Afgelopen week is er weer een belangrijke stap gezet in de beveiligingsbedoelingen van de overheid: de oprichting van het CIP (Centrum voor Informatiebeveiliging en Privacy). Initieel opgezet door het UWV, zijn er ook veel ketenpartners aangesloten. In het streven naar een compactere overheid wordt het belang van het behoud, of zelfs groei, van beveiliging elke dag belangrijker.
Afgelopen week vond de startconferentie plaats van het CIP. Initieel opgezet door het UWV, zijn er ook veel ketenpartners aangesloten, zoals bijvoorbeeld de Belastingdienst, SVB en DUO. Samen goed voor een groot deel van het publieke betalings- en (werk, uitkerings-) reguleringsspectrum. Het CIP is een nieuwe naam in ict-beveiligingsland, een startup in de overheidswereld (ja, dat kan) met als doel om een kenniscentrum te worden voor alles wat met overheidsgerelateerde beveiligingsvraagstukken te maken heeft. Een uitdagende functie, omdat we de laatste jaren hiermee nogal wat te stellen hebben gehad. Diginotar ligt nog vers in het geheugen. Daarnaast heeft NCSC ook het licht gezien, het Nationaal Cyber Security Center. Hoewel het laatste zich meer richt op cybersecurity-aanvallen (of verdedigingen) op kritieke infrastructuren (telecom, gas, water, elektriciteit en dergelijke) zijn er wel degelijk dezelfde aandachtsgebieden.
Een belangrijk pluspunt van het CIP is dat het nadrukkelijk de samenwerking zoekt van de private wereld. De top van het security (IT) bedrijfsleven was op de opening aanwezig met diverse presentaties op het gebied van cloud computing, cybersecurity en BYOD. De vraag is hoe dit zich het komende jaar, in de opbouwfase van het CIP, zal gaan ontwikkelen. Inmiddels zijn er convenanten getekend die de voortgang er in moeten houden.
Kortom het lijkt nu uit te monden in een serieuze aanpak van het probleem. Wat nodig is, is een snel, actief centrum dat in staat moet zijn om te bespeuren, te acteren, te blokkeren, te wijzigen en waar nodig strenge maatregelen te nemen tegen internetfraude en misbruik. Het zal zich zeker terugbetalen. Daarbij moet wel gezegd worden dat het CIP zich in de beginfase bevindt en het pas in de komende jaren zijn waarde zal bewijzen.
De aansluiting van semi-overheidsbedrijven en private bedrijven zal een uitdaging worden. Ook zij zullen immers gebruik willen maken van de intelligentie die in de komende jaren zal worden opgebouwd. Deze ontsluiting zal een beveiligingsaspect op zich worden en zeker ook de privacy moeten bewaken.
Kunnen we straks een treinreiziger de toegang tot het perron weigeren omdat hij belastingfraude pleegt, of een uitkering weigeren omdat de persoon een groot aantal parkeerboetes uit heeft staan? Ik geef het CIP een goede kans, maar zeker hier geldt: 'May the Force be with you'!
De manier waarop de schijnbaar onschuldige voorbeelden van de laatste alinea worden opgenoemd is stuitend te noemen.
Als het papieren kaartje voor de trein jammer genoeg niet meer mogelijk is kun je niet meer anoniem met de trein reizen en inderdaad elke beweging binnen het OV van je gevolgd worden en inderdaad om welke reden dan ook geweigerd worden. Maar is het beperken van de bewegingsvrijheid van een burger geen flagrante schending van zijn rechten? Als deze door een rechter veroordeeld wordt tot hechtenis zal deze uitgezeten moeten worden maar er zal geen enkele andere beperking van bewegingsvrijheid mogen worden opgelegd.
En het tweede voorbeeld is ook een duidelijke inbreuk op de rechten van de burger door deze recht op het zichzelf kunnen onderhouden voor primaire behoeften zoals onderdak en eten door het weigeren van een uitkering vanwege een paar boetes? Dan moet deze persoon maar bij het Leger des Heils aankloppen omdat hij niet op tijd zijn boetes heeft betaald?
Het CIP is een stap in de goede richting. Maar als zelfs Amerikaanse veiligheidsdiensten aangeven dat zij niet kunnen winnen van de hackers op deze wereld dan lijkt het met dat een zeer jongen als het CIP ook weinig in de melk te brokkelen zal hebben en op zijn hoogst het volk gerucht kan proberen te stellen door een valse verwachting te scheppen.
Stuxnet en Flame zijn nog maar het begin van een nieuwe fase van de koude oorlog op het internet. Het is nog maar de vraag wanneer een massale online oorlog gaat plaatsvinden en wat de uitkomst daar van is. Tot die tijd hebben nog heel veel criminele hackers behoorlijk veel bewegingsvrijheid om misbruik te maken van de grote onwetendheid van burgers en overheid.
Jan heeft meer dan gelijk. Als een centrum voor informatiebeveiliging en privacy oplossingen creëert waarmee juist een inbreuk wordt gedaan op die privacy, dan moeten we er niet eens aan beginnen.
Of moeten we meteen maar een onafhankelijk organisatie in het leven roepen die controleert of er door (overheids)instanties geen misbruik wordt gemaakt van de beschikbare informatie?
Hier wordt wellicht onbedoeld geïllustreerd hoe dit soort zaken kan escaleren en men het doel voorbijschiet als er alleen maar maatregelen worden getroffen tegen het risico en niet tegen de oorzaak van dat risico. Waarbij de oorzaak niet de persoon is, maar de omstandigheden waardoor die persoon overgaat tot de risicodragende actie.
De stelling zoals in de laatste alinea gaat erg ver, ben ik het wel mee eens. Maar het koppelen van bepaalde gegevens aan personen is niet altijd slecht. Als bijvoorbeeld een Agent bij een alcoholcontrole kan zien dat de persoon in kwestie al 10 keer in korte tijd is staande gehouden met een net op het randje alcoholpercentage, dan kan hij deze keer wel besluiten om die meneer een uurtje te laten stilstaan in plaats van het voordeel van de twijfel te geven.
Beperken van de vrijheid mag inderdaad alleen maar door de gerechtelijke macht, op basis van bewezen feiten, en niet simpelweg door koppeling van gegevens en personen. Echter de fraudeurs, oplichters en andere criminelen onder ons brengen de ‘nette’ bruger jaarlijks op grote kosten, dus dit een beetje indammen mag best. Zolang je zelf kan zien welke gegevens van je beschikbaar zijn, en wie ze waarvoor heeft gebruikt is er niet zo heel veel mis met een klein beetje meer Big Brother…
Persoonlijk ben ik van mening dat het doel van de CIP in het artikel en de reacties niet geheel correct wordt geïnterpreteerd.
Het CIP (overigens niet te vinden op cip.nl, heel onhandig) is een advies orgaan voor de instellingen om te helpen de verdediging op peil te brengen en om in geval van calamiteit (zoals met de nationale rampensite) snel te kunnen handelen en een dienst weer online te krijgen.
Zaken zoals het ongeoorloofd koppelen van bestanden is meer een aangelegenheid van het CBP.
In tegenstelling tot de auteur van het stuk zie ik minder problemen bij het aansluiten van andere instellingen. Er worden hier geen privacy gevoelige gegevens gedeeld. Er wordt kennis gedeeld omtrent de mogelijkheden van beveiliging van privacy gevoelige informatie.
Ik zou alleen maar mogen hopen dat het CIP zover komt dat iedere serieuze organisatie mag leren van de kennis die hier opgedaan wordt, zodat dit niet alleen voor overheden blijft. Dat zou tenminste een prachtige wisselwerking zijn die ons allemaal een stuk verder zou helpen.