Jij werkt toch voor de AIVD? De vraag van een van de oprichters van Security.nl ging gepaard met een argwanende blik.
Ik dacht even diep na. Ik? Werken voor de geheime dienst? Zelf had ik er nog nooit bij stil gestaan. Als het al zo was dan was het in ieder geval onbezoldigd, want geld had ik nog nooit gezien, laat staan een opdrachtgever. Ik raakte in twijfel, want waarom zou hij dat denken?
Vandaag werd het me duidelijk (txt). Ja, ik werk voor de geheime dienst. En jij, beste lezer, jij ook. Sterker, iedereen in Nederland werkt voor de geheime dienst. Iedereen is informant. En door te bewegen, te spreken, schrijven, drinken, eten, schijten, neuken, liegen, kopen, lezen, kijken en al die andere dingen die je doet om te leven, levert iedereen informatie aan de AIVD. Iedereen is onbezoldigd geheim agent.
Opdat we veilig zijn.
Helemaal mee eens Leon, doordat we graag gebruik willen maken van een efficient telefoonnetwerk, gratis Internet, handige features op de browser en zoveel andere zaken verkopen wij onze persoonsinformatie. Verkopen! Ja, verkopen want daar zit ook de bezoldiging in die jij zocht, want dat levert ons wel degelijk iets op. Functionaliteit, gemak, effecientie, lol. Daar kies ik vaak zelf voor, jij ook, wij allemaal. En de AIVD… ja die put net zo hard uit deze bronnen. Ik vraag mij echter af waarover je je meer ongerust moet maken, de AIVD of andere partijen. Met deze bewustwording wordt keuzes maken inderdaad wat lastiger. Wil je je informatie verkopen? Wil ik wel of geen cookies, wil ik wel of niet bereikbaar zijn met mijn mobieltje, wil ik wel of niet mijn informatie delen via Hyves, wil ik wel of geen airmiles sparen… allemaal jouw keus, onze keus.
We moeten hier twee zaken onderscheiden. De beleidskant en de technische kant. Vandaag de dag technisch zijn we heel goed in staat dit soort informatie te beschermen.Dit kan in huis, maar ook extern wanneer gebruikt wordt van Software as a Service(Saas) met het vastzetten van de juiste contracten.Vanuit de beleidskant moet hier sterk op gestuurd worden. Mogen werknemers de gegevens van het bedrijf op de populaire netwerksites plaatsen?Welke informatie mag wel van de persoon gepubliceerd worden, welke niet. Eerst beleid en dan doorvertalen naar de techniek, waarbij zoals altijd er vele wegen naar rome zijn.
Het enge van de verzamelwoede van een overheid zit hem in defouten die gemaakt worden met gecombineerde gegevens zonderdaadwerkelijke verdenking (in short: profiling).Op mijn publieke Google Agenda staat dat ik 12 april een security-conferentiebezoek te Amsterdam. Maar op Hyves beken ik dat ik daneen geheime afspraak heb met mijn oosterse geliefde uit Londen. Ik reserveervoor die dag een treinticket naar Parijs om haar te ontmoeten.Ik geef je op een briefje dat je verdachte wordt want de genoemde plaatsenen datums van een individu zijn in tegenspraak (THREAT) Door diegebeurtenissen te combineren komen de woorden “security”, “geheime”, “oosters” en “Londen” boven drijven (THREAT!) en natuurlijkis deze combinatie voldoende om ook een treinrit verdacht te maken (ALERT!)Nee, ik ben niet bang dat een AIVD-agent mijn gangen nagaat. Maar weldat ze die agent ontslaan en de analyse door computers laten doen.
Dat de overheid ons overal kan vinden en onze schreden kan volgen is inderdaad deels ook aan ons zelf te danken. We maken maar graag gebruik van de bonuskaart of airmiles om die ‘kortingen’ te kunnen bemachtigen. Dat ons koopgedrag, uitgave patroon en vooral geografische verplaatsing daarmee prijsgeven nemen we op de koop toe. Het College Bescherming Persoonsgegevens heeft nu ook geadviseerd om voor de kilometerheffing gebruik te gaan maken van een ‘dikke’ variant van het registratiekastje in de auto omdat die alle gegevens opslaat en alleen de benodigde informatie die nodig is voor de rekening wordt verstuurd. In tegenstelling tot een ‘light’ variant zonder opslag capaciteit die alle info lukraak doorstuurt naar de heffingsinstantie en dan maar vertrouwen op wat die daar mee doet. Met het voorstel van het CBP wordt de eigenaar zélf instaat gesteld te bepalen wat er met de overige informatie gebeurd. Je kan er dan op wachten dat bijvoorbeeld Shell daar wel weer een korting aan verbind inruil voor je route gegevens Of dat BP wil weten hoe lang je doorgaans stopt bij een tankstation? Maar goed we kunnen er dan wel zélf over beslissen net als bij de bonuskaart.
Tijdens mijn werk bij Avnet word ik dagelijks geconfronteerd met dit soort zaken. De eerste stap ligt altijd bij het beleid. Wat mag wel en wat mag niet? De grote vraag daarna blijft: houdt men zich ook aan dat beleid?Het antwoord op deze vraag hoeft niet eens gegeven te worden als je beleid en regels kunt afdwingen. Denk hierbij bijvoorbeeld aan Safeboot, dat een compleet pakket aan databeveiliging kan leveren. Oplossingen die de data encrypteren of waarmee ongeoorloofd wegschrijven voorkomen kan worden. Ook USB sticks die de data versleuteld opslaan (zodat bij verlies geen belangrijke informatie kan lekken) is een oplossing voor dit probleem. Hiermee voorkom je dus discussies wat wel en wat niet mag. Uiteraard kost zo’n oplossing geld, maar wat kost het niet als er gevoelige informatie op straat ligt?
Als een al wat oudere IT-er kan ik me de discussies rondom het ontstaan van de wet bescherming persoonsgegevens (WPB)nog goed herinneren. De wet geeft aan wat de rechten zijn van iemand van wie gegevens worden gebruikt en wat de plichten zijn van de instanties of bedrijven die deze gegevens gebruiken. Dat de wet al tekort schoot op het moment van bekrachtiging zal geen IT-er ontgaan zijn. Overheid en IT dat zal vanwege de lange besluitvormingsprocessen en kokervisie van de departementen nooit wat worden. Een van de regels van de WPB is dat instanties of bedrijven niet meer gegevens mogen verwerken dan strikt noodzakelijk is voor het doel waarvoor ze zijn verzameld. Hoe moet ik dat interpreteren als ik gebruik maak van Google waar mijn surfgedrag wordt vastgelegd om me zo passend mogelijke advertenties voor te schotelen, waarom moet ik mijn vingerafdrukken en een digitale foto afstaan bij binnenkomst van de Verenigde Staten. Het mobiele telefoonnetwerk traceert waar ik ben, rekening rijden en OV jaarkaart in de toekomst sluiten de mazen van het net nog verder. En u denkt dat deze gegevens allemaal goed beschermd zijn? Ja, ze zijn beschermd tegen U en ik omdat we het geld missen om de beveiliging van deze systemen te kraken, maar dat is dan ook de enige barriere die er is. Misschien werken we daarom allemaal wel voor de AIVD, maar daar heb ik als Nederlander nog iets over te zeggen. Anders is dat met de informatie veelvraten zoals de Verenigde Staten, waar ik maar moet afwachten wie mijn persoonsgegevens beschermt en waar een miljardje meer of minder in het begrotingstekort geen rol speelt. Onze gegevens worden massaal en soms ongecontroleerd en beperkt beveiligd vastgelegd. Iedereen die werkzaam is in de IT beveiliging weet waar de gaten zijn en weet hoe het budget uiteindelijk het beveiligingsniveau bepaald, en niet de hoogte van het afbreukrisico.Daar maak ik me meer zorgen om dan een organisatie beroepssnuffelaars die als ze het te bont maken weer netjes op hun plaats gezet worden. Het zijn de beroepssnuffelaars die we niet op hun plaats kunnen zetten die de grootste bedreiging vormen.