Het is begin december 2015 en ik ben gevraagd om terug te kijken op wat het afgelopen jaar ons geboden heeft op het gebied van ict-beveiliging. Natuurlijk kan ik alle uitgaven van Computable terughalen en een bloemlezing samenstellen van de gepubliceerde problemen dit jaar. Maar dit keer wil ik het anders doen. Ik wil in het kort een recente gebeurtenis pakken en kijken wat de invloed ervan was … is … en nog zal zijn.
Die gebeurtenis is het terroristische geweld in Parijs van enkele weken geleden. Een gecoördineerde aanslag door meerdere groepen op verschillende doelen in de Franse hoofdstad. Een aanslag waarvan de daders niet, of zwaar onvoldoende, door de veiligheidsdiensten zijn opgemerkt. Wat was daarvoor de reden? Maakten de daders gebruik van sterke versleuteling? Communiceerden ze via netwerken die niet afgetapt konden worden? Maakten ze gebruik van het illustere “dark-net”? Gebruikten ze de juiste OPSEC-technieken?
Direct na de aanslagen kwamen berichten naar buiten dat sterke versleutelingstechnieken het voor politie, justitie en inlichtingendiensten bijna onmogelijk maken om hun werk goed te doen. In het Verenigd Koninkrijk gingen er enkele weken daarvoor al stemmen op om het gebruik van sterke versleutelingstechnieken te verbieden. Ze wilden de tijd enkele decennia terugdraaien, toen de voormalige koloniën van Groot-Brittannië een verbod op de distributie van sterke encryptie probeerden te handhaven. Een verbod dat destijds sowieso al de nodige vraagtekens opriep, want als er al groepen zijn die zich niets van verboden aantrekken zijn het wel criminelen en terroristen. Dus wat is het nut van dergelijke wetten?
Elke logische redenering komt uit op het volledig kunnen monitoren, door NSA en GCHQ, van alle berichtenverkeer, en het direct kunnen identificeren van verkeer dat niet direct ingezien kan worden (en dus verdacht is). Ik ga hier niet meer verwijzen naar het boek waarin ‘Big Brother’ vergelijkbare mogelijkheden handhaafde, en ook niet naar de film ‘V for Vendetta’, hoewel ik beiden aan kan raden als beginpunt voor een aantal ‘gedankenexperimenten’.
Schijnveiligheid
Moeten we nu zo in de stress schieten? Denk aan de ‘noodzakelijke maatregelen’ die zijn genomen om de veiligheid in vliegtuigen te waarborgen. Denk aan de lange controles voor de gate en het feit dat je geen flesje water mee aan boord mag nemen. Allemaal schijnveiligheid! En telkens opnieuw gebeurt het toch weer. Er komt een aanslag en we verscherpen de controles, maken nieuwe wetten die zaken verbieden en meer van dat. Het gevolg is dat de normale samenleving steeds meer vrijheden inlevert om zogenaamd veiliger te worden. De terroristen winnen zo op alle fronten!
Een wijs man (Benjamin Franklin — 17 Januari 1706 – 17 April 1790) heeft ooit gezegd: “Those who surrender freedom for security will not have, nor do they deserve, either one.” Hij had het toen al begrepen, maar ruim driehonderd jaar later maakt de populus, inclusief vrij gekozen bestuurders, nog steeds dezelfde fouten. Zodra mensen bang worden leveren ze hun vrijheden in voor schijnveiligheden. En wat levert het werkelijk op? Feitelijk een nog onveiliger maatschappij. Als we onze communicatie niet meer kunnen beschermen door gebruik te maken van sterke cryptografie, hoe kan het huidige, zwaar commerciële internet dan nog functioneren? Persoonlijk denk ik dat het dan niet meer kan functioneren.
Kritisch blijven
Hiermee wil ik zeker niet aangeven dat alle wetgeving verkeerd is. De meldplicht voor datalekken bijvoorbeeld zal, denk ik, een positieve invloed kunnen hebben, omdat die er mede voor zorgt dat ook de bestuurders van organisaties en instellingen de verantwoordelijkheid gaan voelen voor de veiligheid van gegevens die worden opgeslagen en verwerkt.
Maar laten we niet klakkeloos alles accepteren. Laten we kritisch blijven kijken naar nieuwe voorstellen en duidelijk maken wat dergelijke wetten werkelijk betekenen. Alleen zo kunnen we een juiste balans houden tussen onze vrijheden en de veiligheid van vertrouwelijke gegevens.
Hans van de Looy, oprichter van Madison Gurkha
Nog even lachen om die schijnveiligheid bij het vliegen: Nog niet zo héél lang na 9-11 vloog ik naar NewYork en bij het inchecken werden zelfs pennen verboden. Gelukkig wist ik dat al en had ik die in mijn ruimbagage gedaan (waar later mijn vulpen ten prooi viel aan de drukverschillen …). Eenmaal in het vliegtuig kregen we een vragenlijst van de immigratiedienst in te vullen enne … ja, daar werd een balpen bij verstrekt, want hoe moet je dat ding anders invullen? Leuk, hè?!