PRISM is Prima

NSA SealWe zijn deze week weer van onze stoel gevallen toen Edward Snowden de klokkenluiders top tien binnenwandelde met de onthullingen over het informatie-verzamelen van de NSA. De Obama regering is in verlegenheid gebracht, maar vanwege 9/11 ook niet meer dan dat.

In Engeland kwamen de kamervragen en nadat de Telegraaf onthulde dat ook onze eigen AIVD gretig de informatie uit PRISM gebruikte rolden onze volksvertegenwoordigers over elkaar heen om een spoeddebat aan te vragen om zo te waken over onze privacy.

De verantwoordelijk minister, Opstelten, deed de zaak onderkoeld af door te zeggen dat er geen mededelingen gedaan worden over de werkwijze van de AIVD. Saillant detail in het  interview was de zinsnede dat “de AIVD langs de kaders van de wet” opereert. Ik interpreteer dat als buiten en niet binnen die kaders, maar dat volledig terzijde.

logo-aivdSoms krijg ik het gevoel dat we in Nederland een wat oubollig, romantisch beeld hebben van onze inlichtingendienst. Stoffige bebrilde mannetjes die de hele dag door de krantenknipsels doorspitten. Het verzamelen van informatie is Core business voor de inlichtingendienst en al jaren doen ze dat met de meest geavanceerde technieken.

In de tijd dat wij allen nog op de MSX met bandjes spelletjes deden scande de inlichtingendienst al dagelijks duizenden lokale, regionale en landelijke kranten uit alle hoeken van de wereld en paste daar geavanceerde datamining op toe door gericht op combinaties van trefwoorden te zoeken. Anno 2013 is het niet veel anders. De krant is internet geworden en wij met zijn allen leveren de informatie aan voor de inlichtingendienst.

In zijn artikel op HP de Site merkt Brenno de Winter op dat de verzamelde informatie mogelijk als handelswaar kan worden aangemerkt voor de inlichtendienst. Vanzelfsprekend doet het oude adagium “kennis is macht” hier opgeld. Natuurlijk vind er uitwisseling van informatie plaats, maar dan wel ” langs de kaders” van de wet en niet als commerciële handelswaar.

Zorgwekkender is de ontwikkeling van de Commerciële Inlichtingendienst. Daar waar het doel van het verzamelen van informatie door de AIVD nog gebeurd vanuit het perspectief van staatsveiligheid, opereren de grote marketing kantoren met min of meer dezelfde methoden uit puur winstbejag en verzamelen ze precies dezelfde informatie .

Los van wat standaard “Intelligence” activiteiten als telefoontaps en emailscans is het leeuwendeel van de verzamelde informatie niets meer en niets minder dan door u en mij op het internet gepubliceerde informatie gecombineerd met een aantal andere openbare bronnen. Op dezelfde manier hebben de marketingbureaus enorme databanken aangelegd waarin bijgehouden wordt hoeveel u verdient, waar u woont, wat uw interesses zijn, wat uw lievelingskleur is enzovoorts om u op het juiste moment te kunnen verleiden met op maat gesneden advertenties.

Binnen de kortste keren zijn de zoekalgoritmes in staat om uw stemming af te lezen uit uw tweets en gaan we over op moodvertising, reclame op basis van uw stemming. Uit uw online gedrag weten ze wanneer u toe bent aan een borrel, en wat uw favoriete borrel is weten ze al lang.

Naast de enorme databanken van de reclame-industrie zien we tegenwoordig ook steeds meer dat criminelen zich richten op profiling, het samenstellen van enorme dossiers met allerlei details over mogelijke slachtoffers. Maar niemand die zich daar druk over lijkt te maken…

Tenslotte is Nederland toch het braafste jongetje van de klas…

Laten we dan maar afsluiten met PRISM is Prima, en focus je op de databanken die voor commerciële en criminele doeleinden gebruikt worden.

Cyberaanvallen ING inleiding faillissement Online Dienstverlening

DDoS aanval op ING

Foto ANP

Ruim een week geleden schudde Nederland op zijn grondvesten. Er was iets misgegaan bij  de verwerking van een bestand waardoor de klanten van de ING verkeerde saldo informatie kregen. Maar daarna begonnen de problemen pas echt. Er zijn tenminste vier cyberaanvallen uitgevoerd op de ING, maar het lijkt alsof we ons om het laatste minder zorgen maken. Wij zijn vooral boos omdat de bank haar digitale zaakjes niet op orde heeft.

Hoewel de aanvallen zich nu toespitsen op de ING zijn ook de betalingsdienst iDeal en andere banken getroffen door een of meerdere DDoS aanvallen waarbij er zoveel verkeer gegenereerd wordt dat de servers het aantal aanvragen niet meer aankunnen en daardoor stilgelegd worden. Het is dus geen echte inbraak. Dus waar maken we ons druk over?

Voor ons als consumenten is zo’n DDoS aanval alleen maar lastig. We kunnen niet altijd inloggen, en onze overboekingen moeten we maar even uitstellen. Voor de detailhandel is het meer dan lastig. Zo stelde de branchevereniging Thuiswinkel.org deze week dat de online winkels door de cyberaanvallen op de ING tientallen miljoenen euro’s schade lijden. Voormalig commandant der strijdkrachten Dick Berlijn voorspelt dat we in de toekomst meer van dit type aanvallen kunnen verwachten en volgt er een top tussen de ministers Opstelten van Justitie en Dijsselbloem van Financiën.

Oppervlakkig bekeken zijn de aanvallen alleen maar lastig, maar als we dieper kijken naar de oorzaken dient de vraag zich aan wat wij als consument belangrijker vinden: Betrouwbare real time saldo informatie of een betrouwbare portemonnee. De cyberaanvallen van deze week tonen aan dat de IT infrastructuur van banken zeer kwetsbaar is.

Deels is dit het directe gevolg van de financiële crisis waarbij in 2008 en 2009 veel projecten bij banken zijn stilgelegd. Nog steeds wordt er bij projecten vooral naar het rendement gekeken, en niet naar de veiligheid omdat dit een kostenpost lijkt te zijn. In het Business Continuity Management ligt de nadruk vooral nog op de interne beschikbaarheid van systemen terwijl de focus juist bij externe bedreigingen moet liggen. Vanwege de bezuinigingen worden steeds meer diensten online aangeboden terwijl de infrastructuur van de banken hier niet klaar voor is. Tal van bedrijf kritische applicaties bij de banken draaien op ‘legacy systemen’. Oude mainframes met minder capaciteit dat onze nieuwste smartphones vormen de ruggengraat van onze online economie, waarbij programma’s geschreven in archaïsche programmeertalen het betalingsverkeer regelen. Deze systemen en programmeertalen zijn niet berekend op de huidige toepassingen. De financiële sector is daarmee een makkelijk doelwit voor cyberaanvallen. Niet alleen in Nederland, maar wereldwijd zien we de laatste maanden aanvallen op banken. Zo werden onlangs nog de Koreaanse banken lamgelegd en deze maand werd bekend dat Amerikaanse banken in 2012 maar liefst 249 uur onbereikbaar waren door DDoS aanvallen. banken Ondanks het feit dat er niet daadwerkelijk ‘íngebroken’ is bij de banken loopt de schade in de miljarden. Ook deze maand werd bekend dat hackers ruim 200 miljoen euro buitgemaakt hebben bij aanvallen op Russische

Moeten wij als consument in plaats van meer online diensten en digitaal gemak niet meer gaan vragen om veilige dienstverlening? Moeten wij eisen dat de banksector de miljardenwinsten investeert om de IT infrastructuur up to date te brengen? Het lijkt vechten tegen de bierkaai. Er worden al tonnen geïnvesteerd in zwaardere beveiligingsmethoden. Zonder veel succes overigens, want een half jaar later zit dezelfde rekencapaciteit in een laptop van 500 Euro en kan iedere puber ook deze beveiliging weer kraken.

De strijd op het internet lijkt een eindeloze wapenwedloop te worden die wij gaan verliezen. Het echte probleem zit veel dieper. Het zit in de aderen van het internet zelf. Net als bij de banken draait het internet zelf op systemen die in de jaren 70 ontworpen zijn en de uitwisseling van gegevens wordt gedaan door protocollen uit de jaren 70. In het ontwerp van het internet gaat het om de vrije uitwisseling van informatie tussen een klein groepje mensen die elkaar kennen en vertrouwen. Er was geen noodzaak om na te denken over beveiliging en het identificeren van gebruikers.

Nu het internet door miljarden mensen wereldwijd gebruikt wordt en wij steeds meer ons leven online organiseren lopen we tegen de grenzen van het vrije internet aan. Langzamerhand moeten we de conclusie trekken dat het internet niet veilig genoeg is om onze financiële transacties af te handelen, dat het onvoldoende mogelijkheden heeft om ons intellectueel eigendom te beschermen en wij ons digitale leven er niet zeker zijn.

De prijs van vrijheid, vriendschap en eeuwige roem

In de afgelopen 3 artikelen over internet regulering en de WCIT12 conferentie in Dubai ben ik op zoek gegaan naar de voors en tegens van regulering van het internet. Zo op het eerste gezicht lijken er weinig redenen om blij te zijn met internet regulering. Natuurlijk willen wij niet dat landen als Rusland, Iran of China de controle krijgen over het wereld wijde web, of dat wij als aanbieder van content moeten betalen voor een gegarandeerde aflevering van de informatie (de internet tolweg).

Het open web als bron van innovatie

Het internet moet vooral ‘open’ en ongereguleerd blijven. Dat is tenminste het standpunt van vele internet activisten en hacktivisten zoals Bits of Freedom, Anonymous, WikiLeaks, de Piraten Partij enzovoorts, maar er zijn ook voldoende politici die deze mening zijn toegedaan en vooralsnog allerlei regulerende maatregelen tegenhouden. De kern is dat het internet juist groot geworden is door alle vrijheid en een plek biedt om vrij ideeën uit te wisselen en zo tot innovatie te komen.

Terug naar het Feodale regime

Bruce SchneierMaar hoe vrij is eigenlijk vrij? Toevallig verschenen er deze week op Wired en op GigaOm twee artikelen met vrijwel dezelfde insteek. In het artikel op Wired stelt de auteur, Bruce Schneier, dat we terug zijn in de middeleeuwen wat betreft security;

“Some of us have pledged our allegiance to Google: We have Gmail accounts, we use Google Calendar and Google Docs, and we have Android phones. Others have pledged allegiance to Apple: We have Macintosh laptops, iPhones, and iPads; and we let iCloud automatically synchronize and back up everything. Still others of us let Microsoft do it all. Or we buy our music and e-books from Amazon, which keeps records of what we own and allows downloading to a Kindle, computer, or phone. Some of us have pretty much abandoned e-mail altogether … for Facebook.”

GigaOmDoor ons aan een merk te verbinden zitten we vast in een middeleeuws fort met hoge muren er om heen en worden we afhankelijk van onze content leverancier. In het artikel op GigaOm ziet de auteur Mathew Ingram dezelfde muren op het internet;

“Closed and proprietary networks and platforms like Facebook and Apple and Amazon are appealing in many ways because they are so easy to use, but in depending on them for so much of our online lives, we give up many of the benefits of the open web.”

Ingram maakt er een punt van dat we moeten vechten voor het open web en we de controle moeten terugpakken over onze online identity en onze content.

De Digital Natives bestaan niet.

Vorige week was ik op een marketing evenement van het DDMA waar het onderwerp privacy ook op de agenda stond. Daar heerste ook de algemene gedachte dat de gebruiker de controle terug gaat pakken over zijn digitale identiteit. We moeten de controle terug pakken, maar als gebruiker zijn we nog lang niet ‘in control’. We slaan ons vaak op de borst en noemen ons de Digital Natives, de generatie die met het internet op groeit, maar als we kijken naar ons begrip van het net moet ik constateren dat de Digital Natives niet bestaan. We zijn slechts Digital Cavemen, holbewoners die de wereld om zich heen nog niet begrijpen. Jazeker, er zijn mensen die opgroeien met het internet en verder kijken dan hun neus lang is, maar de meeste mensen hebben geen flauw idee wat er met hun gegevens online gebeurd, waar ze hun persoonlijke informatie achterlaten.

Cavemen - Image BBC

De customer is zeker nog niet in control, maar is vaak nog een blinde die de digitale snelweg probeert over te steken. We maken vrienden op Hyves, Facebook, zijn ‘socially active’ in allerlei netwerken en benutten alle mogelijkheden om via het internet de meest voordelige dingen te kopen. We delen ons leven met onze vrienden in deze sociale netwerken en delen onze mening op blogs. We presenteren ons op een internationaal podium als nooit tevoren. We worden bekend. Maar deze bekendheid komt met een prijs…

Digital Profiling en Identiteitsfraude.

De grote sociale netwerken weten meer over jou dan je eigen moeder. Zij kunnen alle gegevens aan elkaar koppelen, en ze onthouden de gegevens. Juist die gegevens bepalen voor een groot deel de waarde van deze bedrijven;

“De sociale netwerksite Facebook trekt deze week naar de beurs en hoopt er miljarden op te halen, al zit de échte waarde van het bedrijf hem natuurlijk in de persoonlijke informatie die het over meer dan 842.000.000 gebruikers wereldwijd bezit. Door deze informatie te verkopen, verdient het Amerikaanse bedrijf immers aardig wat geld.” (Dutch Cowboys, Mei 2012)

Identity-Theft1Deze informatie is niet alleen interessant voor allerlei marketing doeleinden maar ook voor criminele doeleinden. De marketing bedrijven kunnen voldoende gegevens aan elkaar knopen om jou de beste deals voor te schotelen, maar de cybercrimineel kan deze gegevens ook aan elkaar koppelen en een eigen profiel van je maken. Als jij bijvoorbeeld de geboortedatum van je kinderen als wachtwoord gebruikt, of de naam van jullie favoriete vakantieplekje aan de de Middellandse Zee kan de cybercrimineel vaak op basis van deze manier van profiling die wachtwoorden raden.

“With a 13% increase in identity fraud between 2010 and 2011, a study conducted by Javelin Strategy & Research showed that consumers may be putting themselves at a higher risk for identity theft as a result of their increasingly intimate social media behaviors. Sixty-eight percent of people with public social media profiles on platforms such as Facebook or Twitter shared their birthday information with 45% of them getting into specifics about the exact month, day, and year. Sixty-three percent shared where exactly they attended high school. Eighteen percent shared their phone number and 12% shared their pet’s name. Not only are all of these details typically asked when verifying an identity, but people also frequently use them in passwords. The statistics are clear — people are giving away far too much personal information on social networking sites, allowing for fraudsters to easily steal their identities.” (Identity Theft 911 Blog, Mei 2012)

De prijs van vrijheid, vriendschap en eeuwige roem.

Door het delen van onze persoonlijke informatie onderhouden we vriendschappen en bouwen we een online reputatie in netwerken. Die reputatie kan ons helpen om een nieuwe baan te vinden en ons daadwerkelijk iets op leveren. Maar realiseer je dat die impact klein is. Met je blog bereik je misschien 20, 50 of 100 mensen, maar de hele wereld kan je gegevens aan elkaar koppelen.

UPDATE: Net voordat dit blog ter perse gaat komt via CNet het bericht binnen dat de populaire fotosite Instagram besloten heeft dat zij jouw foto’s mogen verkopen;

“In its first big policy shift since Facebook bought the photo-sharing site, Instagram claims the right to sell users’ photos without payment or notification. Oh, and there’s no way to opt out.”

Dat betekent dus ook dat die schattige foto van jouw kinderen zomaar in een reclame aan de andere kant van de wereld gebruikt kan worden, zonder dat jij het weet. Zo zie je maar. Als gebruiker hebben we geen controle over onze eigen content.

Schurkenstaten doen een Songfestivalletje op WCIT12 congres

Eerder deze week eindigde ik mijn tweede artikel over de vraag of het internet regulering nodig heeft of niet met het uitspreken van de verwachting dat er geen consensus zou komen op het #WCIT12 congres in Dubai waar de leden van de ITU vergaderden over onder meer een omstreden voorstel van onder andere Rusland, China, Saudi Arabië en Iran.

EU_Neelie_KroesEen dag later kon ik gerust gaan slapen omdat de eerste berichten naar buiten kwamen dat dit voorstel het niet gehaald zou hebben. Journaliste Violet Blue kwam als eerste met een exclusief interview op het toonaangevende CNet met een voormalige ITU beleidsmaker onder de kop “ITU Failed“, maar ook onze eigen Neelie Kroes geeft een update op de ontwikkelingen in Dubai en stelt dat Europa het gezamenlijke standpunt heeft dat Internet Governance niet onder de ITR’s horen te vallen.

Als ik de volgende ochtend wakker wordt ziet de wereld er opeens weer heel anders uit. Als onder andere Nu.nl bericht dat het voorstel toch ‘officieus’ aangenomen is gaan de alarmbellen wereldwijd rinkelen;

“Toch is een resolutie door de voorzitter Mohammed Nasser Al Ghanim aangenomen zonder officiële stemming. Hij peilde naar eigen zeggen de sfeer in de ruimte.”

Het lijkt er op dat er in de wandelgangen heel wat heen en weer gelobbyd is en de schurkenstaten een ‘songfestivalletje’ uit de hoge hoed getoverd hebben waarin ze massaal elkaars voorstellen steunden. In enkele reacties hoorde ik al de suggestie dat er vooraf aan deze stemming heel wat zakken geld heen en weer geschoven zouden zijn, maar daar is geen hard bewijs voor te vinden.

Al snel komt de westerse wereld in verzet tegen het voorstel en The Hill meldde woensdag dat de US het verdrag niet zullen ratificeren. ZDNet bericht vandaag dat ook Australie afstand neemt van het verdrag en op Nu.nl lezen we dat ook de Europese Unie geen staatscontrole op internet wil. De vraag is nu of dit genoeg is om voorlopig het voorstel tegen te houden. De ITU zelf geeft een overzicht van de landen die het verdrag al ondertekend hebben en op ipv.sx is dit nog even handig gevisualiseerd: Rood is tegen, zwart heeft al voor gestemd.

Verdeling stemmen over WCIT voorstel

In mijn vorige artikel schreef ik dat het niet van regulering gaat komen zolang er geen consensus is. Bovenstaande kaart geeft aan dat de wereld behoorlijk verdeeld is over het onderwerp. Ook D66 Europarlementariër Marietje Schaake constateert dat er een flinke tweedeling in de wereld is ontstaan.

“Er zijn nu duidelijk twee visies over de toekomst van het internet die haaks op elkaar staan: openheid versus meer overheidscontrole. Samenwerking binnen de EU, maar ook met onze internationale partners, is essentieel om het open en vrije internet te behouden.” (Nu)

Helaas is het nog niet zo heel duidelijk, aangezien de Verenigde Staten en Australië wel mordicus tegen dit voorstel zijn, maar op hele andere gronden zelf groot voorstanders van regulering en staatscontrole zijn.

Vandaag is het officieel de laatste dag van het congres en ik heb nog geen definitieve slotverklaring gezien. Vooralsnog ga ik er van uit dat ik gelijk krijg en het voorstel er vanwege de meningsverschillen niet doorheen komt. Maar stel dat…

Wat gaat er gebeuren als het voorstel het wel haalt? Wat is er nou zo erg aan? Ik zal er nu kort over zijn en als we de definitieve slotverklaring gelezen hebben zal ik er in een volgend artikel verder op in gaan.

De strijd om het internet zal nog wel even voortduren. Hoewel informatie vrijelijk verspreid wil worden, ongeacht geografische of anderssoortige grenzen, zullen de verschillende landen om economische en staatsveiligheidsredenen deze strijd niet snel op geven. Als er dan al regulerende maatregelen aangenomen worden die staatscontrole mogelijk maken zal dat niet zonder gevolgen zijn. De meeste mensen hebben er nu geen flauw benul van wat er in Dubai bekokstoofd wordt. Als er wel een regulerende maatregel doorgevoerd wordt zullen er mensen wakker worden en gaan protesteren. Het zal zijn weerslag krijgen in verkiezingen, kamervragen en wat dies meer zij met het resultaat dat er weer allerlei dempende maatregelen genomen worden en een deel van de getroffen maatregelen ongedaan gemaakt zullen worden. Dit zal een strijd blijven tot de mastodonten van het analoge tijdperk plaats maken voor de Digital Natives.

Internet Regulering Ja of Nee? (Deel 2)

Geen consensus: geen regulering. Dan maar censuur?

In het vorige artikel, het eerste artikel over “Internet Regulering Ja of Nee?” eindigde ik met de stelling dat, nu alles aan het internet gekoppeld wordt, de vraag om regulering het niveau van individuele zakelijke belangen ontstegen is en het een nationale aangelegenheid geworden. Het probleem is natuurlijk dat we niet te maken hebben met een nationaal internet, maar een international netwerk dat niet onder één vlag vaart. In deze situatie is regulering alleen haalbaar als er een universele consensus is over het onderwerp. Zoals bijvoorbeeld Kinderporno. De hele wereld is hier op tegen, dus regulering is haalbaar. Als het over online casino’s gaat is het een heel ander verhaal. Wetgeving over gokken verschilt van land tot land en zal er geen internationale regulering afgedwongen kunnen worden.

Overizcht Internetcensuur

Wanneer er geen internationale consensus is en er dus geen regulerende maatregelen getroffen worden rest er niets anders dan het toepassen van censuur als je als land toch die informatie buiten de deur wilt houden. Denk hierbij bijvoorbeeld aan de strengislamitische landen die afbeeldingen van vrouwen uit de zoekresultaten weren, Zuid Korea dat alle nieuws uit Noord Korea filtert of de bekende ‘Great Firewall of China’. In de westerse wereld zijn wij sterk tegen censuur omdat het een inbreuk is op ons recht van vrije meningsuiting. Toch is het maar een dunne scheidslijn. In Nederland vinden wij censuur van Kinderporno geen probleem omdat wij het er over eens zijn dat dit niet hoort. Waarom vinden wij het dan verwerpelijk als een Islamitisch land alle porno censureert omdat men daar vindt dat dit verwerpelijk is?

Compliancy ontoereikend

In allerlei compliancy eisen die tegenwoordig gesteld worden aan overheidsorganisaties en banken zien we daarom ook steeds meer eisen ten aanzien van waar de data opgeslagen wordt. In die compliancy eisen of lokaliteit proberen de overheden de betreffende data ook onder het Nationaal recht te krijgen. Met de antiterrorisme wetgeving (Patriot Act) gaat Amerika natuurlijk nog een stuk verder en proberen ze hun neus in alle data te steken, tot en met de inzage in het EPD (Elektronisch Patiënten Dossier) aan toe. We zien dat deze compliancy eisen in veel gevallen nog te weinig resultaat bieden en zien we diverse landen steeds vaker een voorstel doen om het internet te nationaliseren.

WCIT-12

Van 3 tot 14 december 2012 wordt in Dubai het jaarlijkse congres van de ITU gehouden. De ITU bestaat al zo’n 150 jaar en is opgericht om toe te zien op de internationale Telecom standaarden. Het belangrijkste agendapunt van deze summit is de eerste herziening van de International Telecommunications Regulations (ITRs): regels voor de telecomsector, sinds 1988, maar vooraf was er al enige speculatie of landen dit congres zouden aangrijpen om de controle over het internet te grijpen.

“Een aantal partijen grijpen WCIT12 aan om ook het internet onder het gezag van ITU te krijgen. Of correcter, via ITU de macht naar zichzelf te halen. Rusland heeft te elfder ure een uiterst omstreden voorstel in geschoten die nationale overheden de macht geeft over internetverkeer. Daarnaast willen Europese telecombedrijven een internettolweg aanleggen waar de afzender (de content- of dienstenaanbieder) moet betalen voor gegarandeerde doorgifte van data.” aldus Webwereld.

wcit-2012 - ITU/Flickr

De voorzitter van de ITU, Hamadoun Touré, ontkent ten stelligste dat de ITU een internetcoupe plant: “iedere bewering dat de VN uit is op het in handen nemen van de touwtjes van het internet “compleet onwaar” is. In plaats daarvan wil de VN de fluwelen handschoen aantrekken om daar waar nodig “lichte maatregelen” te treffen”, aldus Computerworld

Het Russische voorstel is te vinden op de website van WCIT Leaks. Hoewel de Verenigde Staten een sterke voorstander van regulering zijn, schoot dit voorstel ze in het verkeerde keelgat en resulteerde dit in een zeer bijzondere unanieme afwijzing door het Huis van Afgevaardigden  van elk voorstel dat de ITU hierover zou doen.

De tegenstand van Amerika tegen deze nationalisatie heeft natuurlijk economische gronden, met internet giganten als Google en Facebook binnen de landsgrenzen. Hoewel ze het formeel iets anders (dwz politiek correct) formuleren

“Omdat dit ‘s werelds voornaamste contentproviders zijn, zou een dergelijke regeling betekenen dat de Verenigde Staten andere landen moeten gaan betalen om de content wereldwijd verspreid te krijgen”, aldus Computerworld

Tot zover is er niets nieuws onder de zon. Alle voorstellen met betrekking tot regulering lijken nog steeds ingegeven om nationale wetgeving af te dwingen op het internet of het beschermen van economische belangen. Hierin verschilt de discussie nog steeds niet van de aloude DRM discussie uit de eerste jaren van deze eeuw. Zolang er geen wereldwijde consensus is, is die regulering een utopie. Ik ga er dan ook niet vanuit dat er zich deze week een werkelijke internet-coup voltrekt. Er zijn echter andere ontwikkelingen die wel om regulering lijken te vragen, maar het vertrekpunt moet wezenlijk anders zijn. Daarover in een volgend artikel.

Internet Regulering Ja of Nee? (Deel 1)

De laatste twee jaar zien we keer op keer de discussie over het wel of niet reguleren van het internet opduiken. In Amerika hebben we de SOPA, PIPA en ACTA voorstellen gehad, maar ook in Nederland keer op keer de discussie over het wel of niet invoeren van een download verbod of andere regulerende maatregelen. Ieder voorstel kan rekenen op felle tegenstand van voorvechters van het ‘vrije’ internet. Niet alleen van Nederlandse kamerleden of Amerikaanse Senatoren, maar vooral van de voorvechters van het vrije net, Anonymous met in hun gevolg miljoenen na-praters.

Access Denied

Een regulerende maatregel die het wel gehaald heeft is de cookie-wet. Ik heb daarover niet zo’n ophef gezien vanuit hacktivistisch oogpunt. Bij de cookie-wet gaat het namelijk om de bescherming van onze privacy tegen data mining door allerlei advertenties. Bij de download wet gaat het bijvoorbeeld om de beperking van ons ‘universele recht’ op gratis films. Laten we eerlijk zijn: Zolang het in Nederland legaal is download ik ook wel eens een filmpje omdat er weer niets op de tv is. Toch krab ik mezelf wel eens achter de oren of het nou wel helemaal kies is wat ik doe. In andere landen is het streng verboden. Daar zou ik een strafbaar feit plegen.

Voor veel mensen zijn de reguleringsvoorstellen zoals die op tafel liggen – het download verbod en het anti piraterij verdrag – niets meer dan het verlengde van de DRM discussie, het zo gehate elektronisch copyright systeem waarmee de entertainment industrie haar miljarden wil veilig stellen. Maar zou er niet iets meer achter zitten?

Achtergrond

De roep om regulering van het internet is niet van de laatste paar jaar. Het is eigenlijk van alle tijden. Het eerste verzet tegen regulering kwam al in 1996 toen John Barlow de Declaration of the Independence of Cyberspace schreef:

“We have no elected government, nor are we likely to have one, so I address you with no greater authority than that with which liberty itself always speaks. I declare the global social space we are building to be naturally independent of the tyrannies you seek to impose on us. You have no moral right to rule us nor do you possess any methods of enforcement we have true reason to fear.”

Uit de tweede helft van de jaren 90 stammen ook de eerste studies naar de noodzaak van regulering, zoals het boek “Law in a Digital World” van Ethan Katsh (1995) en “Code and other Laws of Cyberspace van Lawrence Lessing (1999)

In die periode waren wij nog anonieme cowboys op het web die opereerden onder ‘handles’, schuilnamen. Eind jaren 90 was ik zelf actief binnen een van de grootste online communities uit die tijd met maar liefst 80.000 geregistreerde gebruikers. Het geloof in zelfregulering was groot binnen de communities, maar het opereren onder schuilnamen zonder je ware identiteit te delen bood voor sommigen een ongekende vrijheid om zich anders te gedragen dan in het echte leven, of zoals Ryan Holmes, CEO van HootSuite het eerder deze maand omschreef:

Think about all of those online comment forums, cesspools where the lowest common denominator hide behind handles, thriving on spewing out insults and engaging in meaningless disputes. Anonymity, unfortunately, can often be an excuse to bring out the worst in yourself and others. 

Eind jaren 90 was het eigenlijk wel gedaan met het naïeve principe van zelfregulering. Domweg omdat het web te groot werd. Te veel mensen kwamen online. In een dorp zien wij nog sociale controle, in de grote stad, laat staan op het wereldwijde web, is dat niet meer mogelijk. Zelfregulering is alleen mogelijk binnen een beperkte groep.

De meningen over regulering zijn sterk verdeeld. Het boek “Who Controls the Internet? Illusions of a Borderless World van Jack Goldsmith en Tim Wu (2006) neemt het op voor een territoriaal gebonden regulering. “In Search of Jeffersons Moose van  David G. Post (2009), behandeld het vraagstuk vanuit een bijzonder originele invalshoek en verweeft de actuele vragen rond internet regulering met de vragen waar Thomas Jefferson in zijn tijd mee worstelde bij de vorming van een ‘nieuwe staat’. Tot slot nog het boek “The Future of the Internet – And how to stop it” van  Jonathan Zittrain (2008) waarin hij twee uitersten beschrijft die beiden de toekomst van het internet bedreigen: volledige openheid met spam/spyware e.d. of zogenaamde ‘total lock down’.

Sociale Regulering

Waar de zelfregulering het af liet weten eind jaren 90 kwam het sociale web om de hoek kijken na Y2K waarin we langzaam uit de anonimiteit traden en onze ware ik gingen laten zien op het internet. Ook hier refereer ik naar het eerder genoemde artikel van Ryan Holmes:

Ryan Holmes, HootSuiteThe first place where I freely volunteered personal info to the public was LinkedIn, which launched in 2003. Here was a serious tool to connect you with colleagues and employers. Your name was your business card and nobody was going to call themselves Invoker on LinkedIn and expect to be taken seriously. So, for the first time, Ryan Holmes—the real person—took the plunge on the Internet. Looking back, those early LinkedIn days were a turning point.

The Internet was no longer an anonymous playground without consequences and social rules. This was big. And all of this was helped along, of course, by enormous improvements in security and encryption.

Credit Facebook with taking this concept a huge step farther. A few years back, Facebook boldly pioneered its real name policy and pseudonyms and the like were explicitly barred.

Social media has helped make online transparency mainstream, and all the benefits that go along with it, like increased accountability and civility.

Zou er dan toch iets in regulering zitten?

Virtuele Werelden

In 2007 waren we pioniers in de virtuele werelden. De zogenoemde metarati, de ‘thoughtleaders van de metaverse’ kwamen na de Virtual World Conference in San Jose bij elkaar en discussieerden over interoperabiliteit tussen de virtuele werelden; de uitwisselbaarheid van virtuele identiteiten en goederen.

Many Worlds, Massively

In die discussie werd de overdraagbaarheid van goederen en waarde als zeer belangrijk gezien, maar op de keper beschouwd was het echter niets anders dan een regulering met een DRM oogmerk. En dit terwijl de virtuele werelden bij uitstek een plek waren om in de anonimiteit te duiken, om verscholen achter ‘handles’ een tweede leven te leiden. Zou er dan toch iets meer achter zitten? 

Economische Belangen

Waar het internet in de jaren 90 nog veel leek op het wilde westen veranderde dat met de enorme groei die het doormaakte. Steeds meer bedrijven kwamen online. In eerste instantie ging het alleen nog om een digitaal visitekaartje en kwam e-commerce nog maar moeilijk van de grond.  In 1998 begon ik mijn eerste internetbedrijfje gericht op e-commerce, maar dat mislukte jammerlijk omdat de meeste mensen gewoonweg niet hun gegevens op internet wilden achterlaten. Men verschool zich nog achter de anonimiteit van ‘handles’.

De zakelijke markt groeide echter langzaam door en met die groei nam de vraag naar regulering toe omdat er zakelijke belangen op het spel kwamen te staan. Na de intrede van het sociale web groeide de markt van e-commerce explosief en in 2003 boekte het Amerikaanse Amazon.com voor het eerst winst.

Online Sales - by Forbes

Op de zakelijke markt is e-commerce nu een algemeen geaccepteerd verschijnsel. De meeste klanten denken er niet eens meer over na waar ze welke gegevens achter laten voor het doen van een bestelling. Maar ondertussen is het zakelijke belang steeds verder blijven groeien: Nieuwe technologie maakt het mogelijk om vanaf elke plek bij je gegevens te komen, met elk apparaat (BYOD). Steeds meer zakelijke netwerken zijn online toegankelijk en steeds meer industriële installaties zijn online bereikbaar. De energie netwerken, de waterleidingsnetwerken, de bediening van bruggen en sluizen, de seinpalen van de spoorwegen, alles wordt nu aan het internet gekoppeld waardoor het economische belang het niveau van individuele bedrijven ontstegen is en een veilig internet een nationale aangelegenheid is geworden.

WCIT-12

In dat licht reizen we af naar Dubai waar deze weken de WCIT-12 ontmoeting plaats vindt, maar daarover meer in een volgende artikel.

Cybersecurity Strategie: Den Haag vs. Davos

DEN HAAG – Debat Nationale Cybersecurity Strategie

Gisteren werd er in de tweede kamer een vermakelijk debat gevoerd over de voortgang Nationale Cybersecurity Strategie. Niet gehinderd door enige kennis van zaken werd er honderuit gekletst over agendapunten als “beveiligingslekken in Internet Explorer”.

2ekamer

Natuurlijk stonden er ook relevante onderwerpen op de agenda, maar het totaalbeeld van het debat biedt weinig hoop voor een veilige digitale toekomst. Met alle goede bedoelingen, de heren (en dames) politici weten van hoed noch rand op het gebied van security en privacy. Toch nog maar weer eens een lans breken voor een Politieke CTO. Iedere partij zou er een moeten hebben om de politici bij te praten over de zaken die in dit domein echt belangrijk zijn.

DAVOS – Partnering for Cyber Resilience

Een paar honderd kilometer verderop werd in Davos grover geschut ingezet. CEO’s van grote bedrijven en academici van all over the world kwamen hier samen om een partnership aan te gaan in de strijd tegen Cyber Terrorisme, of zoals de projectleider van Deloitte het verwoordt:

Als hackers en andere kwaadwillenden intensief samenwerken moeten CEO’s, politici en andere belangrijke beslissers dat ook doen om zich te wapenen tegen de cyberbedreigingen.

Het Partnering for Cyber Resilience is een gezamenlijk initiatief van Deloitte en het World Economic Forum (vandaar Davos). Het grote verschil met het debat in Den Haag is dat dat het niet over trivialiteiten gaat maar over een wezenlijke mentaliteitsverandering ten aanzien van Cyber Security en het aangaan van een commitment op directie niveau. Het brengt Security Awareness naar de directietafel.

DRM is misdaad tegen de menselijkheid

Zo kopte de column van Bert Brussen in de Webwereld vandaag. Hierbij moest ik me toch even achter de oren krabben of ik hem daar nu gelijk in moet geven. Ik ga het niet doen. Ik ga een lans breken voor DRM:

DRM is niet een misdaad tegen de menselijkheid,
maar DRM is de redding van de menselijkheid.

Wat is DRM?

NapsterDRM staat voor Digital Rights Management, het op een of andere manier aan films en muziek meegeven van een code zodat illegale downloads getraceerd kunnen worden, een digitaal auteursrecht of intellectueel eigendomskenmerk en in de entertainment industrie is het al een heet hangijzer sinds eind jaren negentig. In die jaren kwam het peer to peer delen van muziek en films op gang door sites als Napster en de gigantische platenindustrie zag miljarden verdampen. Tot op de dag van vandaag jaagt de platenindustrie en Hollywood tevergeefs het verbod op downloaden na.

Wij Nederlanders zijn als vrijgevochten volkje ook sterk tegen inperking van onze downloadvrijheden en deze week sneuvelde dan ook wederom een voorstel downloadverbod voor particulieren in de 2e kamer.

DRM is afzetterij

Dit is de context waarin we over het algemeen tegen DRM aan kijken. En dan kan ik er in mee gaan, want DRM staat hiermee bijna synoniem voor afzetterij. Er zijn vele onderzoeken geweest die aantonen dat de gemiddelde gebruiker best wel wat wil betalen voor een goede film of briljant muziek album. Maar dan niet aan de platenmaatschappijen maar aan de artiest zelf.

Earning Potential: Major Label Artist vs Independent Artist

Zolangzamerhand winnen dan ook betaalde muziekdiensten als de Apple iTunes store en Spotify langzaam terrein.

Een must-read voor iedereen die iets wil lezen over deze hopeloze strijd van de met miljarden smijtende entertainment industrie versus de internet cowboys van Napster en The Pirate Bay moet het boek de “Starfish and the Spider” lezen van Rod Beckstrom.

DRM is je Pensioenfonds.

Zoals gezegd, wil ik een lans breken voor DRM. HJe kunt het namelijk ook van de andere kant bekijken. DRM is je pensioenfonds. De laatste jaren zien we steeds vaker dat ideeën gepersonaliseerd worden. We bedenken niet meer dingen ‘als bedrijf’ en we hebben geen ‘bedrijfsvisie’ meer, maar steeds meer gaan wij als individu op de zeepkist staan en delen we onze ideeën met de wereld via blogs en andere sociale media.

Langzamerhand gaan we ons beseffen dat wij een bijdrage leveren aan het intellectueel eigendom van het bedrijf waar we werken en willen we daar zelf recht op houden. Je wilt zien waar jouw tekening afgedrukt wordt, waar jouw tekst gepubliceerd, en checken of het een nette quote is of een als plagiaat overgeschreven is.

De kennis die wij hebben wordt steeds waardevoller in deze kenniseconomie. Die kennis wordt steeds beter quantificeerbaar, maar steeds minder traceerbaar. De kennis verdwijnt in de grote databanken, de Cloud, Big Data concepten en wij zijn het kwijt. Voor je het weet verdient iemand aan de andere kant van de wereld miljoenen met een filmpitch die jij bedacht hebt en ergens een keer half getweet hebt.

Vooralsnog zijn er nogal wat kanttekeningen te plaatsen bij de veiligheid van Cloud diensten, en veel bedrijven zien er nog van af vanwege allerlei compliancy eisen omdat juist de veiligheid van de gegevens niet gewaarborgd kan worden. Een sleutel tot de definitieve Big Data en Cloudcomputing doorbraak ligt hem nou juist in een vorm van DRM waarin jij controle hebt over jouw kennis. DRM bewaakt dan de waarde van jouw ideeën en daarmee wordt het je pensioen.

‘Cyberaanvallen binnen twee jaar grootste bedrijfsrisico’

AMSTERDAM – Cyberaanvallen zijn binnen twee jaar een groter risico voor bedrijven dan economische onzekerheid.

Dat blijkt althans uit een onderzoek onder ruim 3300 IT-specialisten door een beveiligingsbedrijf. Het is niet de eerste keer dat de risico’s van cyberaanvallen voor bedrijven onder de aandacht worden gebracht.
Bijna de helft (48 procent) geeft aan dat de beveiliging tegen online diefstal van intellectueel eigendom in hun bedrijf te wensen over laat. Bovendien geeft 51 procent toe machteloos te zijn tegen serieuze pogingen van cyberspionage.
Mede daardoor geeft een derde van de IT-specialisten aan dat hij verwacht dat zijn onderneming vroeg of laat slachtoffer wordt van cyberaanvallen.
Opvallend is dat ook een derde van de ondervraagden niet op de hoogte is van de laatste trojaanse paarden en niet weet hoe gerichte aanvallen precies worden uitgevoerd.
Op dit moment wordt de economische onzekerheid door bedrijven als het grootste risico gezien. Cyberaanvallen staan op de tweede positie. Binnen twee jaar zou deze rangschikking dus omgedraaid moeten zijn.

Bron: Nu.nl

Bij Auruncus gaan we een stapje verder. We schrijven er al een tijdje over, en dat blijven we doen. Cyberaanvallen zullen niet over een jaar of twee de een grotere bedreiging zijn voor het bedrijfsleven dan economische onzekerheid, maar binnen een decennium voor een grotere, diepere financiële crisis zorgen dan de huidige economische crisis omdat ze de hele economie kan ontwrichten.

Anonymous start eerste cyberoorlog

Het is een historische dag vandaag. Er word geschiedenis geschreven. Het bijzondere is dat bijna geen enkele nieuwssite of krant er aandacht aan besteed. In Nederland zijn de ontwikkelingen in de zaak Vaatstra het belangrijkste nieuws. Daarnaast krijgen de beschietingen op de Gaza strook een behoorlijke dosis aandacht, maar verder dan de ouderwetse oorlogsvoering wordt er niet gekeken terwijl er los van de raketaanvallen een andere oorlog is begonnen die mogelijk de wereld gaat veranderen.

Gisteren en vannacht zijn we getuige geweest van het begin van de eerste echte Cyberoorlog waarin honderden hackers uit het Anonymous collectief een gezamenlijke aanval op Israelische doelen zijn gestart onder de campagnenaam #OpIsrael. Volgens ABC News zijn er in de loop van de avond en de nacht meer dan 44 miljoen aanvallen gelanceerd op diverse doelen.

CNN meldt dat de schade in geen verhouding staat tot de schade op de grond. Daar hebben ze nog wel gelijk in, want er staat natuurlijk geen prijskaartje op een mensenleven. Aan de andere kant vind ik het wel een onderschatting van wat er gebeurd. Gezien de 44 miljoen aanvallen valt de uiteindelijke schade mee; Er zijn een aantal databases gehackt en gebruikersnamen en wachtwoorden gelekt. Volgens The Next Web zijn er een kleine 700 websites zijn gedurende een korte periode offline geweest als gevolg van de vele DDoS aanvallen waaronder enkele overheidssites en de Israelische Mastercard website. Zolang het bij websites blijft en niet bijvoorbeeld het betalingsverkeer lamgelegd wordt blijft de economische schade beperkt.

Dat die schade mee valt is voor een deel ook te danken aan de preventieve maatregelen die Israel genomen heeft. De Israëli’s zijn constant beducht voor aanvallen en ook cyberaanvallen horen in dit scenario thuis. Een ander land met minder voorbereiding zou volledig lamgelegd kunnen zijn als de hackers ook in de infrastructurele systemen hadden kunnen inbreken zoals de water en energie voorziening.

Hoewel de daadwerkelijke schade, ook in economische zin, mee valt is het belang van deze cyberaanval niet te onderschatten. Diverse instanties waarschuwen al een tijd dat het niet de vraag is of maar wanneer de eerste cyberoorlog zal uitbreken. Ook op dit blog heb ik dat meerdere keren aangestipt. Nu het dan zover is kunnen we een aantal voorzichtige conclusies trekken.

  1. In de eerste plaats valt de schade mee door de goede voorbereidingen van Israel. Een ander doelwit met minder goede beveiligingsmaatregelen had veel harder getroffen kunnen worden.
  2. In de tweede plaats valt de schade mee doordat ze uitgevoerd zijn door een collectief hacktivisten. Hoewel er veel goede hackers zijn binnen het Anonymous collectief is het een te ongecoördineerde actie geweest om echte infrastructurele schade aan te richten. Een militair geleidde aanval zou andere doelen geselecteerd hebben.
  3. In de derde plaats is de massaliteit van de aanvallen verontrustend. Ook met beperkte middelen en huis tuin en keuken hacktivisten is het mogelijk om miljoenen DDoS aanvallen te initiëren. Dat geeft te denken over de mogelijkheden die een militaire operatie in een aanval van land op land zou hebben.
  4. In de vierde plaats vind ik het ook verontrustend dat Anonymous zich nu met politiek en lokale conflicten inlaten. Bij veel mensen kan Anonymous op sympathie rekenen omdat ze digitale misstanden aan de kaak stellen. De aanvallen van gisteren zijn echter wel te kwalificeren als oorlogshandelingen en daarmee is er een grens overschreden. Zal Anonymous verder radicaliseren en professionaliseren?

Er staan veel vragen open voor de toekomst na deze eerste gerichte cyberaanval op een land. Hoeveel schade zou er daadwerkelijk aangericht kunnen worden als het een militaire operatie zou zijn en de aanval een laag dieper doordringt in de infrastructurele systemen? In dat gevolg zou de mogelijke schade enorm kunnen zijn. Een cyberoorlog is in potentie gevaarlijker voor de economie dan de huidige financiële crisis.

Het gebrek aan aandacht in de media voor deze ontwikkelingen is ook een teken aan de wand: Cyber Security is niet in beeld omdat men geen idee heeft van de mogelijke schade. Totdat het straks te laat is…