Kafka verkeerd

 

Afbeelding via Pixabay

Afgelopen zomer ben ik in landen geweest, waarvan ik de taal niet machtig ben. In sommige landen kon ik zelfs het schrift niet lezen. In een van die landen kocht ik een rugzak, waar een kaartje aan hing. “ATTENTION!”, stond op de voorkant. Maar de achterkant was bedrukt met tekens waar ik geen chocola van kon maken.

Dankzij de wondere techniek van Google Lens kon ik achterhalen waar mijn aandacht zo dringend voor werd gevraagd. Er staat dat de rugzak kan verkleuren, dat ik wassen en strijken moet vermijden, dat ik “accessoires zoals sluitingen, haken, knopen, metalen fittingen, riemriemen, gespen en ringen” op de juiste manier moet gebruiken omdat ze anders kapot kunnen gaan, en ten slotte dat het product geen bescherming aan de inhoud biedt bij een val of stoot; men is vooral bezorgd om mijn precisie-instrumenten, edelmetalen en breekbare voorwerpen.

Een paar maanden geleden vroeg ik je in de Security (b)log of je de roman Der Prozess van Franz Kafka kent. Ik neem aan dat je hem inmiddels hebt gelezen. En dan herken je in de tekst van dat rugzakkaartje wellicht een kafkaësk trekje: je moet de accessoires van de rugzak op de juiste manier gebruiken, maar er staat niet bij wat de juiste manier is. Een rugzak is voor mij sowieso al een ding waarbij ik me wel eens afvraag waar dat riempje of die lus voor bedoeld is, laat staan dat ik weet hoe ik het ding op de juiste manier moet gebruiken. En dat ik iets moet ‘vermijden’ vind ik ook knap vaag – wat als ik het toch doe? Toegegeven, ik zou niet op het idee komen om een rugzak te strijken, maar mijn vorige rugzak belandde met enige regelmaat in de wasmachine (en dat overleefde hij).

Ik ga je nu verder niet doorzagen over Kafka. Nee, ik ga Kafka op z’n kop zetten. In zijn roman moet je je aan regels houden die je niet kent en als je die regels overtreedt, dan word je gestraft. Kafka op z’n kop is als je de regels maar al te goed kent en tegelijkertijd weet dat, als je je eraan houdt, vroeg of laat iets zal gebeuren wat zeer nadelig voor je is. Wat zou je doen als er een wet kwam die voorschreef dat je in de bebouwde kom met een auto minimaal 100 km/h diende te rijden (50 km/h in een woonerf)? Ga je je daaraan houden, terwijl je zeker weet dat je in het beste geval in het ziekenhuis zult eindigen, of neem je, uit puur lijfsbehoud, voor lief dat je beboet wordt?

Eerder deze week onthulden de inlichtingendiensten dat Chinese staatshackers een netwerk van Defensie hebben gehackt. Ze konden binnenkomen via een bekende (!) kwetsbaarheid in beveiligingsapparatuur van Amerikaanse makelij. Iets blijven gebruiken met een bekende kwetsbaarheid is alsof je weet dat de linker koplamp van je auto het niet doet, maar toch in het donker gaat rijden – want zelf het lampje vervangen kan bij veel moderne auto’s niet meer, de garage is al dicht en je moet toch echt ergens naar toe. En die netwerkapparatuur blijf je net zo gebruiken, want tja, je hebt dat netwerk toch nodig en je kunt het niet zo een-twee-drie vervangen. Nog los van de vraag of een ander product dan wél helemaal veilig is.

Ik weet niet hoe ze erachter zijn gekomen dat China de boosdoener is; attributie van cyberaanvallen is een moeilijke zaak. Maar goed, in het Engelstalige rapport staat dat de diensten “with high confidence” hebben bepaald dat het China moet zijn geweest – spionnenpraat voor “we weten het eigenlijk wel zeker”. En het is niet de eerste keer dat het Westen in dit soort gevallen naar China wijst. We weten dus min of meer zeker dat China ons bespioneert.

Als een overheidsinstelling een dienst of product wil inkopen, dan moet ze de Aanbestedingswet 2012 volgen: gaat de waarde van de opdracht een bepaald bedrag te boven, dat moet een Europese aanbesteding worden uitgevoerd. Je kunt dus niet zomaar naar een leverancier stappen en je bestelling plaatsen. Je moet in een dik document omschrijven wat je nodig hebt en welke eisen je daaraan stelt. Je mag dat document niet “naar een bepaald product toe schrijven” door eisen op te nemen waarvan je weet dat alleen jouw favoriete product eraan voldoet. Bedrijven uit de hele EU mogen op zo’n aanbesteding inschrijven.

Stel, je bent een overheidsdienst en je wilt, laten we zeggen, mobieltjes aanschaffen. Er zijn Chinese mobieltjes op de markt die aan al jouw eisen voldoen en die bovendien goedkoper zijn dan de spullen van de concurrentie. De kans is groot dat Europese bedrijven, die inschrijven op jouw aanbesteding, die Chinese mobieltjes aanbieden. Door de scherpe prijsstelling word je gedwongen om in zee te gaan met dat bedrijf. De contractant is misschien niet veel meer dan een dozenschuiver, die de technische ondersteuning belegt bij de fabrikant. En voordat je het weet heb je niet alleen Chinese apparatuur in huis, maar ook de bijbehorende Chinezen. Zowel de apparatuur als de onderhoudsmonteur doen misschien wel dingen die niet in jouw eisenpakket stonden, maar wel in dat van de Chinese overheid.

Je hebt braaf aan alle regels voldaan, maar daarmee bij vol bewustzijn het paard van Troje binnengehaald. Dat is Kafka, maar dan andersom.

 

En in de grote boze buitenwereld …

• bestaan er bedenkingen rondom de Chinese scanners van de Douane.
• staat hier het nieuwsbericht over de hack bij Defensie.
• beluister je hier een radiofragment over de hack bij Defensie.
• vormen deepfakes een probleem voor identificatie op afstand.
• zal deepfake-criminaliteit Nederland niet overslaan.
• kun je natuurlijk ook een fietshelm hacken.
• ruziën een Zwitserse krant en een Amerikaans beveiligingsbedrijf (toevallig hetzelfde als van de gehackte Defensie-apparatuur) over een DDoS-aanval met tandenborstels.
• glipt er af en toe een valse app door de strenge controle van Apple.
• is BitLocker op sommige computers gemakkelijk te kraken als er geen pincode is ingesteld.
• hebben rijke landen meer last van ransomware.
• is de Belastingdienst nog niet klaar met de AVG.
• kun je beter geen aparte app voor het scannen van QR-codes gebruiken.
• hebben security-onderzoekers van over de hele wereld bedenkingen bij een VN-verdrag over cybercrime.
• mogen Nederlandse loodgieters niet meer adverteren bij Google.