coronapandemie achter ons hebben gelaten, lijkt het erop dat de griep- en verkoudheids-virussen eindelijk hun kans schoon zagen om weer eens ouderwets toe te slaan. Velen van jullie zullen nu, als mede-ervaringsdeskundigen, instemmend knikken. Zucht – werkte de menselijke afweer maar net zo efficiënt als de virusscanner op je computer.  

Maar nee, ik ga het vandaag niet over malware hebben. In de lezerspost zaten namelijk vragen naar aanleiding van de vorige Security (b)log. Daarin stond een passage die begon met: “Onze interne mail biedt de mogelijkheid om gevoelige berichten te versleutelen.” Collega Monique heeft deze optie nu standaard aangezet, maar ze krijgt een foutmelding als ze mail naar haar privéadres wil sturen. Ze wil graag begrijpen hoe dat zit.

Het was misschien een beetje gemeen, maar juist met het oog op deze mogelijke vraag had ik in de geciteerde zin het woord “interne” opgenomen. Dat betekent dat je mail kunt versleutelen die binnen de organisatie blijft – mail naar een collega dus. Zodra je mail naar buiten stuurt, dus naar je privéadres of naar een klant, hebben we te maken met externe e-mail. Er zijn twee redenen waarom je die mail niet kunt versleutelen.

Het versleutelen van informatie, bijvoorbeeld e-mail, doe je om ervoor te zorgen dat onbevoegden de informatie niet kunnen lezen. Alleen wie over de sleutel beschikt, kan het bericht ontsleutelen en vervolgens lezen. Voordat we vanuit onze organisatie een mailtje de wijde wereld in sturen, willen we controleren of dat mailtje geen narigheid bevat, zoals virussen (ha, toch weer virussen hè). Maar als het mailtje versleuteld is, dan kan dat niet – ook een virusscanner kan geen chocola maken van een versleuteld bericht. Hetzelfde geldt voor bijlagen. Dat is de reden waarom het versleutelen van externe e-mail niet wordt toegestaan. Dat werkt overigens in beide richtingen zo: ook inkomende mail, die versleuteld is, wordt geweigerd. Sneu is dat wel: versleutelen is immers, net als het scannen op virussen, een beveiligingsmaatregel. Hier zit de ene beveiligingsmaatregel de andere in de weg.

De tweede reden waarom versleuteling van externe e-mail niet werkt, staat in de foutmelding die Monique te zien kreeg: “Kan het certificaat van deze ontvanger niet in het adresboek vinden.” Ja leuk, maar deze melding kun je alleen begrijpen als je weet hoe versleuteling in z’n werk gaat. In de vakliteratuur is dit altijd het moment voor Alice en Bob om ten tonele te verschijnen. Dit stel wil versleutelde e-mail met elkaar uitwisselen. Daartoe moeten eenmalig wat voorbereidingen worden getroffen. Om te kunnen versleutelen en ontsleutelen heb je nu eenmaal sleutels nodig, nietwaar? Twee per persoon, om precies te zijn: een openbare en een geheime, die een wiskundige relatie met elkaar hebben. Ze vormen een sleutelpaar. En dan werkt het als volgt. Als Alice een mailtje naar Bob wil sturen, dan versleutelt zij het met de openbare sleutel van Bob. Het mooie is dat die openbare sleutel, waar letterlijk iedereen ter wereld over mag beschikken, niet kan worden gebruikt om het bericht weer te ontsleutelen. Dat kan alleen met de bijbehorende geheime sleutel, en die heeft slechts één persoon: Bob. Als Bob het mailtje wil beantwoorden, dan gebruikt hij op zijn beurt de publieke sleutel van Alice om zijn antwoord te versleutelen. En omdat alleen Alice over de bijbehorende geheime sleutel beschikt, kan alleen zij het mailtje van Bob lezen.

Al deze handelingen hoeven Alice en Bob niet handmatig uit te voeren. Ze hoeven alleen maar ‘versleutelen’ aan te vinken in hun mailprogramma. Dat mailprogramma moet dan wel toegang hebben tot de publieke sleutels van mensen waarmee je wilt mailen. Die publieke sleutels zijn beschikbaar in de vorm van zogeheten digitale certificaten, waarin naast de publieke sleutel ook is vastgelegd dat dit daadwerkelijk de publieke sleutel van Bob is. In het geval van Monique is dat certificaat er niet: haar privéadres heeft waarschijnlijk helemaal geen certificaat en als het er al is, dan zou het niet in ons intern adresboek worden opgenomen omdat we het versleutelen van externe mail toch niet toestaan. Dus vandaar die melding over het ontbrekende certificaat.

Monique had verder nog een vraag over het ondertekenen van e-mail. Ook die optie heeft ze aangevinkt, maar, zo schrijft ze: “Ik zie geen zichtbare toegevoegde waarde en snap het daardoor dan ook niet.” Ze slaat de spijker op de kop met het woord “zichtbare”. Digitale ondertekening maakt namelijk ook gebruik van die sleutelparen. Alice gebruikt haar eigen geheime sleutel om haar mail te ondertekenen, en Bob gebruikt haar publieke sleutel om te controleren of het bericht echt van Alice afkomstig is én of er onderweg niet mee is gerommeld. Ook dat doet het mailprogramma onder water voor je. En zolang er niets aan de hand is, merk je daar weinig van. Pas als er iets mis is, zal het mailprogramma bij de gebruiker aan de bel trekken.

Als Monique naar huis mailt, kan ze die mail dus niet versleutelen. Dat is niet zo erg, want uiteraard stuurt ze geen zakelijke informatie naar huis. Hooguit een boodschappenlijstje of zo. Ik hoop van harte dat daar geen hoestdrankje op staat…

 

En in de grote boze buitenwereld …

• zijn bij een ransomware-aanval op The Guardian ook personeelsgegevens gelekt.
• hebben ook de Britse posterijen last van een ransomware-aanval.
• kwam de luchtvaart in de VS piepend tot stilstand door (volgens de officiële lezing) een simpele fout van een engineer.
• is Threema kennelijk toch niet de superveilige chat-app die het graag wil zijn.
• is Threema waarschijnlijk altijd nog stukken betrouwbaarder dan Telegram.
• raken fysieke beveiliging en cybersecurity elkaar in onze energievoorziening.
• wordt kunstmatige intelligentie natuurlijk ook gebruikt voor minder nobele doelen.
• liggen de gegevens van veelvliegers van KLM en Air France mogelijk op straat.
• zijn Russische cyberaanvallen op Oekraïne mogelijk oorlogsmisdaden.
• kun je rijk worden door een Tesla te hacken.
• moet je toch even een paar dingetjes controleren als je je ICT uit handen wil geven.