Is Edward Snowden een schurk of een held? Het is de vraag die veel mensen bezighoudt. Snowden is van mening dat de Amerikaanse overheid haar macht heeft misbruikt door buitensporig haar burgers te monitoren. Volgens sommigen vertegenwoordigt Snowden de stem van de vrijheid. Anderen zien hem als een verrader. En zo wordt het onderwerp sterk gepolariseerd.
Een paar weken geleden was ik op JFK Airport in New York en kocht ik wat souvenirs voor mijn kinderen. Na het aanschaffen van een knipperend Vrijheidsbeeld en een veel te groot T-shirt, probeerde ik een flesje parfum te kopen toen bleek dat mijn betaalkaart geblokkeerd was. Ik kreeg een sms van mijn bank met het verzoek het antifraudenummer te bellen. Ze wilden controleren of ik het inderdaad was die geld via mijn betaalkaart aan het uitgeven was op JFK. Ze stelden me een aantal veiligheidsvragen en enkele minuten later was mijn kaart weer geactiveerd.
Aanvankelijk reageerde ik geïrriteerd. Ik bedoel, hoe durfden ze zomaar mijn kaart te blokkeren? Maar toen besefte ik dat ik al een tijd niet meer in de VS was geweest en dat mijn bank gewoon op safe speelde. Ik realiseer me nu alleen ook dat ik toen dus werd gemonitord; mijn bank weet altijd precies waar ik ben zodra ik mijn kaart gebruik. Moeten we dat niet zien als spioneren?
Monitoring: wat is de maatschappelijke norm?
Monitoring is een grijs gebied. Op welk moment is het in je belang dat je wordt gemonitord en wanneer noem je het schending van de privacy? Dit is een politiek heet hangijzer dat Snowden met beide handen aanpakte: we lijken te accepteren dat er op iedere hoek van de straat beveiligingscamera’s hangen, maar een auto in iedere straat waarmee telefoongesprekken worden afgeluisterd, vinden we niet acceptabel.
Uiteraard kun je het begrip ‘monitoring’ op allerlei manieren definiëren. In de wereld van cybersecurity is het vrijwel altijd een juridische voorwaarde voor grote bedrijven, zoals banken, om gebruikers te monitoren die toegang hebben tot hun it-systemen. Hiervoor zijn er verschillende technologische oplossingen, waarbij de focus ligt op privileged users. Dit zijn gebruikers die vrijwel onbeperkte toegang hebben tot de it-systemen; sommigen mogen zelfs gevoelige klantinformatie opslaan.
Dergelijke gevolmachtigde gebruikers worden universeel als de grootste risicofactor voor datalekken gezien. Een korte toelichting: als een gebruiker binnen het bedrijf met toegang tot klantdata besluit om het verkeerde pad op te gaan en, bijvoorbeeld, de data aan criminelen verkoopt, is dat moeilijk te voorkomen. Tegelijkertijd is het voor een inbreker van buitenaf vrij eenvoudig toegang te verkrijgen indien hij een privileged account heeft gehackt.
Security vs. Privacy
Als je over de gevolgen van een datalek bij een groot bedrijf nadenkt, lijkt het een no-brainer om gevolmachtigde gebruikers te monitoren. Is het slim om beveiligingscamera’s te plaatsen bij een kerncentrale? Vanzelfsprekend, want de gevolgen van een ramp zijn onvoorstelbaar. Een veiligheidslek bij een bank mag dan minder dramatisch zijn dan een beschadigde kernreactor, maar het kan desalniettemin net zoveel schade aanrichten.
Maar als je een gebruiker vraagt of hij het leuk vindt dat hij in de gaten wordt gehouden, krijg je waarschijnlijk verschillende antwoorden. Zoals ik eerder al zei: het onderwerp veiligheid versus privacy zorgt voor verdeeldheid. Sommigen zullen antwoorden dat ze niets hebben te verbergen, dus waarom niet? Anderen antwoorden dat ze een big brother afkeuren.
Uiteindelijk, als je ze tegen elkaar afzet, weegt security toch zwaarder dan privacy. Bedrijven willen persoonlijke data beschermen, maar ze willen ook dat privileged users gemonitord worden en wetten zoals de GDPR hebben dat juridische verplicht gemaakt.
Dus ja, we vinden privacy belangrijk, maar vooral de privacy van mensen die overgeleverd zijn aan grote bedrijven en overheden om hun persoonlijke data en identiteit te beschermen. Binnen die grote organisaties hebben privileged users ook rechten, maar feit blijft dat ze een belangrijke sleutel in handen hebben – een sleutel die hun toegang tot klantinformatie verschaft – en daarom in de gaten gehouden moeten worden.
Matthew Ravden, VP bij Balabit
Privacy is iets anders dan absolute geheimhouding.
Privacy is dat u als persoon zelf kan besluiten welke instanties en personen uw gegevens mogen inzien. Met wie u uw informatie deelt en waarvoor deze dan gebruikt mag worden.
Niet ieder inkijken van gegevens is een schending van de privacy, maar wel als de gegevens vervolgens voor zaken gebruikt worden waar geen toestemming voor is.
Helaas worden dit soort blokkades niet uitsluitend gedaan met oogmerk fraudebestrijding. Ik heb zelf meegemaakt dat ik wilde beleggen bij een concurrerend online financieel platform en 2 keer heb moeten bellen om de blokkade van mijn internetbankieren op te heffen. Pas de derde keer was mijn belegging succesvol. (nog steeds goede winst op behaald maar had meer kunnen zijn als mijn bank niet geblokkeerd had).
Aardig verhaal, maar er wordt terloops voorbijgegaan aan het feit dat monitoring niet hetzelfde is als security. Waar je voor security gebruikt kunt maken van gerichte monitoring op specifieke situaties gaan het bij de veelbesproken monitoring door overheden, bedrijven, veiligheidsdiensten om brede ongerichte monitoring van gedrag en communicatie vanuit de optiek – alles willen hebben wat er maar te halen is. dat dat op zich al een groot veiligheidsrisico is wordt dan even vergeten. Om over het vastleggen en uitwisselen van meer dan de strikt – voor een bepaald legitiem doel – benodigde persoonsgegevens. al dan niet in combinatie met de monitoring, maar te zwijgen.