Black Hat Sessions is een jaarlijks terugkerend initiatief van Madison Gurkha. Met de term 'Black Hat' wordt de slechterik, de hacker bedoeld. Op basis van het gekozen thema 'inlichtingendiensten, spionage en privacy' is duidelijk dat inlichtingendiensten in een kwaad daglicht worden gesteld. Op uitnodiging van Computable heb ik een bezoek gebracht aan dit evenement. Koffie, muffins en parallelsessies voor zowel techneuten als managers.
Wolter Pieters vertelt over zijn project TREsPASS als senior onderzoeker bij de TU Twente. Een project met een internationale samenwerking met zo’n vijftien partnerorganisaties en een serieus budget van 13,5 miljoen euro. Beoogde doel van dit onderzoek is een quickscan cq toolset te ontwikkelen die data risico’s voor elke organisatie kan inschatten. De methodiek wordt zo opgezet, dat het management op basis van deze risico’s, de juiste maatregelen kan nemen. Wolter schetst met enkele voorbeelden hoe risico scenario’s uitgewerkt worden in lego-maquettes en boomstructuren. Centraal staat het motief van een mogelijke dader, het budget, de vaardigheden en de toolset om uiteindelijk de kans van een scenario te bepalen.
Data beter beschermen
Vanuit de praktijk weet ik dat risico-analyses vanuit de statistiek zijn opgezet. Het maakt complexe materie zoals informatiebeveiliging er niet eenvoudiger op. Los van de kansberekeningen, had ik graag meer aandacht gewild voor toepasbaarheid in de praktijk, datalocatie (juridische context), data-eigenaarschap (bijvoorbeeld back-up-, test- en bi-omgeving), dataclassificatie en hoe organisaties de impact van mogelijke incidenten bepalen. Het doel is namelijk een navigatie middel te ontwikkelen voor het management, die de simpele taak hebben om wel of niet een investering te doen om haar data beter te beschermen. Ik ben benieuwd hoe het navigatiesysteem van Wolter er over twee jaar uitziet.
Er is blijkbaar in onze wetgeving nog steeds een verschil tussen ‘informatie op papier’, ‘informatie over de kabel’ en ‘informatie door de lucht’. Het lijkt erop dat onze wetgeving nog niet ge-patched (bijgewerkt) is, waar de inlichtingendiensten nu handig gebruik van maken. Het klinkt voor mij als Bill Clinton die geen seks heeft gehad met Monica Lewinsky. Technisch gezien heeft Bill de waarheid gesproken, het is slecht een kwestie van definitie. Iedereen kan op zijn klompen aanvoelen dat inlichtingendiensten alle kabelinformatie ook wel ergens draadloos kunnen aftappen. Denk maar eens aan je mobiele telefoon waar email en documenten draadloos tot je beschikking hebt.
Ot van Daalen
Ot van Daalen is werkzaam als advocaat bij Digital Defence. Dit ligt in lijn met zijn voorgaande functie bij Bits of Freedom, waar wantoestanden rondom privacy regelmatig onder de aandacht werden gebracht. Van Dalen vertelt dat de NSA-SIGINT onder Barack Obama explosief is gegroeid. ‘Yes we scan’ op een poster met Barack Obama die een koptelefoon op heeft. Tevens noemt hij terloops de lopende rechtszaak ‘Burgers tegen Plasterk’, waar bezwaar wordt gemaakt tegen de uitwisseling van informatie over Nederlandse burgers met de NSA. Ook legt hij uit waarom het tappen van kabelverkeer anders is dan tappen uit de lucht; bij het afluisteren van de kabel weet je vooraf wie je afluistert en bij draadloos verkeer weet je dat vooraf niet. Tot slot vertelde hij over de nieuwe privacy wetgeving in 2016: belangrijkste wijziging is dat de boete van 3500 euro verhoogd wordt naar maximaal 5 procent van de groepsomzet, met uitzondering van overheden.
Arthur Donkers, partner bij ITSX, heeft ‘niks te verbergen’, een bewustwordingspresentatie over privacy. ITSX is verbonden aan Madison Gurkha en doet hoofdzakelijk de zachte kant van informatiebeveiliging, daar waar Madison Gurka zich vooral in technische beveiliging profileert. Een leuke presentatie met plaatjes en anekdotes.
Privacy
Privacy is volgens Donkers het recht om zelf te bepalen wat je wel of niet over jezelf openbaar maakt. Arthur waarschuwt voor wat je online zet, want het internet vergeet niks. Foto’s en uitspraken die nu onschuldig lijken, kunnen later grote gevolgen hebben, aldus Donkers. Privacy is vergelijkbaar met een gordijn voor je keukenraam. Af en toe moet je een gordijn dicht kunnen voor wat privacy zonder dat je iets te verbergen hebt. Maar privacy is ook je pincode, iets wat je wel geheim wil. Het gaat erom dat de persoon ‘in control’ is welke informatie wordt gebruikt voor welke doeleinden. In technische zin bepaal jijzelf of en wanneer cookies gebruikt mogen worden om jou beter van dienst te zijn.
Ook legt Donkers een bruggetje met het boek 1984 van de George Orwell, waarin wordt gewaarschuwd voor een totalitaire staat waarin alles wordt gemonitord. Een glijdende schaal, zonder weg terug, aldus Donkers. De jeugd van tegenwoordig kent dit boek niet eens. Volgens Donkers zijn we in 2014 al in dit Orwell-scenario beland.
Alle data in handen
De inlichtingendiensten hebben alle data al in handen, elke winkel en/of straat heeft een toezicht camera. Satellieten, drones, geldautomaten, laptops en zelfs onze telefoons hebben een camera’s en bevatten vertrouwelijke informatie over ons. Maak dus geen grappen over je vrouw, over taxi’s en/of Marokkanen. Laat je vertrekregeling uitkeren op een Zwitserse privébankrekening en ‘vertrek’ nooit naar de Nationale Ombudsman zonder ANWB-verzekeringspas.
Frans-Paul van der Putten, werkzaam als senior onderzoeker bij Nederlands Instituut voor Internationale Betrekkingen Clingendael, vertelt over de strategie van China om voorkennis en technologische kennis te stelen ten behoeve van de ontwikkeling van het land. Een verwerpelijke maar erg succesvolle strategie. Het instituut verwacht in komende jaren een machtsverschuiving van de Verenigde Staten naar China. China staat in 2030 op plek één, VS op twee en India op drie. China is volgens de VS nu het grootste land dat zich schuldig maakt aan industriële bedrijfsspionage. De NSA maakt daarbij wel onderscheid tussen industriële spionage en nationale veiligheid, wat China overigens weer in twijfel trekt. De aanpak die de VS / FBI gekozen heeft, is de ‘naming and shaming’ van vijf legerofficieren die betrokken zijn geweest bij de benadeling van diverse Amerikaanse en Duitse bedrijven.
NCTV
We weten via Snowden dat Nederland onderdeel uitmaakt van NSA-programma Prism. We weten ook dat NSA bondgenoten afluistert zoals Angela Merkel voor politieke doeleinden. We weten dat China kennis steelt van westerse landen en doet aan concurrentvervalsing. We weten dat alle inlichtingendiensten ter wereld al het telefoon- en dataverkeer uit de lucht mogen aftappen. We weten dat Wet Bescherming Persoonsgegevens alleen geldt voor commerciële bedrijven en particulieren, maar niet geldt voor (buitenlandse) overheden en inlichtingen diensten. Overheden bepalen daarmee eenzijdig de mate van onze privacy. Kortom, er is weinig over van privacy zodra het gaat om staatsveiligheid, economische en/of politieke belangen. Als tegenargument is er wel een cookie-wet voor de bescherming van onze privacy.
Wilma van Dijk is sinds kort aangesteld als directeur Cyber Secuirty binnen het NCTV (Nationaal Coördinator Terrorismebestrijding en Veiligheid). Zij bouwt verder op de organisatie die Wil van Gemert in de afgelopen twee jaar heeft opgebouwd. Van Gemert, die doorstroomt naar adjunt directeur Europol. Van Dijk gaf in haar keynote presentatie het voorbeeld hoe Brenno de Winter Responsible Disclosure (RD) op zeer integere wijze had gebruikt om kwetsbaarheden bij de bank onder de aandacht te brengen bij het NCSC. Volgens Wilma wordt nu gewerkt aan een nieuwe cyberstrategie. Wilma wil het EU-voorzitterschap van Nederland in 2016 gebruiken om haar cyber security agenda te versterken. Nederland wil een belangrijke positie te verwerven in het internationale speelveld van cybersecurity.
NCSC
Cybersecurity moet in Nederland net zoiets vanzelfsprekend worden als tulpen, watermanagement en/of vrede en recht worden. Maar hoe ziet dat Nederlandse Cyber Security er dan uit? Arthur Donkers blikte al vooruit met een verplicht ‘privacyverslag’ als standaard onderdeel van een jaarverslag. Het NCSC maakt al afspraken met marktpartijen om kritische infrastructuur optimaal te beschermen tegen uitval en/of aanvallen van buiten af. Het NCSC speelt al een bemiddelende rol bij Responsible Disclosure. Wellicht is er ook een rol weggelegd voor het NCSC om erop toe te zien dat de verschillende toezichthouders geëquipeerd zijn om inlichtingendiensten te controleren. De grootste toegevoegde waar die ik nu zie voor het NCSC, is een duidelijk digitaal loket waar je terecht kan voor alle vormen van cybercriminaliteit. Ik stel mij voor dat het NCSC uitgroeit tot een centraal meldpunt.
Misschien is Van Dijk op korte termijn (voor 25 juni 2014) wel op zoek naar een integere man met humor voor het opzetten van een soort alarmcentrale. Ik zeg het er maar vast bij: grapje met een knipoog naar Van Woerkom! Deze disclaimer is in het geval Farizeeërs dit in een screening procedure tegen mij gebruiken.
Risicomodellen krijgen we van die zaken als Chernobyl en Fukushima van..
De kans is heel klein, maar als het gebeurt is je bedrijf pleitte (Diginotar).. Wat dat betreft krijg je een zekerder bedrijfsvoering als je werkt vanuit een moraal (“ik vind de eigendommen van een ander net zo belangrijk als de belangen van mijn bedrijf”).. En dan natuurlijk niet alleen in naam.. Maar goed, het grootste probleem is tevens onwetendheid/desinterresse: geen idee hebben waar gelekte informatie voor ingezet kan worden, wat de impact van zaken is.
Gisteren was er in het nieuws dat de NSA in 33 landen samenwerkte de locale opsporingsdiensten en dat ze allemaal de gegevens met elkaar delen. Oftewel échte big data die ervoor zorgt dat het grootste surveillancenetwerk op deze planeet is ontstaan. Daarbij zijn de Chinese strapatsen maar kinderspel. Dan zou je eerder denken dat elk land wel zo’n programma op moet zetten om niet achter te lopen.
Wat er blijkbaar niet gerealiseerd wordt is dat hierdoor een situatie is ontstaan waardoor de overheid alles maar dan ook alles over u en mij weet. Eventuele zwarte gaten kunnen ze opvullen door deze data bij bedrijven onder dwang op te vragen.
Wat weten wij vervolgens over de overheid en deze organisaties die al deze informatie verwerken? Alles wat ze naar buiten brengen is een gladgestreken verhaal wat nauwelijks of niet getoetst kan worden.
Wat is het gevolg van deze enorme discrepantie? Moeten wij hier niet ongelooflijk op ons hoede zijn? De overheid heeft nu nog meer macht dan ten tijde van de donkere middeleeuwen. Niet iedereen beseft zich dit misschien omdat het zo mooi verborgen is op de achtergrond. En hoe lang zal het gaan duren eer die macht steeds meer gebruikt gaat worden op een manier zoals zij niet bedoeld is?
“Met de term ‘Black Hat’ wordt de slechterik, de hacker bedoeld. “?
Het zou het artikel ten goede komen indien de juiste termen zouden worden gebruikt. Zéker als je ‘Responsible Disclosure’ noemt.