Erkende digidisrupties zoals blockchain, robotisering en internet of things vragen om hernieuwde aandacht voor beveiliging. En dan zet de wetgever ook nog druk. Jammer genoeg is het nastreven van dataveiligheid vechten tegen de bierkaai.
Het was een mooie tijd, 1986. Ik studeerde af, huwde en ging de automatisering in. Bij RAET, de koning van het mainframe. Het RAET-mainframe was de ultieme datakluis, alleen verbonden met domme terminals. En als de data en de beschikbaarheid echt belangrijk waren, was er een uitwijk-mainframe. Maar sommige van mijn collega’s hadden de sleutel van de kluis. Een vriendelijke collega, wiens naam ik kwijt ben, liet mij eind 1986 ongevraagd zien wat mijn salaris per januari 1987 zou worden. Daarna volgde de anekdote van klant X die jaarlijks de convocaties voor haar jaarvergadering liet afdrukken. Onderdeel van het printritueel was dat alleen mensen van de klant bij de printer mochten komen, waarna namen van de interessantste grootaandeel houders de ronde deden. (Ik zeg niks.) Kortom, elektronisch vastgelegde data en security gaan vanouds niet goed samen.
In diezelfde tijd werd voor het eerst de bevolkingsadministratie geautomatiseerd. De beslissers hadden nog herinneringen aan de Tweede Wereldoorlog en hoeveel plezier de bezetter had gehad aan ons puike bevolkingsregister, dus de data moesten bij de gemeenten blijven. Als mainframe-adept kon ik de redenering niet goed volgen, maar ik wist toen nog niets van de bijzondere denkwereld van ambtenaren. Zoals bekend heeft onze overheid net honderd miljoen weggegooid aan een mislukte poging tot data-centralisatie en dat zegt evenveel over de veranderde kijk op data(bescherming) als over het toenemende onvermogen om werkende systemen te ontwikkelen.
In die goede oude tijd is geheid van alles gebeurd dat nooit naar buiten is gekomen. Zo hoorde ik eens van een EDP-auditor dat in de jaren negentig de complete basisregistratie van het toenmalige Gak (een voorloper van het UWV) zou zijn ontvreemd. Van die database met minstens zes miljoen werknemers moeten een paar mensen erg rijk zijn geworden, maar de pers heeft het nooit gehaald.
Ergens begin deze eeuw is het denken over databescherming en privacy omgeslagen. Ik zag het van nabij bij de overheid toen ik in 2007 de grote centrale loonaangiftedatabase, de polis-administratie bouwde. Die enorme, superomvangrijke database twintig miljoen loonaangiften per maand met tientallen financiële details van veertien miljoen mensen werd probleemloos op een database van het Amerikaanse IBM gestald. In Brussel. Tien jaar daarvoor zou zoiets ondenkbaar zijn geweest. Bedenk ook dat toen al lang en breed de Patriot Act was ingevoerd. Onder die wet is IBM te dwingen om de Amerikaanse overheid een kopie af te staan. Als ze in de VS ook maar half snappen wat je met die informatie kunt doen aan terreurbestrijding en economische spionage, dan is dat vermoedelijk al gebeurd. En mochten presidenten als Bush junior en Obama al terughoudend zijn, dan is Trump dat beslist niet. Toch maakt bijna niemand zich hier in Nederland druk om.
Dezelfde achteloosheid zien we bij het reguliere gegevensgebruik. Die loonaangiftedatabase is in te zien door tienduizenden ambtenaren via een mechanisme dat Suwinet-inkijk heet. Daarmee zit er een enorm gat in onze privacy. Elke keer wanneer er een audit plaatsvindt blijkt weer dat ambtenaren gevoelige gegevens bekijken van mensen met wie ze professioneel niets van doen hebben. Dat blijft ook zo want de logging is zo zwak opgezet dat de pakkans minimaal is. Vrijwel niemand die het boeit.
Tien jaar geleden was de Belastingdienst op het gebied van datasecurity overigens nog een witte raaf. Er werd daar goed gelogd en actief gecontroleerd of medewerkers buiten hun boekje gingen. Sinds begin dit jaar weten we dat dit ook voorbij is. Zembla zond toen de documentaire ‘Prutsen en pielen zonder pottenkijkers’ uit. De Belastingdienst blijkt een afdeling Data & Analytics te hebben opgezet niet met IBM maar met het eveneens Amerikaanse Accenture waarin vrijelijk en zonder controle wordt gegrut in alle data waarop de Belastingdienst de hand kan leggen. Net als bij Suwinet inkijk zijn er al overtredingen gesignaleerd, maar niemand kan uitsluiten dat niet al hetzelfde is gebeurd als in de jaren negentig bij het Gak: een massale datadiefstal. Wat de zaken nog veel enger maakt, is dat de Belastingdienst er niet voor terugdeinst allerlei gedragsdata te verzamelen. Het begint met parkeerdata – kentekenparkeren vinden ze daar top! – maar is ten principale onbegrensd. Niemand houdt de Belastingdienst tegen om kentekenregistraties per camera op te slaan of om tv-kijkgedrag en energieverbruik te gaan registreren. We zijn allang allemaal verdacht.
Als lezer van dit magazine gaat uw aandacht wellicht uit naar al die technische uitdagingen rond datasecurity: hacking, internet of things, robotisering, wetgeving. Daarmee is niets mis, maar kunnen we het ook eens hebben over onze mentaliteit en over datahygiëne? We moeten technisch moderniseren, maar een paar stappen terug naar onze vroegere mentaliteit op datagebied is even belangrijk.
(Deze bijdrage is afkomstig uit Computable Magazine, editie 06/2017.)
William Binney de voormalig 2e man van de NSA heeft al herhaaldelijk aangegeven dat de NSA een niet te stillen datahonger heeft en zoveel mogelijk data wil hebben. Zoveel zelfs dat ze nieuw woord voor meer opslag hebben moeten verzinnen om het taalmatig weer te kunnen geven. Hun meest grote centrum heeft zelfs waterkoeling nodig en dumpt het warme water in de nabij gelegen rivier.
Ik vind het een beetje jammer dat het artikel begint met … ‘digi(!?!) disruptie’ en ‘vechten tegen de bierkaai’ Niet om de commaneuker ineens uit te hangen…
Disruptie: 1) uiteenrukking of uiteenscheuring; ontwrichting (2) ontwrichting
Al vanaf het prille begin van het tegengestelde hanteren van dit verfoeilijke woord i.c.m. digitalisering en alles wat digitaal is, kan dit hlemaal niet in de eerste plaats en in de tweede plaats, digitaliseren is een exacte materie met een exacte bepaling en bedoeling en waarom zou je hetgeen je beoogt en bedoeld, uit elkaar trekken of onderbreken? Mocht je er professioneel even over na willen denken sdtaat dit net zo idioot/raar als de politicus die dom papagaait,’ ik heb gezegd wat ik heb gezegd….’ Het is in ieder geval NIET iets wat je wil zien gebeuren en zeker niet binnen ons professionele vakgebied.
‘Vechten tegen de bierkaai…’
Vanaf het begin van de commerciele automatisering, is nadenken over een te leveren dienst of produkt, in het verlengde van de geest van ‘EXACT’ het nadenken over veiligheid en beveiliging. Dat was/is gewoon een onderdeel van je werk. Natuurlijk, ik weet ook wal dat we kijken naar een verbreed digitaal landschap en natuurlijk, soms vergeet je wel eens een feature te implementeren en een vinkje aan te zetten ergens. Natuurlijk snap ik best wel dat bandaag de dag je pas weet dat er weer eens een ‘loophole’ is gevonden door een hacker, dat die eerst en te na uitgebreid wordt gedeeld met medehackers ter exploitatie maar…. dat betekend niet dat je dan zou moeten stellen dat het het vechten tegen de bierkaai zou betreffen.
Akte van onvermogen….
Natuurlijk weet ik wel dat er steeds meer professionals zijn die ‘vinden/menen’ dat security toch vooral elders moet worden belegd, als het maar niet bij hun is en dat zij dus hun onvolkomen ‘exacte’ producten en diensten met al die manco’;s met dit ‘excuus’ aan kunnen bieden.
Voor die professionals heb ik goed nieuws.
In de eerste plaats ben ik tegenwoordig niet meer alleen, of als een van de weinig, de mening toegedaan dat ‘EXACT’ eveneens betekend, te voorzien, als zodanig word geinterpreteerd. Ook doen steeds meer rechters dit door te stellen dat je als leverancier ook zoiets hebt als zorgplicht, waar security een eenvoudig deel van uit maakt. Je komt bij een rechtzaak aan met je afnemer niet meer weg met …. ja eheeeee…. mijn afnemer weet toch ook wel dat de security vechten tegen de bierkaai is …. waarom zou ik moeite doen op security vlak als dit algemeen bekend gegeven is….? Ziet u het voor zich? Dat gaat nogal wat betekenen voor o.m. al die cagemini’s, centrics, yachts, huxleys, atossen en andere leveranciers van producten en diensten.
Exact is exact en daar hoor namelijk ook het gedegen nadenken over product en diensten beveiligen bij. Als ik deze publicatie belees stop ik meteen bij die eerste twee uitganspunten. Disruptie, in de zin dat dat iets is wat je te allen tijde dient te voorkomen in je vakgebied en secutiry, vechten tegen de bierkaai….
De rest van het artikel ….. geloof ik dan wel ….