Toon items op tag: Internet

Als organisatie die privacy hoog in het vaandel heeft staan past natuurlijk ook privacyvriendelijke hosting van onze website. Dus draaien de websites van Privacy First (privacyfirst.nl en privacyfirst.eu) sinds deze maand op de servers van Greenhost in Amsterdam. Hier ging een grondige verkenning van buitenlandse mogelijkheden aan vooraf, variërend van hosting vanuit een nucleaire bunker in Zweden tot VPN-tunnels naar Zwitserland en een oud fort in de Noordzee. Greenhost liet deze buitenlandse concurrentie echter ver achter zich door de getoonde klantvriendelijkheid en snelle respons, duurzaamheid en lage kosten voor betrouwbare, veilige hosting met gebruikmaking van Privacy by Design. Zelfs de fysieke locatie is een pré: Greenhost is in Amsterdam gevestigd op een steenworp afstand van Privacy First. Daarnaast is Greenhost al jaren een vertrouwde partner van menige maatschappelijke organisatie, waaronder Bits of Freedom. Wat voor Privacy First echter de doorslag gaf is dat Greenhost zich al jaren een privacy-pionier toont waar menig ICT-bedrijf een voorbeeld aan zou kunnen nemen, ook tegen de politieke waan van de dag in. Zo stopte Greenhost in 2009 met het loggen van emailgegevens en riep andere bedrijven op hetzelfde te doen. Ook schreef Greenhost begin 2011 een praktische handleiding voor de beveiliging van internetverkeer: de Basic Internet Security Manual. Deze initiatieven getuigen niet alleen van lef en leiderschap, maar ook van maatschappelijk verantwoord ondernemerschap in de zin van privacyvriendelijk ondernemerschap. In die zin hebben Greenhost en Privacy First een gedeelde maatschappijvisie. Privacy First ziet de samenwerking met Greenhost de komende jaren dan ook vol vertrouwen tegemoet!

Eerder dit jaar kwam minister Opstelten met het onzalige plan om de politie de bevoegdheid te geven uw computer (in binnen- én buitenland!) te kunnen hacken en tevens van u te kunnen eisen dat u uw versleutelde bestanden in het bijzijn van oom agent ontsleutelt en braaf aan de Staat overdraagt. In het kader van een internetconsultatie liet Privacy First aan de minister weten dat wij een aantal principiële bezwaren tegen zijn plannen hebben:

Excellentie,

Hierbij adviseert Stichting Privacy First u om het concept-wetsvoorstel 'versterking bestrijding computercriminaliteit' in te trekken, en wel om een elftal principiële redenen: 

1. Dit concept-wetsvoorstel vormt in onze optiek een typische bouwsteen voor een politiestaat, niet voor een democratische, op vrijheid en vertrouwen gebaseerde rechtsstaat.
2. Nederland heeft de algemene mensenrechtelijke plicht om het recht op privacy voortdurend te bevorderen i.p.v. te beperken. Door dit wetsvoorstel schendt Nederland deze algemene plicht.
3. Dit wetsvoorstel is niet strikt noodzakelijk (i.t.t. mogelijk “nuttig” of “handig”) in een democratische samenleving. Het wetsvoorstel vormt daarmee een schending van art. 8 EVRM.
4. Door dit wetsvoorstel wordt tevens het verbod van zelfincriminatie (nemo tenetur) met voeten getreden.
5. Function creep (doelverschuiving) is een universeel verschijnsel. Dat zal ook gelden voor dit wetsvoorstel. Het wetsvoorstel legt daarmee de basis voor toekomstig machtsmisbruik.
6. Dit wetsvoorstel zet de vertrouwensrelatie tussen de Nederlandse overheid en de Nederlandse bevolking op scherp. Dit zal leiden tot een maatschappelijk chilling effect.
7. Door dit wetsvoorstel komen klassieke verworvenheden zoals de persvrijheid en journalistieke bronbescherming, klokkenluiders, de vrijheid van meningsuiting, vrije informatievergaring, vertrouwelijke communicatie en het recht op een eerlijk proces ernstig onder druk te staan. Dit is funest voor de dynamiek in een vrije democratische rechtsstaat.
8. Dit wetsvoorstel en bijbehorende technologie zullen worden geïmporteerd en misbruikt door minder democratische regimes in het buitenland. Het wetsvoorstel vormt daarmee een internationaal precedent voor een wereldwijde Rule of the Jungle i.p.v. de Rule of Law.
9. Het wetsvoorstel ontbeert vooralsnog een grondige en onafhankelijke Privacy Impact Assessment.
10. Dit wetsvoorstel creëert een impuls voor suboptimale (door de overheid te kraken, want anders illegale?) i.p.v. optimale (‘onkraakbare’) ICT-beveiliging.
11. De aanpak van cybercrime vergt multilaterale samenwerking en coördinatie i.p.v. unilateraal 'paniekvoetbal' zoals dit wetsvoorstel.

Hoogachtend,

Stichting Privacy First

Vorige week werd bekend dat Amerikaanse geheime diensten (NSA, FBI etc.) in de "strijd tegen terrorisme" vrijwel alle communicatie op het internet monitoren, niet alleen in Amerika maar zelfs wereldwijd. De codenaam voor dit Amerikaanse Big Brother systeem is PRISM. Op jongerenzender FunX werd Vincent Böhre van Privacy First vanmiddag om een reactie gevraagd. Beluister hieronder het hele fragment:

"De reisgegevens van een anonieme ov-chipkaart blijken eenvoudig in te zien: alleen het nummer en de vervaldatum zijn voldoende om iemands gangen te kunnen volgen.

De anonieme ov-chipkaart, waarvan er in Nederland zo'n vijf miljoen in gebruik zijn, blijkt nog minder anoniem dan gedacht. Gebruikers klaagden al eerder over het unieke nummer op de chip, waarmee de kaart na digitaal opwaarderen aan de rekeninghouder is te koppelen. Hiermee zou het bedrijf achter de ov-chipkaart, Trans Link Systems, of de overheid alsnog kunnen achterhalen wie er met welke anonieme kaart reist. Nu blijkt het vooral bij anonieme ov-chipkaarten ook nog eens kinderlijk eenvoudig om iemands reisgedrag op de voet te volgen. Wat betekent dit? Vier vragen over de (niet zo) anonieme ov-chipkaart.

1. Wat is er precies aan de hand?

Via de website http://ov-chipkaart.nl blijk je eindeloos ov-chipkaarten aan je, eventueel anonieme, account te kunnen koppelen. Bij anonieme ov-kaarten heb je daarvoor alleen het kaartnummer en de vervaldatum nodig en die staan beide op de kaart. Na koppeling kan het reisgedrag met bus, tram, metro of trein via de transactieoverzichten vrijwel realtime worden gevolgd. Telkens als iemand in- of uitcheckt is dat te zien op de site, inclusief de locatie waar dat gebeurt. Even het kaartnummer en de vervaldatum van iemands anonieme kaart overpennen is daarvoor voldoende.

Bij persoonlijke ov-chipkaarten is het iets lastiger, maar ook niet onmogelijk. Daarbij moet je ook geboortedatum en postcode invoeren en die laatste staat niet op de kaart. In beide gevallen zijn de kaarthouders niet op de hoogte van het feit dat iemand anders hun reisgegevens kan inzien.

Inzage via de website van de NS is ook mogelijk, al moet de anonieme kaart daarvoor wel eerst fysiek bij een NS-kaartautomaat worden gehouden. Je moet andermans kaart hiervoor dus enige tijd in bezit hebben. Of erop vertrouwen dat die persoon de volgende keer bij de automaat op 'product ophalen' drukt, waarna de koppeling ook wordt voltooid.

2. Wat is hier erg aan?

Dat is maar net hoe je er tegenaan kijkt. Sommige mensen hebben er weinig moeite mee dat het vrij makkelijk is om ongemerkt iemands reisgedrag te volgen.

Anonieme ov-chipkaartgebruiker Edo-Martijn Janssen denkt daar anders over. Hij ontdekte hoe eenvoudig het volgen via http://ns.nl is. Hij maakte voor zijn anonieme ov-chipkaart een account aan onder de naam Pietje Puk die woont op het hoofdkantoor van de NS. Daar koppelde hij via een anoniem e-mailadres vervolgens moeiteloos ov-chipkaarten van gezinsleden aan, wiens reisgedrag Pietje Puk dus allemaal kan volgen. Ook een niet-anonieme kaart kon hij koppelen. Maar daarvoor moest Janssen tenminste nog langs de NS-automaat. Hij is erg verbaasd over de zwakte in de website http://ov-chipkaart.nl, waar kaartnummer en vervaldatum dus al voldoende zijn. ,,Een stalker kan iemand zo ongemerkt volgen. En een inbreker kan zien wanneer iemand van huis is. Ik noem maar wat voorbeelden", zegt Janssen. Maar dan moeten ze wel ooit die ov-chipkaart gezien hebben om het nummer en de vervaldatum te weten. Janssen: ,,Dat klopt. Dichter bij huis kan je bijvoorbeeld denken aan de partner die op deze manier makkelijk te volgen is, een werkgever die werknemers controleert wanneer ze zich ziek melden, of ouders die hun kinderen bespioneren."

3. Wat vinden privacydeskundigen hiervan?

,,Ik sta hier wel van te kijken", zegt Ronald Leenes, hoogleraar regulering door technologie aan de Universiteit van Tilburg. ,,Zo zie je dat zelfs de meest elementaire zaken rondom privacy fout kunnen gaan." Zijn Tilburgse collega Corien Prins, hoogleraar recht en technologie, is het met hem eens. ,,Dit zou niet moeten kunnen." Maar tegelijkertijd noemt ze het ,,niet het grootste privacyprobleem van het moment". Prins: ,,Ik hoop niet dat we het nu allemaal weer over de ov-chipkaart gaan hebben, terwijl we een fundamentele discussie moeten voeren over hoe ver we willen gaan met het inleveren van privacy. Als je bijvoorbeeld ziet wat er straks allemaal mogelijk is met gezichtsherkenning via camera's; daar zou ik het liever over hebben."

Bij de stichting Privacy First zijn ze wel boos over het gevonden privacylek bij http://ov-chipkaart.nl. ,,Het is een schande dat ieders reisgegevens zo makkelijk te traceren zijn. Wij nemen deze kwestie hoog op en verwachten snelle maatregelen van de verantwoordelijke ov-bedrijven, bijvoorbeeld een e-mailbericht bij koppeling van je ov-kaart aan andermans account. Dit toont weer aan dat privacy niet iets is wat je achteraf even makkelijk toevoegt. Wij pleiten voor privacy by design, vanaf het begin rekening houden met privacy. En dat is bij de ov-chipkaart nooit gebeurd."

4. Wat zegt Trans Link Systems?

Volgens een woordvoerder van het bedrijf achter de ov-chipkaart en http://ov-chipkaart.nl is het op verzoek van consumentenorganisaties ook voor bezitters van anonieme ov-kaarten mogelijk gemaakt om online transacties in te zien. Dat ze daardoor ook makkelijk te volgen zijn is daar volgens haar de consequentie van. ,,We weten verder niets van die mensen. We kunnen ze bij het inloggen dus alleen vragen om hun kaartnummer en de vervaldatum."

D66-Kamerlid Stientje van Veldhoven heeft staatssecretaris Wilma Mansveld (Infrastructuur, PvdA) ondertussen gevraagd welke stappen zij gaat zetten om de ov-chipkaart privacybestendiger te maken. De woordvoerder van Trans Link Systems zegt dat het bedrijf in reactie hierop nu onderzoekt of het ,,wenselijk en technisch mogelijk is om het systeem aan te passen"."

Bron: NRC Handelsblad 7 mei 2013, p. 27 (Economie). Auteur: Wilmer Heck.

"Meer dan 40 organisaties en experts uit binnen- en buitenland schrijven een open brief aan minister Opstelten waarin zij wijzen op de gevaren van het zogenaamde 'terughacken'. "Niet acceptabel."

Veertig internationale organisaties en individuen die zich inzetten voor de digitale burgerrechten doen een appel op minister Opstelten om af te zien van het plan om de politie het recht te geven terug te hacken bij cyberdreigingen en in de opsporing naar (cyber)criminelen. "Ondanks dat uw doel, het bestrijden van cybercrime, prijzenswaardig is, is de oplossing niet acceptabel", schrijven de ondertekenaars in een brief.

Zelfs als het alleen binnenlands wordt gebruikt beperkt het binnendringen van computers de privacy van de verdachte, maar daarnaast ook nog eens van alle niet-verdachten waarvan informatie op de bewuste computer staat, vinden de ondertekenaars. "U heeft niet aangetoond dat uw voorstel noodzakelijk en proportioneel is."

Risico's voor het wereldwijde internet

Aan de andere kant brengt het voorstel wel risico's met zich mee betreffende cybersecurity en "het wereldwijde internet", menen de experts. Volgens hen zou het voorstel overheden prikkelen de beveiliging van informatietechnologie zwak te houden door kwetsbaarheden niet meer te delen en die juist uit te buiten voor eigen doeleinden. "Dat brengt miljoenen onschuldige computergebruikers in gevaar."

Mocht het inbreken in andermans computers ook over de grens gebeuren, zullen de complicaties van het voorstel alleen nog maar toenemen. Het breekt de wet in een ander land en is dus illegaal, daarnaast schendt het de soevereiniteit van andere landen.

Andere landen volgen Nederland

"Het probleem wordt nog groter doordat andere landen waarschijnlijk het voorbeeld van Nederland gaan volgen en dat leidt tot een situatie waarin landen de eigen wetten gaan handhaven op buitenlandse computers, in plaats van te investeren in internationale samenwerking in handhaving."

Daarbij zal het uiteindelijk ook gaan om het najagen van politieke tegenstanders, journalisten en dissidenten, schrijven de mensenrechtenactivisten, waarbij aanvallen op computers worden gedaan vanwege blasfemie, haatzaaien, homoseksualiteit of inbreuken op het copyright. Daarbij wijzen de ondertekenaars op de gebruikers van het Tor-netwerk, "die zich kunnen uitspreken zonder vrees voor vervolging. Het zullen juist deze gebruikers zijn die doelwit worden zonder juridische bescherming van het land waar ze verblijven."

Bruce Schneier en Richard Stallman

De brief is onder meer ondertekend door Bruce Schneier en Richard Stallman, de Nederlandse organisaties Bits of Freedom, Vrijbit, Free Press Unlimited, Internet Protection Lab, Humanistisch Verbond, Privacy First, Ouders Online en Vrijschrift en onder meer de buitenlandse organisaties Chaos Computer Club (Duitsland) EDRi (Europa), EFF (VS), La Quadrature du Net (Frankrijk), Netzpolitik (Duitsland) en de Tor Project (VS)."

Bron: Webwereld, 4 december 2012.

"Meer regelgeving is niet de oplossing in de strijd tegen cybercriminaliteit. De overheid moet juist investeren in meer expertise, stelt Bits of Freedom in een notitie die ook door onder anderen verschillende professoren van Nederlandse universiteiten, het Humanistisch Verbond en Stichting Privacy First is ondertekend.

De notitie is bedoeld als achtergrondinformatie voor een overleg in de Tweede Kamer begin december over het cybersecuritybeleid. Volgens Bits of Freedom laat de overheid zich op dit gebied te veel leiden door incidenten. "De overheid mist visie op wat goed cybersecuritybeleid omvat. Bovendien dreigt het internet door extreme voorstellen in plaats van veiliger juist ónveiliger te worden."

Volgens de organisatie komen de meeste veiligheidsproblemen door simpele 'kwetsbaarheden', die eenvoudig kunnen worden opgelost. Zo zouden er minder privacygevoelige gegevens moeten worden opgeslagen, zoals vingerafdrukken, telefoongegevens en verkeersgegevens. "Met beginselen als dataminimalisatie of decentralisatie kunnen we het volgende datalek voorkomen, simpelweg omdat er niets of niet genoeg te lekken valt."

Ook moet worden geïnvesteerd in kennis en capaciteit bij de overheid en politie, vindt Bits of Freedom. "De overheid beschikt nu vaak niet over voldoende kennis en capaciteit om adequaat te reageren op cybersecurityincidenten en de bestaande bevoegdheden effectief te gebruiken."

Verder zou de overheid het goede voorbeeld moeten geven door minder afhankelijk te zijn van externe partijen en door internetters structureel voor te lichten over hoe zij hun eigen veiligheid kunnen verbeteren."

Bron

"Een aantal organisaties, wetenschappers en activisten onder leiding van burgerrechtenbeweging Bits of Freedom roept het kabinet op om bij het maken van cybersecurity-beleid aandacht te hebben voor grondrechten. Ook transparantie is belangrijk, vinden de organisaties.

Beleid voor digitale beveiliging moet ook grondrechten respecteren, zo is te lezen in het document, dat uitgangspunten en maatregelen voor digitale beveiliging bevat. Naast Bits of Freedom hebben andere burgerrechtenorganisaties als Privacy First en Vrijschrift zich achter het stuk geschaard, maar ook de Nederlandse branchevereniging van hostingproviders, de HCC en het Humanistisch Verbond. Ook een groot aantal wetenschappers en mede-Xs4all-oprichter Rop Gonggrijp steunen het stuk.

Volgens de ondertekenaars raken cybersecuritymaatregelen 'al gauw aan grondrechten'. "Zo beperkt een internet-killswitch de communicatievrijheid", schrijven ze, "en maakt massale surveillance van internetverkeer ernstige inbreuk op de privacy. Dat is onacceptabel." Daarnaast vragen ze om aandacht voor persoonsgegevens. "Cybersecurity gaat ook over een belangrijk onderwerp: de bescherming van de meest waardevolle en intieme informatie van burgers en bedrijven."

Vergaande maatregelen leiden bovendien niet tot gegarandeerde veiligheid, beweren de ondertekenaars. "Veiligheid is per definitie de uitkomst van een kosten-batenafweging", zo is te lezen. Volgens hen moeten bepaalde digitale risico's geaccepteerd, omdat de kosten om ze te voorkomen 'te hoog zijn, zowel in euro's als in de aantasting van onze individuele vrijheid'.

De ondertekenaars pleiten er verder voor dat het cybersecurity-centrum van de Nederlandse overheid en het College bescherming persoonsgegevens krachtiger kunnen optreden. Ook moet er volgens hen bij de overheid daarom worden geïnvesteerd in kennis en mankracht op het gebied van cybersecurity en zouden bedrijven meer informatie over digitale incidenten moeten uitwisselen."

Bron

Stichting Privacy First organiseert regelmatig een netwerkborrel met een prominente spreker rond een actueel thema. Zo organiseerden wij in september dit jaar een avond met het Hoofd van de AIVD. Op 22 oktober jl. was het de beurt aan een spreker uit de wereld van cyber security. Spreker was ditmaal de heer Wil van Gemert, Directeur Cyber Security van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV, ministerie van Veiligheid en Justitie). Als discussie-moderator hadden wij onderzoeksjournalist Brenno de Winter ingeschakeld. Klik HIER voor de uitnodiging aan onze relaties. Wilt u voortaan ook een uitnodiging ontvangen? Mail ons! Hieronder volgt een verkorte weergave van de lezing en de discussie met het publiek:

Introductie Privacy First

Voorzitter Bas Filippini geeft een korte inleiding op het werk van Stichting Privacy First en introduceert Wil van Gemert en Brenno de Winter. Filippini memoreert dat de overheid steeds meer verwacht dat burgers alles digitaal doen. Met name ouderen en mensen met principiële bezwaren raken hierdoor in de knel. Tegelijkertijd krijgt de overheid steeds meer bevoegdheden om in het digitale privédomein van de burger te kunnen meekijken. Een actuele ontwikkeling op dit terrein is het plan van minister Opstelten om computers van burgers te kunnen gaan hacken. Privacy First is fel tégen dit plan, onder meer vanwege de schending van het briefgeheim. De overheid hoort de privacy van de burger te waarborgen. In die zin hebben Privacy First en de overheid hetzelfde doel, weliswaar vanuit verschillend perspectief. De hackplannen van Opstelten dreigen de privacy – en daarmee de democratie – echter af te breken. Filippini geeft vervolgens het woord aan Wil van Gemert.

Trends in cyber security

De heer Van Gemert dankt Privacy First voor de uitnodiging en trapt af met een komisch reclamefilmpje over spraakverwarring; klik HIER. Evenals in het filmpje draait het bij cyber security om vertrouwen, kennis en bewustzijn. Daarnaast draait het om het vinden van de juiste balans tussen taken en verantwoordelijkheden. In zijn lezing zal Van Gemert achtereenvolgens ingaan op huidige trends in cyber security, de taken van de overheid, publiek-private samenwerking, het Cyber Security Beeld Nederland, en "security versus privacy?": is hier sprake van een tegenstelling of vult e.e.a. elkaar juist aan? En wat zijn de actuele uitdagingen? Bij cyber security draait alles om de vertrouwelijkheid, betrouwbaarheid, integriteit en continuïteit van gegevens in de digitale informatiesamenleving. Een eerste wereldwijde trend die Van Gemert hierbij signaleert is ‘Big Data’: de enorme hoeveelheid data die voortdurend opgeslagen wordt en die dagelijks toeneemt. Hoe kunnen we daar op een goede manier mee omgaan? Een tweede trend is hyperconnectiviteit: het aantal digitale (internet)verbindingen neemt exponentieel toe. Zo ontstaat een “Internet of Things”. Nederland heeft de één na hoogste internetdichtheid ter wereld; dat geeft Nederland op dit terrein een bijzondere positie. Een derde trend is het verdwijnen van grenzen, zowel in tijd en afstand als qua werk/privé. Deze trends vereisen een verandering in zowel de manier waarop bedrijven zakendoen als de rol van de overheid bij het waarborgen van een veilige samenleving. Deze trends hebben ook invloed op mensen, op consumenten, bijvoorbeeld door de nieuwe mogelijkheden van mobiele telefonie. Big Data kan worden gebruikt om real-time, heel gericht een commerciële aanbieding te doen aan een individu, bijvoorbeeld een reisverzekering als je op Schiphol bent. Op de vraag van Van Gemert hoeveel aanwezigen in de zaal dit een prettig idee vinden gaan echter nul handen omhoog. Van Gemert zelf vindt het ook geen prettig idee: je privacy wordt hierdoor geschaad, je krijgt het gevoel dat je gevolgd wordt. Relatief veel jongeren lijken het echter prima te vinden.

Invloed van social media

Een belangrijk aspect bij cyber security is mobiliteit: bedrijven willen hun klanten overal kunnen bereiken en werknemers zijn steeds minder gebonden aan een vaste werkplek bij hun werkgever. Voor bedrijven, politieke partijen en de overheid worden ook social media steeds belangrijker om te weten wat er in een markt of maatschappij speelt. Een interessante casus is het recente incident met Vueling Airlines, waarbij het radiocontact verloren ging en men enige tijd rekening hield met een mogelijke kaping. Sinds 2001 is de procedure dat een dergelijk vliegtuig (‘renegade’, SPF) begeleid wordt door F16’s. Stel echter dat alle passagiers aan boord gaan twitteren dat er niets aan de hand is, hoe ga je daar dan mee om als overheid? Dat zijn vragen die momenteel bij de overheid spelen. Een ander aspect heeft betrekking op de rol van de overheid: van een monopoliepositie naar een meer afhankelijke rol. Het grootste deel van de cyberinfrastructuur is immers in handen van bedrijven. Daarnaast is er een autoriteitsvraagstuk: social media hebben invloed op de mate waarin een overheidscampagne wel of niet aanslaat bij een bevolking. Een recent voorbeeld is de overheidscampagne voor inentingen tegen baarmoederhalskanker. Een volgend aspect is dat cyber security ‘community driven’ is: de gemeenschap maakt zichzelf eigenaar van een bepaald probleem, bijvoorbeeld bij het Dorifel-virus. Die gemeenschap bestaat uit onderzoekers, relevante bedrijven, hackers etc. Deze ‘community’ kan soms helderheid rond een bepaalde kwestie verschaffen, anders dan bijvoorbeeld bij klassieke opsporing waarbij de regie bij de overheid ligt. Bij veel bedrijven is het digitale IQ echter nog laag; het is voor de overheid dan ook een uitdaging om het digitale IQ bij bedrijven te verhogen, aldus Van Gemert.

Gebrek aan security-concept in cyberspace

Nederland is een land van zeeën en dijken: als het water doorsijpelt bouwen we er een dijk omheen. Die klassieke manier van crisisbeheersing (containment, ofwel indammen) is in cyberspace bijna onmogelijk. Bedrijven weten vaak niet waar hun data zich precies bevindt, hoe het met elkaar verbonden is en welk effect het heeft als er ergens uitval is. Naast de menselijke factor kennen platforms, applicaties en infrastructuren allemaal hun eigen problemen, en door de interactie tussen die vier niveaus wordt een securityprobleem vaak heel omvangrijk. In de fysieke wereld kennen we een safety-concept; denk bijvoorbeeld aan de veiligheidsregels op een bouwplaats. Maar geldt er in cyberspace ook een security-concept? En welke rollen hebben de overheid, de private sector en de burger daarin? Momenteel is dat nog onvoldoende helder. Op de snelweg gelden bepaalde veiligheidseisen en verkeersregels. Maar iedere burger kan ook een computer kopen en onbeveiligd de digitale snelweg op.

Publiek-private samenwerking

Sinds anderhalf jaar heeft Nederland een Nationale Cyber Security Strategie. Onderdeel daarvan was de installatie van een Cyber Security Raad: een onafhankelijk adviesorgaan voor de overheid. In de Nationale Cyber Security Strategie is onder meer afgesproken dat Nederland jaarlijks een Cyber Security Beeld Nederland van dreigingen en actoren maakt. Verder is er sinds begin 2012 de operationele directie binnen de NCTV, die uit twee onderdelen bestaat: 1) het Nationaal Cyber Security Centrum, NCSC (dat onder meer als expertisecentrum fungeert) en 2) een beleidscluster (dat onder meer de beantwoording van Kamervragen en vragen vanuit de private sector ondersteunt). Uitgangspunt hierbij is publiek-private samenwerking; zo ontstaan nieuwe coalities met nieuwe vormen van participatie tussen de overheid en het bedrijfsleven, maar ook met belangenorganisaties. In de Cyber Security Raad en in het NCSC participeren zowel de overheid als private partijen en deskundigen. Een onderwerp waar men zich bijvoorbeeld gezamenlijk mee bezighoudt is cloudcomputing. Tevens heeft het NCSC sinds kort een ICT Response Board; bij deze publiek-private samenwerking kan een groep mensen uit de overheid en het bedrijfsleven bij incidenten en crisissituaties worden opgeroepen ter advies en assistentie. Daarnaast zijn er op verschillende terreinen ISACs: Information Sharing and Analytical Committees, bijvoorbeeld voor de vitale infrastructuur op het terrein van energie, water, financiën etc. Ook dit is publiek-private samenwerking.

Dreigingen in cyberspace

Cyber security staat de laatste tijd volop in de actualiteit en uit negatieve incidenten komen soms positieve initiatieven voort. Zo was er een unaniem verzoek van de Tweede Kamer om een meldpunt security breaches op te richten. Van Gemert vertelt in dit verband het volgende: “De Diginotar-affaire heeft duidelijk gemaakt dat de volgende vraag relevant is: wat kan de overheid in het geval van een crisis? Hoe kan de overheid een bedrijf dat een essentiële rol vervult, verplichten om mee te werken om te voorkomen dat maatschappelijke ontwrichting ontstaat en de maatschappij schade lijdt? Hebben wij die mogelijkheden überhaupt? Onze conclusie in juli dit jaar was bevestigend, indien we de noodtoestand zouden kunnen verklaren op een cyberincident.” Verder zou niet alleen geïnvesteerd moeten worden in de detectie van datalekken, maar ook in de juiste response hierop, aldus Van Gemert. De rol van de overheid richt zich daarbij op coördinatie, communicatie en consultatie. In juli dit jaar verscheen het tweede nationaal Cyber Security Beeld van dreigingen, doelwitten en actoren. De grootste dreiging gaat uit van buitenlandse overheden (spionage) en cybercriminaliteit. In tegenstelling tot wat veel mensen denken gaat van cyberterrorisme vooralsnog een kleinere dreiging uit. Verder kan de samenwerking tussen ‘hacktivisten’ en buitenlandse statelijke actoren (lees: geheime diensten) tot zorgen leiden.

Privacy & security

Over de verhouding tussen privacy en security stelt Van Gemert dat er wat hem betreft "geen privacy zonder security bestaat. Als je geen security organiseert, zul je uiteindelijk ook geen privacy hebben. Je moet wel degelijk maatregelen nemen om ervoor te zorgen dat je privacy beschermd wordt. Zowel privacy als security hebben belang bij elkaar. Informatiebeveiliging op dat terrein en afspraken daaromtrent zijn dus noodzakelijk. Ook ter bescherming van de privacy publiceren we vanuit het NCSC dagelijks adviezen over kwetsbaarheden die bedrijven en burgers zouden kunnen raken. Onze website www.waarschuwingsdienst.nl is erop gericht om burgers beter bewust te maken en te wapenen tegen dreigingen. Wij zijn echter geen toezichthouder; we kunnen niets opleggen. Wij kunnen slechts adviseren en best practices aandragen. Tussen 12 en 22 november as. zal de overheid samen met private partners 10 dagen lang aandacht besteden aan ‘awareness’ via de campagne Alert Online. Deze campagne is zowel op het bedrijfsleven als op burgers gericht.”

Van Gemert benadrukte tenslotte nog het belang van digitale grondrechten en de zelfredzaamheid van burgers door kennis en bewustwording. Voor de discussie met het publiek poneert Van Gemert drie onderwerpen: 1) Hoe verhouden security en vrijheid zich conceptueel tot elkaar? En kan security ook zorgen voor privacy? 2) Wat is de rol van Privacy First? Is dat altijd in de oppositie, of ook in een coalitie? 3) Wat is de rol in cyberspace van onze handhavende en toezichthoudende instanties, bijvoorbeeld de politie? Wat is hun rol bij individuele noodhulp en handhaving in cyberspace?


Discussie met het publiek

Hoewel Van Gemert niet verantwoordelijk is voor cyber crime, is hij desondanks bereid om namens het ministerie van Veiligheid en Justitie ook daarover het een en ander te zeggen. Op een vraag vanuit het publiek over de internationale consequenties die ‘ingrijpen’ in cyberspace vanuit Nederland kan hebben antwoordt Van Gemert dat het concept van virtualiteit vraagt om een andere benadering dan een territoriale benadering indien onduidelijk is waar een bepaalde server zich bevindt. Hij maakt hierbij een vergelijking met de vroegere ontwikkeling van het zeerecht in internationale wateren. Verder zou wellicht het land waar de schade optreedt het aanknopingspunt moeten vormen qua jurisdictie. Eenduidige antwoorden bestaan op dit terrein echter nog niet; de nationale en internationale regels terzake zijn nog niet helder. Brenno de Winter benadrukt dat Nederlandse hacking-activiteiten in het buitenland een gevaarlijke internationale precedentwerking kunnen hebben. Wat indien een land als Iran zich dezelfde bevoegdheden toebedeelt? Door anderen in het publiek wordt deze zorg gedeeld.

Een andere vraag in het publiek heeft betrekking op publiek-private samenwerking als bij Diginotar. Ook wordt gerefereerd aan Israëlische tapcentrales in Nederland. Maakt Nederland zichzelf hiermee niet ontzettend kwetsbaar? Van Gemert antwoordt dat deze vraag voor de overheid sinds de Diginotar-affaire inderdaad prominent is geworden. Op de kwestie van tapcentrales wil hij echter niet ingaan, aangezien hij hier niet beleidsmatig bij betrokken is. Hierna wordt vanuit het publiek opgemerkt dat, bij de publiek-private samenwerking op het terrein van cyber security, Nederlandse maatschappelijke organisaties structureel buiten de deur worden gehouden. Ook De Winter merkt op dat het NCSC door velen gezien wordt als een onbereikbare vesting waar je niet gehoord wordt. Van Gemert antwoordt hierop dat vanuit het NCSC wel degelijk contact met belangenorganisaties wordt gezocht. De vraag is daarbij ook welke rol die belangenorganisaties willen hebben: oppositie of coalitie? “Ik ben ervan overtuigd dat wij nieuwe vormen van samenwerking moeten zoeken tussen overheid, bedrijfsleven, burgers én belangenorganisaties, die ervoor zorgen dat onze samenleving veiliger wordt. Het zoeken van dat contact is ook de reden dat ik hier sta,” aldus Van Gemert. Een andere vraag vanuit het publiek gaat over detectie van hack-pogingen. In hoeverre wordt dit door de overheid aan bedrijven uitbesteed? Van Gemert antwoordt hierop dat de overheid zelf detecteert aan de hand van verkeersgegevens (niet op content) voorzover het de vitale (overheids)infrastructuur betreft; bij bedrijven is dergelijke detectie aan die bedrijven zelf. Vanuit het publiek wordt in dit verband opgemerkt dat de overheid ook een rol zou kunnen gaan spelen om per bedrijfssector relevante kennis en ervaring bij elkaar te brengen. Een andere opmerking vanuit het publiek heeft betrekking op het eerder veronderstelde gebrek aan internationale regelgeving: waarom conformeert Nederland zich niet aan het reeds bestaande Verdrag van Boedapest over Cybercriminaliteit en waarom worden de mogelijkheden van dit verdrag onvoldoende benut? Verdere opmerkingen gaan over samenwerking tussen Nederlandse gemeenten, de banken en telecomsector. Ook wordt gevraagd hoe groot de dreiging van cyber warfare is en hoe Nederland zich hierop voorbereidt. Van Gemert refereert hierop aan cyber als het “fifth battlefield” na de vier domeinen land, zee, lucht en ruimte. Dit is een reëele ontwikkeling; inmiddels zijn er zo’n 20 landen die er de capaciteit voor hebben. In Nederland wordt veel bezuinigd, maar op cyberterrein wordt bij Defensie juist geïnvesteerd. Bij cyber war speelt overigens ook een nieuw toerekeningsvraagstuk: welk land veroorzaakt de schade en hoe moet ik hierop reageren? Tijdens de discussie wordt tevens gerefereerd aan de US Patriot Act en de risico’s van opslag van gegevens in de cloud. “Denk goed na over wat je in de cloud zet”, adviseert Van Gemert. Hierna rijst vanuit het publiek de vraag in hoeverre de overheid de bescherming van persoonsgegevens als vitaal beschouwt voor onze infrastructuur, in hoeverre de overheid oog heeft voor de risico’s van identiteitsfraude en -diefstal door de koppeling van persoonsgegevens aan BSN-nummers, of men de inhoud van het WRR-rapport iOverheid onderschrijft en of het uitroepen van een cyber-noodtoestand gelijk staat aan een ramp- of oorlogssituatie waarbij reguliere wetgeving kan worden opgeheven met alle privacyrisico’s van dien. Verder wordt opgemerkt dat een politiebevoegdheid om computers van burgers te kunnen hacken impliceert dat computergegevens van burgers ook ongemerkt zouden kunnen worden veranderd en vervolgens tegen diezelfde burgers zouden kunnen worden gebruikt. Van Gemert antwoordt dat persoonsgegevens essentiële, kritieke data zijn die goed beschermd dienen te worden. Naast bedrijven dienen ook burgers zelf dit zich meer te realiseren. Wat een noodtoestand betreft antwoordt Van Gemert dat die zelfs bij de watersnoodramp van 1953 niet werd afgekondigd. Op cyberterrein is geen aanvullende, nieuwe wetgeving voor een noodtoestand noodzakelijk. De bestaande wetgeving voor een noodtoestand kan alleen in een uiterste situatie toegepast worden. Een volgend discussiepunt betreft de jarenlange afhankelijkheid van de Nederlandse overheid ten opzichte van Microsoft: waarom duurt deze situatie (met bijbehorende privacyrisico’s) immer voort? Desgevraagd verduidelijkt Van Gemert vervolgens zijn eerdere opmerkingen over een cyber-noodtoestand: die kan niet worden ingeroepen indien sprake is van een incident, maar slechts indien sprake is van maatschappelijke ontwrichting op grote schaal. Vervolgens wordt vanuit het publiek gevraagd in hoeverre de overheid de verantwoordelijkheid heeft om geen wetgeving en beleid te maken die door andere landen kan worden gekopieerd en misbruikt, net zoals bepaalde dual use apparatuur niet door bedrijven aan bepaalde landen mag worden geleverd. Van Gemert antwoordt hierop dat voor bepaalde goederen inderdaad VN-sanctielijsten bestaan; de AIVD controleert daarop. Een vrij internet in het buitenland wordt met name ondersteund door het ministerie van Buitenlandse Zaken. In het algemeen geldt verder dat je als democratische samenleving altijd een morele guideline hebt waarlangs je dient te opereren. Hierna komt de discussie in het publiek weer terug op het punt van een eventuele overheidsbevoegdheid om in het buitenland te kunnen hacken. Vormt toestemming van een rechter-commissaris in dat kader voldoende waarborg tegen misbruik? Elders in het publiek wordt opgemerkt dat bij het tappen van telefoongesprekken de rechter-commissaris tegenwoordig een soort stempelmachine is. Ook wordt gesteld dat er eerder door Van Gemert te gemakkelijk werd gesproken over vijf domeinen van oorlogvoering. In het internationale recht gelden van oudsher slechts drie oorlogsdomeinen: land, zee en lucht. In de ruimte geldt sinds de jaren 70 het principe van peaceful use of outer space. Waarom dan niet ook een vergelijkbaar, nieuw principe van peaceful use of cyberspace?

Ter reactie op een vraag over de waarborging van privacy antwoordt Van Gemert dat hij waarde hecht aan helderheid over wat wel en niet mag. Middels opsporingsbevoegdheden kan soms ook juist iemands onschuld worden aangetoond. De uitdaging is het vinden van de balans tussen cyber security en privacy, aldus Van Gemert. Vervolgens wordt vanuit het publiek gewezen op de gevaren van koppeling van persoonsgegevens en function creep. Daarnaast is onze democratische rechtsstaat geen statisch gegeven. Houdt men hier bij de overheid rekening mee? Van Gemert herhaalt hierop dat de uitdaging ligt in het vinden van de juiste balans. Ook wordt de roep vanuit het parlement om nieuwe wetgeving na een incident niet altijd opgevolgd door de overheid, bijvoorbeeld bij terrorismewetgeving en noodwetgeving. Vanuit het publiek wordt vervolgens opgemerkt dat voor een huiszoeking een huiszoekingsbevel nodig is, wat controleerbaar is voor de burger. Die controleerbaarheid ontbreekt bij het hacken van een computer. Van Gemert antwoordt dat die controle voor de burger vaak ook ontbreekt bij tappen of observeren, zeker als het niet tot een zaak voor de rechter komt. De Winter merkt in dit verband op dat bestaande notificatieplichten evenmin worden nageleefd door de overheid. Vanuit het publiek wordt aangevuld dat door alle registratie ook de onschuldpresumptie van burgers onder druk komt te staan. Hierdoor verandert de maatschappij en gaan mensen zich conformeren aan een ‘alziende overheid’. Van Gemert benadrukt hierop nogmaals dat "privacy en security niet zonder elkaar kunnen". In zijn optiek zijn dit soort discussies belangrijk om hierover meer helderheid te krijgen en stappen vooruit te kunnen zetten. Tenslotte benadrukt Van Gemert nogmaals het belang van een security-concept in cyberspace met voldoende aandacht voor privacy.

Tenslotte

De Winter geeft het laatste woord aan Stichting Privacy First. Voorzitter Bas Filippini dankt Van Gemert voor de open hand die hij vanavond aan de oppositie heeft aangereikt. In de optiek van Privacy First zijn dit soort discussies cruciaal. De laatste jaren was er te weinig sprake van dialoog met de privacybeweging, kwam er steeds meer overheid en steeds minder burgerparticipatie. Privacy First gaat dan ook graag in op de uitnodiging om onderdeel te kunnen worden van de coalitie. “Wij zullen een luis in de pels zijn, maar daar moet je tegen kunnen,” zo eindigt Filippini.

Op 22 oktober as. vindt onze eerstvolgende "themaborrel" plaats ten kantore van Stichting Privacy First in het voormalige Volkskrantgebouw aan de Wibautstraat in Amsterdam. Als vervolg op de recente lezing door het Hoofd van de AIVD hebben wij Wil van Gemert uitgenodigd om nader in te gaan op het onderwerp cyber security. De heer Van Gemert is Directeur Cyber Security van de Nationaal Coördinator Terrorismebestrijding en Veiligheid en zal voor ons een lezing verzorgen op het snijvlak van veiligheid en privacy in cyberspace. Wat houdt cyber security precies in en wat zijn de actuele uitdagingen en dilemma’s? Wat is de rol van de overheid ten aanzien van de ontwikkelingen op het gebied van cyber security? En hoe kan de balans tussen privacy en security gevonden worden? Onderzoeksjournalist Brenno de Winter treedt tijdens de avond als moderator op. Tijdens de lezing is er volop ruimte voor vragen en discussie met het publiek. Hierna begeven wij ons naar de borrel in café-restaurant Canvas met muziek door DJ Wong featuring DJ Broky B.

Klik HIER voor de uitnodiging aan ons netwerk (pdf). Wegens grote belangstelling hebben wij besloten deze avond een semi-openbaar karakter te geven. Iedereen is dus welkom. Graag ontvangen wij Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken. een bevestiging van uw komst!

Datum: maandag 22 oktober 2012, aanvang 19.30u. Inloop vanaf 19.00u.
Locatie: Wibautstraat 150, 1091 GR Amsterdam. Lezing en discussie op begane grond (Grote Zaal), gevolgd door borrel op 7e verdieping (Canvas). Een routebeschrijving vindt u hier.

Update 6 november 2012: klik HIER voor ons verslag van de avond.

Steeds vaker worden beelden van inbrekers, relschoppers en hooligans door burgers op internet geplaatst. Wat vindt Privacy First daar eigenlijk van? Beluister hieronder een interview met Privacy First medewerker Vincent Böhre op RTV Oost: