50 opmerkelijke berichten over beleid en securitymissers
In de vijftig jaar dat Computable actief is als vakblad is er steeds meer aandacht uit gegaan naar zaken rond ict-beveiliging, of cybersecurity, zoals het tegenwoordig vaak heet. Al in de jaren ’70 kwam het onderwerp ter sprake, zij het mondjesmaat. Vanaf medio jaren ’80 kwam beveiliging steeds meer in de schijnwerpers te staan en doken de eerste artikelen over hackers op in het ict-vakblad opdoken. Vandaag de dag houdt security de gemoederen van velen flink bezig.
Eind jaren ’70 werden de Verenigde Staten opgeschrikt door een talloze, al dan niet geslaagde pogingen tot computerfraude bij elektronische geldoverdrachtsystemen. Het ging bijvoorbeeld om zogenaamde computeradviseurs die zoveel wisten van de handelingen bij een bank dat zij in staat waren door de interne controle te breken. Bernhard Romberg, toenmalig president van het bancaire netwerk Bankwire, bepleitte op de National Computer Conference in 1979 scherpere interne veiligheidsprocedures met behulp van ‘kryptografische (sic) of soortgelijke technieken…Veiligheid moet starten op de plek waar het proces van geldoverdracht begint’, zo tekende Computable op in een artikel uit de krant van 13 juli 1979.
Term privacy al in de jaren ’70
In de beginjaren van het vakblad verschijnen af en toe artikelen over computercriminaliteit en het beveiligen van systemen. Crimineel gedrag heeft dan vooral nog te maken met frauderende handelingen, gebrekkige fysieke beveiliging en slordig omgaan met het opslaan van gegevens. In relatie tot dit laatste punt, in die tijd bestaat het begrip ‘privacy’ al. De term is overgewaaid vanuit de Verenigde Staten, al wordt er nog spaarzaam aandacht aan het thema gewijd. Dat wordt anders nadat de regering aankondigt op 28 februari 1971 de veertiende algemene volkstelling te willen houden, waarbij computers worden ingezet voor de gegevensverwerking. Dat vinden sommigen een inbreuk op hun persoonlijk leven. Er breekt een discussie los die nu gezien wordt als het eerste brede maatschappelijke debat over privacy in Nederland.
Dat privacy sindsdien op de kaart staat, blijkt bijvoorbeeld bij een Computable-bericht in 1977 over het slordig omgaan met kentekengegevens in het computercentrum van de Rijksdienst van het Wegverkeer in Veendam. Toenmalig hoofdredacteur Ate van Eek constateert bij een bezoek dat ‘een adequate beveiliging van apparatuur en informatie ontbreekt, terwijl er toch privacygevoelige gegevens worden verwerkt… Je loopt gewoon door de hoofdingang langs de vriendelijke portiers naar binnen…Er is in wezen een paradijs voor saboteurs gekreëerd (sic)’, stelt hij vast in een vinnig commentaar.
De computersecurity-functionaris
In de jaren ’80 neemt het aantal artikelen over ict-beveiliging toe, parallel aan het toenemend gebruik van ict, met name na de introductie van de pc en het groeiend aantal netwerksystemen. ‘Het aantal gebruikers van een enkel groot systeem is door de toepassing van netwerken van een handjevol toegenomen tot een vaak honderden, zo niet duizenden’, stelt hoogleraar Bob Herschberg van de TU Delft in 1984 in Computable. Hij vervolgt: ‘Niet alleen de sociale maar ook de geografische controle is hiermee verdwenen. Een gebruiker van een KLM-netwerksysteem kan zich in Alaska bevinden. Echter, waarin de systemen niet zijn meegegroeid is: beveiliging’.
De professor voorziet een nieuw beroep aan het automatiseringsfirmament verschijnen: ‘de computersecurity-functionaris’, die de strijd moet aanbinden met de ‘jeugdige kraker’ die wat betreft moderne technologie een voorsprong aan kennis heeft. Tekenend voor de nakende professionalisering rond ict-beveiliging zijn de eerste handboeken over computerbeveiliging die op de markt verschijnen alsook de opleidingen. In 1983 vindt in de Jaarbeurs in Utrecht de beveiligingsbeurs ‘Security’83’ plaats.
Galactic hackers
De eerste hackers roeren zich in de jaren ’80, zowel activisten en spionnen als criminelen, net als de eerste kwaadaardige virussen. De Amerikaanse computerwetenschapper Fred Cohen schrijft in 1983 – nog als student – een programma op floppy disk dat informatiesystemen viraal kan infecteren en munt het begrip ‘computervirus’. In 1985 weet computerjournalist Jan Jacobs met zijn microcomputer (de eerste generatie pc’s) per telefoon binnen te dringen in de databank van het Rijksinstituut voor de Volksgezondheid en Milieuhygiëne om een discussie over hacken aan te wakkeren. ‘Joyriding op een computer is nog niet strafbaar’, schrijft een advocaat in Computable.
Maar de politiek is wakker geschud en computerbeveiliging komt bij politici op het netvlies te staan. Op 18 november 1988 reageert de Tweede Kamer geschokt op de uitkomst van een vernietigend rapport van de Algemene Rekenkamer over de ondeugdelijke beveiliging van computersystemen bij de dertien ministeries; PvdA en D66 bepleiten – toen al – een parlementaire enquête naar het falen van de overheidsautomatisering. In 1989 komt er een voorstel om computerinbraak in de strafwet op te nemen, alsook privacywetgeving naar aanleiding van de introductie van het sociaalfiscaal (sofi)-nummer (later BSN: Burgerservicenummer) voor elke ingezetenen bij gemeenten. Datzelfde jaar vormde het Amsterdamse Paradiso het decor voor de ‘Galactic Hackers Party’ en de conferentie ICTA (Intercontinental Conference on alternative use of Technology Amsterdam). Amateurs en ‘professionele’ hackers lieten hun kunsten zien en discussieerden over allerlei ethische hackersvraagstukken.
Structurele aandacht
In de jaren ’90 gaat de opkomst van het internet, – toen nog elektronische snelweg geheten – gaat gepaard met beveiligingsincidenten die steeds structureler van aard worden. Bedrijven en overheden beginnen serieus werk te maken van een ict-beveiligingsbeleid. Zo richt Shell een ‘Groep Informatie Beveiliging’ op en stelt het olieconcern een ‘functionaris informatiebeveiliging’ aan. Opvallend is dat er diverse malen inbraakpogingen – overenthousiaste informaticastudenten? – zijn in computercentra van Nederlandse universiteiten, zoals bij de TU Delft, VU Amsterdam, Universiteit van Amsterdam en Rijksuniversiteit Utrecht. Bij sommige hackers spelen ethische motieven een rol. Zoals bij de Australische hacker ‘Dave’ die in 1990 computervredebreuk pleegt bij diverse Amerikaanse universiteiten om naar eigen zeggen ‘de beveiliging van internet te testen’. Met daarbij als extra motief: ‘Vroeger joegen de beveiligingsmensen op hackers, nu zijn de rollen omgedraaid’, aldus een artikel in Computable.
De aandacht voor ict-beveiliging is na de eeuwwisseling alleen nog maar toegenomen. Wie tegenwoordig krant of weekblad opslaat, stuit om de haverklap op artikelen over cybercrime en privacy-issues. Ook bij het grote publiek groeit het bewustzijn over het onderwerp; de digitalisering van de maatschappij maakt dat mensen zich rekenschap geven van de afhankelijkheid van ict. Daarvan is men zich binnen de Europese Unie ook bewust: de inwerkingtreding op 25 mei 2018 van de Europese privacywetgeving – de General Data Protection Regulation (GDPR) – mag als een mijlpaal worden beschouwd.
Dit artikel verscheen in Computable Magazine #2/2018.
Kader 50 artikelen
Een greep uit opmerkelijke artikelen over ict-beveiliging, privacy en securitymissers uit het archief van Computable van de afgelopen vijftig jaar.
1968-1989 13 artikelen:
– November 1970: Frauderen met computer is een vergeten gevaar
– 18 februari 1977: Overheid erg slordig met kentekengegevens
– 13 juli 1979: ‘Geautomatiseerde transaktiesystemen niet altijd veilig’
– 24 februari 1984: Herschberg: ‘Beveiligen? Uithuilen en opnieuw beginnen’
– 22 maart 1985: Joyriding op een computer nog niet strafbaar
– 6 februari 1987: Commerciële spionage VS in EEG mogelijk
– 13 februari 1987: Computerbeveiliging te vaak verwaarloosd
– 18 november 1988: Kamer geschokt over beveiliging computers
– 6 januari 1989: Groen licht voor sofi- en privacywet
– 20 januari 1989: Rekencentra regering VS slecht beveiligd
– 24 februari 1989: NGI: Beveiliging vooral organisatorische zaak
– 14 juli 1989: Inbreken in computer komt in de strafwet
– 27 oktober 1989: Maken van virussen is bijna kinderspel
1990-1999 17 artikelen:
– 30 maart 1990: Vraagtekens bij beveiliging Girotel
– 30 maart 1990: Australiër ‘Dave’ bekent schuld inbraak in Internet netwerk
– 6 december 1991: Inbreker NASA-computer voor de rechter
– 7 februari 1992: Politie arresteert krakers van VU-computersysteem
– 21 februari 1992: Justitieel onderzoek naar misbruik IT neemt fors toe
– 3 april 1992: Shell wil functionaris informatiebeveiliging
– 17 juni 1994: GBA ondanks ‘lek’ door Eerste Kamer
– 3 maart 1995: Meesterkraker Kevin Mitnick loopt tegen de lamp
– 22 december 1995: Beveiligingslek People zou gedicht zijn
– 19 januari 1996: Oude pc’s met vertrouwelijke gegevens Justitie in de handel
– 24 mei 1996: PTT Telecom registreerde wel inbraak telefoonlijnen
– 27 september 1996: Beveiliging gegevens bij politie ver onder de maat
– 14 maart 1997: Cybersnot onthult fundamentele veiligheidsfout Microsoft Explorer
– 18 april 1997: Systemen Belastingdienst onvoldoende beveiligd
– 19 september 1997: CMG dicht door Aktiefront Digitale Privacy ontdekt sollicitatielek
– 6 februari 1998: Het Net biedt gratis toegang tot websites door proxy-fout
-29 januari 1999: Nieuw Java-virus steekt de kop op
2000-2018 20 artikelen:
– 3 januari 2000: Slechts enkele storingen bij eeuwwisseling
– 20 oktober 2000: Offline: Suspense in de ict (identiteitsfraude/oplichting)
– 2 mei 2002: Celstraf voor brein achter Melissa-virus
– 13 januari 2005: T-Mobile geeft toe ‘gehackt’ te zijn
– 27 juli 2007: Apache vaakst misbruikt voor malware
– 20 augustus 2007: Trojans treffen Monsterboard en ABN Amro
– 14 december 2007: Weblek CZ legt klantengegevens bloot
– 8 augustus 2008: DNS-lek maakt internetbankieren onveilig
– 30 september 2010: Stuxnet-worm is elektronische oorlogsvoering
– 5 september 2011: Overheid: Diginotar-hack treft e-aangifte niet
– 7 februari 2012: Eigen werknemer kan ook een vijand zijn
– 9 december 2013: ‘Ruim 3 miljoen malafide Android-apps in 2014’
– 26 juni 2015: Ransomware legt ict Amstelveen plat
– 8 maart 2016: Autoriteit registreert 700 meldingen datalekken
– 1 september 2016: Zelfs koffiemachines hebben cybersecurity nodig
– 18 oktober 2016: UWV: even geen bulkberichten na datalek
– 13 mei 2017: Europol: grootste cyberaanval ooit is gaande (Wannacry)
– 29 juni 2017: Petya-verspreider: liever chaos dan losgeld
– 29 november 2017: Apple probeert lek in MacOS High Sierra te dichten
– 4 januari 2018: Intel-cpu’s blijken kwetsbaar voor hackers