Odido: ’transparantie’ als mistmachine

De afgelopen maand wordt het een na het andere datalek bekend. Ikzelf ben er van minstens één medeslachtoffer: dat van Odido. Klanten ontvingen deze week een uitgebreide mail over de cyberaanval door ShinyHunters. De toon is warm, persoonlijk en ernstig. In de eerste paragraaf wordt gezegd dat ze me graag "persoonlijk willen meenemen in wat er is gebeurd, wat we hebben geleerd en wat we precies gaan doen (en al doen) om verder te gaan". Maar er wordt uiteindelijk zo goed als niets in de mail en de video gezegd. Het bericht bestaat grotendeels uit zinnen die tegelijk professioneel klinken en vrijwel niets betekenen. Odido “blijft investeren in beveiliging”. Odido “blijft open over wat we leren”. Odido “blijft extra ondersteuning bieden”. Alles blijft, ook al was dat wat blijft in het verleden duidelijk geen garantie. Dus wat wordt er precies geleerd? Hoe helpt die extra ondersteuning ons tegen het al gebeurde datalek? Wat er concreet misging blijft opmerkelijk vaag. Wat er precies gedaan wordt om het in de toekomst te voorkomen ontbreekt grotendeels of is zo vaag dat het alles kan betekenen. Dat is ergens indrukwekkend. Een telecombedrijf weet een complete mail over een enorm beveiligingsincident te schrijven zonder daadwerkelijk uit te leggen welke beveiliging faalde, welke systemen kwetsbaar waren, welke keuzes verkeerd uitpakten of welke structurele maatregelen nu zijn genomen. Het woord “transparantie” valt meerdere keren, terwijl de tekst zelf vooral uit abstracte mist bestaat. Zelfs de periode van stilte, die door veel mensen onbegrijpelijk werd gevonden, wordt gladgestreken. De communicatie was volgens Odido namelijk tijdelijk “minder zichtbaar en direct”, omdat eerst het onderzoek moest worden afgerond. Natuurlijk. Alsof die radiostilte een vorm van zorgvuldigheid was. Ook de hack zelf wordt handig geabstraheerd. Er is sprake van “steeds complexere cyberdreigingen”, alsof het bedrijf werd getroffen door extreem weer, en er allemaal ook niets meer . Een soort digitale natuurramp waar niemand echt iets aan kon doen. Daarmee verdwijnen alle ongemakkelijke vragen uit beeld. Hoeveel gegevens werden te lang bewaard en waarom? Hoeveel werd er mogelijk bespaard op beveiliging? Hoe lang bestonden kwetsbaarheden al? Welke interne afwegingen speelden mee? Welke waarschuwingen zijn eerder genegeerd? Over hoeveel weken wordt Odido weer gehackt? In plaats daarvan krijgen klanten een CEO-video en gratis toegang tot een beveiligingsdienst. Leuk, maar iets wat totaal los staat van het lek, en niks opgelost zou hebben. Dat voelt ongeveer alsof je een nieuw slot krijgt aangeboden terwijl net je huis is afgebrand. Het interessante aan dit soort mails is dat ze vooral gaan over het gevoel rond het lek, nauwelijks over het lek zelf. Het draait om vertrouwen, verbinding, betrokkenheid en herstel. Het datalek verandert zo van een technisch en organisatorisch falen in een communicatiemoment. Een reputatievraagstuk, waar je misschien als organisatie nog iets uit kan halen. Ondertussen weet ik als klant nog steeds helemaal niets.

Door: Foto: MVStudio on Pixabay
Foto: EU2017EE Estonian Presidency (cc)

Oostenrijkse oud-premier verkoopt Israëlische cybersecuritysoftware

, door

De Oostenrijkse regering wil WhatsApp en Telegram monitoren. Minister van Binnenlandse Zaken Gerhard Karner van de Oostenrijkse Volkspartij (OVP) vertelde dinsdagavond dat “de politie momenteel geen manier heeft om te zien wat terroristen en extremisten doen in berichtenprogramma’s.” Staatssecretaris Jorg Leichtfried van de Sociaaldemocratische Partij van Oostenrijk (SPO), coalitiepartner van de OVP, ziet in het initiatief geen gevaar voor massasurveillance. Het gaat er vooral om dat de bevolking het gevoel krijgt dat het veilig is in het land. Bij de liberale coalitiepartner NEOS zijn er nog wel zorgen over de nieuwe wet. Mocht het allemaal doorgaan dan zijn er wellicht nieuwe kansen voor oud-kanselier Sebastian Kurz om zich in te zetten voor de veiligheid van zijn land. Hij is tegenwoordig zakenpartner van de Israëlische ondernemer Shalev Hulio, de ontwerper van Pegasus, de beruchte spyware waarmee overheden journalisten en dissidenten hacken. Met hun nieuwe bedrijf Dream Security proberen ze vooral in autoritair geregeerde landen klanten te vinden voor hun cybersecuritysoftware. Kurz is als oud-premier met zijn netwerk daarbij van bijzonder grote waarde, schrijft Follow the Money.

Sebastian Kurz werd eind 2021 gedwongen om af te treden vanwege een corruptieonderzoek. Vorig jaar kreeg hij acht maanden voorwaardelijk vanwege meineed in deze affaire. Er loopt nog een andere zaak. De Oostenrijkse justitie vermoedt dat Kurz en zijn team met belastinggeld valse peilingen hebben gekocht. Ook zouden ze pogingen hebben gedaan om positieve publiciteit in de media te kopen. Direct na zijn ontslag als bondskanselier trad Kurz in dienst van het investeringsbedrijf Thiel Capital in Silicon Valley in de VS. De multimiljardair en libertariër Peter Thiel is een van Trumps  beste vrienden. In die kringen hebben Hulio en Kurz nu ook de investeerders gevonden voor hun nieuwe bedrijf Dream Security. Ook Hulio is nog in rechtszaken verwikkeld vanwege zijn rol in NSO, het bedrijf dat de Pegasus software ontwikkelde.

Steun ons!

Mededeling

De redactie van Sargasso bestaat uit een club vrijwilligers. Naast zelf artikelen schrijven struinen we het internet af om interessante artikelen en nieuwswaardige inhoud met lezers te delen. We onderhouden zelf de site en houden als moderator een oogje op de discussies. Je kunt op Sargasso terecht voor artikelen over privacy, klimaat, biodiversiteit, duurzaamheid, politiek, buitenland, religie, economie, wetenschap en het leven van alle dag.

Om Sargasso in stand te houden hebben we wel wat geld nodig. Zodat we de site in de lucht kunnen houden, we af en toe kunnen vergaderen (en borrelen) en om nieuwe dingen te kunnen proberen.

Foto: Frédéric Poirot (cc)

Achterdeurtjes

, door

OPINIE - Het is de natte droom van ieder machtspoliticus: mee kunnen kijken in alle (digitale) communicatie. Het stond al op het verlanglijst van Duitsland en het VK. Australië legde het al daadwerkelijk vast in wetgeving. En nu wil minister Ferd Grapperhaus het ook: via de achterdeur toegang tot allerlei communicatiediensten.

Steevast is het argument dat we de slechteriken – terroristen, criminelen en ander gespuis – moeten kunnen vangen. Dat speelt namelijk goed in op het sentiment van veiligheid. Niemand wil worden opgeblazen. Niemand wil worden beroofd. Niemand wil het slachtoffer worden van een verkrachting. Dus een beetje privacy opofferen kan geen kwaad toch? Het is een effectieve redenering waar veel mensen gevoelig voor zijn en dus makkelijk in meegaan. Het is echter ook een te simplistische redenering.

Doel van encryptie

Het fenomeen encryptie bestaat niet voor niets. Encryptie is bedoeld om informatie uit handen van anderen te houden. Of het nu om het beveiligen van communicatie gaat, het beveiligen van banksystemen of het beveiligen van nucleaire installaties, het doel is altijd hetzelfde: ongewenste indringers buiten de deur houden. Niemand wil de veiligheid daarvan op het spel zetten.

Het klopt dat ook de minder frisse figuren in onze samenleving gebruik maken van beveiligde communicatie. Maar dat is geen reden om de beveiliging dan maar wat te verminderen. Criminelen en terroristen maken ook gebruik van geld, wegen, scholen, bibiotheken en supermarkten. Die schaffen we toch ook niet af?

Foto: エン バルドマン (cc)

Laat je smartphone maar thuis

, door

ANALYSE - Vanaf komend voorjaar worden gemeenten vanuit de VNG verplicht om een wethouder verantwoordelijk te maken voor informatiebeveiliging. Deze afspraak moet worden vastgelegd in het coalitieakkoord. De verwachting is dat door de toenemende mate van ketensamenwerking het aantal normen en compliancy-eisen de komende jaren verder zal toenemen.

Op het vlak van informatiebeveiliging wijken ambtenaren niet veel af van de gemiddelde consument, zo bleek in november 2013 uit een onderzoek van de inspectie SZW. Gemeenten, maar ook andere overheden, hebben echter meer nodig dan alleen een security officer.

Ondanks richtlijnen en controle bleek het gebruik van vertrouwelijke informatie binnen gemeenten niet op orde te zijn. Het Suwi-inkijk-incident in november 2013 is daar een voorbeeld van. Gemeenten, het UWV en Sociale Verzekeringsbank wisselen voor de uitkeringsverstrekking en handhaving persoonsgegevens uit via Suwinet. Daarin zijn gegevens in te zien over inkomsten, uitkeringen, autobezit, diplomagegevens en examenresultaten. Gemeenten moeten maatregelen treffen tegen het raadplegen van persoonsgegevens van burgers zonder goede reden. Uit een inspectie kwam naar voren dat slechts vier procent van de gemeenten voor het gebruik van Suwinet voldoende beveiligingsmaatregelen heeft getroffen. 13 procent van de gemeenten voldoet aan geen van de onderzochte normen voor informatiebeveiliging. De Inspectie constateerde tijdens het onderzoek dat dertien van de tachtig onderzochte gemeenten (= 18 procent) in 2012 gegevens van bekende Nederlanders hebben geraadpleegd, zonder dat hiervoor een goede reden is gegeven. In 2012 zijn via Suwinet 112 miljoen keer gegevens uitgewisseld.

Lezen: Bedrieglijk echt, door Jona Lendering

Mededeling

Bedrieglijk echt gaat over papyrologie en dan vooral over de wedloop tussen wetenschappers en vervalsers. De aanleiding tot het schrijven van het boekje is het Evangelie van de Vrouw van Jezus, dat opdook in het najaar van 2012 en waarvan al na drie weken vaststond dat het een vervalsing was. Ik heb toen aangegeven dat het vreemd was dat de onderzoekster, toen eenmaal duidelijk was dat deze tekst met geen mogelijkheid antiek kon zijn, beweerde dat het lab uitsluitsel kon geven.

Foto: Merrill College of Journalism Press Releases (cc)

Bij twijfel gewoon doen

, door

OPINIE - Altijd en overal online is de standaard. Mobiliteit betekent meer apparaten, meer locaties, meer apps en meer connecties. Tot 2019 groeit het wereldwijde dataverkeer met 45 procent, aldus het Mobility Report van Ericsson. Het aantal abonnementen groeit jaarlijks met zo’n zeven procent, eind 2013 waren er 4,5 miljard mobiele abonnees. Het werk gaat mee in de broekzak en met wereldwijd bijna een miljard tablets in gebruik wint het paperless office steeds meer terrein. Toepassingen als SharePoint, ERP, CRM of gepersonaliseerde HR-platforms worden in hoog tempo mobiel beschikbaar gemaakt.

Ondertussen moet overal de connectiviteit meegroeien. Wi-Fi – ik test het vaak als ik op bezoek ben bij bedrijven – is vaak goed beveiligd, maar wanneer je te gast bent bij een bedrijf, is beveiligde WiFi-toegang nog lang niet altijd standaard. Het stopcontact in de lobby, ook niet standaard, is over het algemeen beter beveiligd.

Informatiebeveiliging hobbelt er achteraan. Dit jaar wordt wellicht de discussie geopend (of verbreed) over cybersecurity, en misschien komt er wel een campagne die de digitale weerbaarheid van burgers moet vergroten. Dat zou tijd worden, want de risico’s van mobiel werken zitten namelijk niet in de devices, de applicaties en apps, maar in de gebruikers, zo laten onderstaande cijfers uit verschillende onderzoeken zien:

Overheid kán burgers niet beschermen op het Internet

, door

OPINIE - Politici pretenderen dat ze onze vrijheid, eigendommen en veiligheid kunnen beschermen. Dat lukt ze misschien heel aardig in de fysieke wereld, maar online absoluut niet. De burger moet zelf het heft in handen nemen, stelt IT-jurist Kees de Vey Mestdagh. Dit stuk verscheen eerder op Sociale Vraagstukken.

Over minder dan vier jaar maakt de Interneteconomie in de EU naar verwachting gemiddeld 5,7 procent van het Bruto Binnenlands Product (BBP) uit, en is de waarde ervan twee keer zo groot als de economie van Griekenland nu. In sommige landen zoals Engeland loopt de waarde van de Interneteconomie waarschijnlijk op tot ruim 10 procent van het BBP. Online valt veel geld te verdienen, óók door de overheid via belastingheffing. Alle reden om in gejuich los te barsten dus, of misschien niet?

Digitale wereld heeft geen baas

Alvorens te gaan jubelen, dienen overheden zich te realiseren dat ze geen baas zijn in de digitale samenleving en haar niet op traditionele wijze kunnen besturen, door wetten en regels uit te vaardigen. En misschien nog wel belangrijker: ze kunnen er evenmin de vrijheid, eigendommen en veiligheid van hun burgers garanderen.

Om met het eerste te beginnen: de vrijheid van gebruikers van het Internet wordt niet tot nauwelijks beschermd door de afspraken die overheden in internationale verdragen hebben vastgelegd. Het recht op vrije informatiegaring, de vrijheid van meningsuiting en de privacy van miljarden Internetgebruikers worden daardoor voortdurend met voeten getreden en de Verenigde Naties, de Europese Unie en de Verenigde Staten hebben geen effectieve juridische middelen om dat te voorkomen. Recente voorstellen voor wetgeving gericht op verbetering van deze situatie zoals de Global Online Freedom Act (GOFA) in de VS zullen weinig effect sorteren. Dat komt doordat economische belangen de boventoon voeren en zorgvuldig van de promotie van vrijheidsrechten zijn gescheiden.

Volgende