Open IT Security congres Alt-S is openbaring

Dinsdag 22 januari werd het Open IT Security event gehouden in de Koninklijke Bibliotheek. Een congres dat door vrijwilligers georganiseerd werd en voor iedereen toegankelijk was die wat meer wil weten over beveiliging. Met gevarieerde onderwerpen, aansprekende sprekers en gratis toegang was het ook absoluut de moeite waard. En er liepen niet alleen maar nerds rond in Linux t-shirts, de pakken waren zelfs ruim (over)vertegenwoordigd.

Keynote Henk Krol

Met die 50-plussers is het hack van de dam

De eer om te openen viel ten beurt aan de fractieleider van 50PLUS, niet echt het prototype van een hacker. Toch mag Henk Krol zich voor een meervoudige strafkamer verantwoorden voor het lekken van medische gegevens. De keynote ging echter niet alleen over de hoe en wat maar vooral de waarom, welke rol volksvertegenwoordigers hebben in het verbeteren en beschermen van de privacy van de burger. Want de wijze waarop de misstanden bij het Brabantse bloedlab Diagnostiek in eerste instantie afgedaan werden is geen incident.

Brenno de Winter – Fundamentele bezwaren bij de cybersecuritystrategie

De noodzaak van bronbescherming bij data openbaring

Ook Brenno de Winter is als journalist namelijk bekend door spraakmakende openbaringen van lekken. Hij ging in zijn verhaal vooral in op de wijze waarop met deze bekendmakingen en de  bekendmakers van beveiligingsproblemen omgegaan wordt. Hierbij stelde De Winter verwijtende vragen over rol van NCSC, de rechtsongelijkheid en trok hierbij zelfs een vergelijk met de film ‘Das Leben der Anderen’. Hij luidde in zijn presentatie dus vooral de klok over de ronduit slechte bescherming van klokkenluiders en het gebrek aan transparantie. 

Arda Gerkens – Veiligheid en privacy

Meldpunt tegen boeren met persoonsgegevens

HCC-directeur en oud-parlementariër Arda Gerkens wees op de vele webformulieren die vaak onnodig veel persoonlijke informatie vragen. Hoewel deze gegevens onder de wet bescherming persoonsgegevens vallen is beveiliging vaak slecht geregeld. Zo wordt er informatie gevraagd zonder een geldige reden en wordt lang niet altijd gebruik gemaakt van een beveiligde verbinding. Verder maakte ze ook bekend dat HCC hiervoor een meldpunt heeft ingericht.

Chris Nickerson – Tactical Surveillance: Look at me now!

Omgekeerde vormen van business intelligence

Hoewel Chris Nickerson iets verlaat was maakte hij het wachten met zijn presentatie meer dan goed. De ceo van Lares liet namelijk zien wat er allemaal mogelijk is met het rechercheren in open bronnen. Het ‘big data’-walhalla voor de hacker (of de bedrogen echtgenoot). Naast de mogelijkheden van sociale media voor social engineering liet hij ook nog zien welke andere surveillance apparatuur in elkaar geknutseld kan worden met onderdelen van de RadioShack of HobbyKing. Spioneren kan dus duidelijk ook met een kleine beurs en is daarmee niet alleen voorbehouden aan overheden.

Matthijs Koot – Hoe anoniem is anoniem?

Wetenschappelijk bewijs dat de anonimiteit in Amsterdam groter is dan op Terschelling

Het opvragen van informatie uit de GBA van zestien gemeenten door Matthijs Koot voor onderzoek leidde tot kamervragen. Hoewel het om 2,7 miljoen burgers ging, waren het echter alleen ‘anonieme’ gegevens zoals postcode, leeftijd en geslacht. Dat uiteindelijk met deze quasi identifiers, zeker in kleine gemeenten, de persoon geïdentificeerd kan worden is iets om rekening mee te houden bij het anonimiseren van bijvoorbeeld medische gegevens of beantwoorden van enquêtes. 

Bart Drewes – Werken aan de digitale veiligheid

Hoe belangrijk vinden gemeenten de digitale veiligheid van burgers

Als informatiekundige werkt Bart Drewes bij de Vereniging Nederlandse Gemeenten en vertelde over de problemen met DigID en andere uitdagingen in de informatiebeveiliging bij gemeenten. VNG heeft hier lering uit getrokken en per 1 januari de informatiebeveiligingsdienst opgericht die bekostigd wordt uit het gemeentefonds. Doel is vooralsnog om bewustzijn te vergroten, hoewel een groot aantal gemeenten het beschermen van gegevens blijkbaar nog niet op de agenda heeft staan.

Iftach Ian Amit – Sexy Defense

De aanval is de beste verdediging

De directeur van IOactive, Iftach Ian Amit, begon zijn verhaal met een mooi vergelijk van middeleeuwse oorlogsvoering. Een toepasselijke metafoor als we ons passief blijven verschuilen achter de (vuur)muren en aanvallen afwachten. Actieve bescherming vereist ook niet alleen verkenning maar net zo goed defensieve aanvallen door bijvoorbeeld de hacker te hacken. Maar de vraag hierbij is, net als bij het beschermen van je huis, wat allemaal toegestaan is. 

Tot slot

Hoewel alle presentaties natuurlijk ondersteund werden door bijpassende praktijkvoorbeelden heb ik me met bovenstaande hopelijk tot de kern van de informatie beperkt. Verder waren er ook interessante ‘wandelgang’-discussies waarbij de hier verkregen informatie natuurlijk onder de insiders blijft. Bij deze wil ik ook de vrijwilligers bedanken voor het mogelijk maken van dit event en de sponsoren om het te bekostigen.