Cybersecurity Strategie: Den Haag vs. Davos

Posted on December 8, 2012 by Johan Vermij

DEN HAAG – Debat Nationale Cybersecurity Strategie

Gisteren werd er in de tweede kamer een vermakelijk debat gevoerd over de voortgang Nationale Cybersecurity Strategie. Niet gehinderd door enige kennis van zaken werd er honderuit gekletst over agendapunten als “beveiligingslekken in Internet Explorer”.

2ekamer

Natuurlijk stonden er ook relevante onderwerpen op de agenda, maar het totaalbeeld van het debat biedt weinig hoop voor een veilige digitale toekomst. Met alle goede bedoelingen, de heren (en dames) politici weten van hoed noch rand op het gebied van security en privacy. Toch nog maar weer eens een lans breken voor een Politieke CTO. Iedere partij zou er een moeten hebben om de politici bij te praten over de zaken die in dit domein echt belangrijk zijn.

DAVOS – Partnering for Cyber Resilience

Een paar honderd kilometer verderop werd in Davos grover geschut ingezet. CEO’s van grote bedrijven en academici van all over the world kwamen hier samen om een partnership aan te gaan in de strijd tegen Cyber Terrorisme, of zoals de projectleider van Deloitte het verwoordt:

Als hackers en andere kwaadwillenden intensief samenwerken moeten CEO’s, politici en andere belangrijke beslissers dat ook doen om zich te wapenen tegen de cyberbedreigingen.

Het Partnering for Cyber Resilience is een gezamenlijk initiatief van Deloitte en het World Economic Forum (vandaar Davos). Het grote verschil met het debat in Den Haag is dat dat het niet over trivialiteiten gaat maar over een wezenlijke mentaliteitsverandering ten aanzien van Cyber Security en het aangaan van een commitment op directie niveau. Het brengt Security Awareness naar de directietafel.

Voorstel WOZ Openbaar is schending Privacy

Posted on March 5, 2012 by Johan Vermij

In de Metro van 1 maart las ik een artikel waarin de D66 Kamerleden Wassila Hachchi en Kees Verhoeven voorstellen om de WOZ gegevens openbaar te maken. “Het is voor gemeenten belangrijk transparant te zijn, terwijl het voor woningeigenaren handig is zelf te checken hoe die waarde tot stand is gekomen. Je kunt bijvoorbeeld kijken hoe het bij de buren zit. Nu kom je daar alleen achter door er eens beleefd op een verjaardagsfeestje naar te vragen.” Dit lijkt sympathiek en handig, maar ik vraag me af in hoeverre deze politici de impact van hun voorstel overzien.

Foto WFA/Metro

De WOZ informatie wordt al jaren gebruikt door de belastingdienst, makelaars en banken. Voor potentiële kopers is het natuurlijk handig om zelf even na te kunnen kijken hoeveel hun droomhuis waard is. De site Kadasterdata springt daar al handig op in en biedt deze informatie tegen betaling. Hoewel dit ook al op een glijdende schaal zit, wordt het pas echt gevaarlijk als de WOZ gegevens in de categorie ‘Open Data’ gaan vallen zoals de kamerleden voorstellen. In een eerder artikel schreef ik;

Vanuit de Europese Commissie, De Nederlandse Overheid en de lokale overheden wordt er vol ingezet op Open Data: Gemeenten en overheden moeten hun informatie beschikbaar stellen voor andere partijen. Op deze wijze kan miljarden bespaard worden. Volgens het EPSI Platform zelfs 27 Miljard. Maar om welke informatie gaat het dan? De plek van de lantaarnpalen in uw gemeente, de WOZ waarde van uw woning (zoals in het eerder genoemde voorbeeld van Kadasterdata), demografische gegevens, kwaliteitsmetingen enzovoorts. Dit alles gelukkig wel onder bepaalde voorwaarden. Welke informatie wel en niet? Blijkbaar de informatie uit het basisregister kadaster wel. Gaat de informatie uit het Handelsregister ook openbaar worden?

Financiële gegevens ervaren we vaak toch wel een beetje als privé. Ik heb ook wel eens een collega gevraagd wat hij precies verdiende. Je wordt toch een beetje vreemd aangekeken. Dat vraag je toch niet! Behalve dat het ‘not done’ is om naar de financiële situatie van je buren of collega’s te vragen vraag ik me sterk af of informatie als de WOZ waarde ook niet in de categorie privacy gevoelige gegevens hoort te vallen en het CBP hier toezicht op moet uitoefenen.

Want hoewel sec gezien de WOZ waarde gaat over de waarde van objecten ontstaat er met het openstellen van de WOZ gegevens een nieuwe bron met gegevens die aan personen gekoppeld kunnen worden. En daar wordt het eng! Nu is het zo dat Makelaars en banken deze gegevens kunnen opvragen t.b.v. het verstrekken van een hypotheek. Ook particulieren kunnen dit doen, maar nog wel met een drempel: Betalen voor de gegevens. Bij het volledig openstellen van de data vervalt deze drempel. Een slimme crimineel doet wat aan datamodulatie en legt het bestand naast de telefoongids en weet precies welke persoon eigenaar van het huis is en de waarde daarvan. Met een beetje Funda rekenen we de maandlasten uit. Een beetje verder frunniken weten we via LinkedIn wat voor baan die persoon heeft en via Salarisindicatie hoeveel die ongeveer verdiend. Reken maar uit wat er nog aan besteedbaar maandinkomen is. Is iemand chantabel? Of moet hij wel veel overhouden en is er wat te halen voor het dievengilde?

WOZ Open Data is een eerste bron. Hoeveel zullen er volgen? De crimineel van morgen begint zijn dag achter de PC. Informatiebronnen combineren en modelleren. Hij doet aan profiling. Op basis van de beschikbare datamodellen creëert hij het meest lucratieve slachtoffer profiel en voor het donker wordt heeft hij de route uitgestippeld die hem het meest oplevert!

Aan de andere kant: Wat doet de overheid met deze informatie? Natuurlijk beschikt de gemeente en de belastingdienst al over deze informatie. Ze wordt immers daar bepaald om de gemeente heffingen te waarderen. Maart wanneer bijvoorbeeld de politie aan dezelfde datamodulatie gaat doen als de crimineel zit je met een tikkeltje zware hypotheek misschien direct in het verdachtenbankje als het om fraudezaken gaat.

Om deze redenen valt de waarde van mijn woning voor mij ook in de categorie privacy gevoelige informatie, en dat deze data niet publiek toegankelijk mag worden. Wel kan deze onder bepaalde voorwaarden raadpleegbaar zijn door gespecificeerde afnemers, net als bij bijvoorbeeld de basisregistratie Persoonsgegevens. Daar zijn landelijk zo’n 900 afnemers van de gegevens die aan strikte voorwaarden moeten voldoen om over deze gegevens te kunnen beschikken. Dit alles staat onder toezicht van het CBP. Wat mij betreft dus ook de WOZ gegevens onder dat toezicht.

Elke politieke partij een CTO

Posted on February 9, 2012 by Johan Vermij

“Het wordt allemaal wel heel complex.” Ik hoor dit steeds vaker om mij heen. Voor veel mensen is de technologische ontwikkeling niet meer bij te houden. Hoe groter het bedrijf, hoe complexer de IT infrastructuur wordt. Er is bijna geen beroep meer te bedenken waar de informatie technologie niet zijn intrede gemaakt heeft. Alles digitaliseert.

En kijk dan eens naar de overheid die in feite honderden producten aan miljoenen klanten verkoopt. Zelfs een lokale overheid als, bijvoorbeeld, de gemeente Ede heeft al bijna 100.000 klanten. Het maakt eigenlijk niet uit of je bij een gemeente digitaal een verhuizing door geeft of bij Bol een boek besteld. Het is een digitale transactie waarbij bijvoorbeeld persoonsgegevens over de lijn gaan. De systemen worden zo complex en we stellen ook nog eens zoveel eisen aan beveiliging en privacy dat de benodigde infrastructuur al snel behoorlijk ingewikkeld wordt. En al helemaal als we complexe nieuwe dingen gaan doen als het EPD of OV Chipkaart en bijvoorbeeld de invoering van de Basisregistraties. We zien zelfs mogelijkheden om nog verder te gaan. Binnen de overheid wordt enthousiast gekeken naar Open Data principes waarin data gedeeld kan worden en door andere (ook commerciële-) partijen gekoppeld en gecombineerd kan worden tot een nieuw product. De vraag is of we met ons allen de impact van Open Data op onze privacy en de ‘beveiligbaarheid’ van onze gegevens kunnen overzien.

Vorige week werd het nieuwste boek van Trendwatcher Adjiedj Bakas over het Einde van de Privacy gepresenteerd. Bij de presentatie stelde de heer Tjin-a-Tsoi, directeur van het NFI dat nu al 50% van alle criminaliteit een Cyber component heeft. In plaats van meer blauw op straat moet er meer blauw op het internet schrijft Bakas in zijn boek. Over de rol van de overheid schrijft Bakas ondermeer;

“Internetveiligheid en privacyschendingen zullen de komende jaren belangrijke kwesties worden voor de overheid. Zij bevindt zich daarbij in een spagaat, want enerzijds verwachten burgers van de overheid dat die hun veiligheid garandeert, ook op het internet, en anderzijds is diezelfde overheid het zwarte schaap wat privacyschendingen betreft. Dat laatste is ook geen wonder, want de overheid beschikt over veel gevoelige informatie van burgers, en de regels omtrent de toegang tot die informatie zullen de komende jaren duidelijk vastgesteld moeten worden.”

De uitspraak in van de Hoge Raad in de Runescape zaak eerder deze week geeft ook te denken. Door gebrekkige wetgeving op het gebied van digitaal eigendom duurt het meer dan 3 jaar voordat er een definitieve uitspraak is in –eigenlijk maar een- klein vergrijp. En dit is maar een eerste voorbeeld van een serie wetten die nog achter lopen op ons digitale tijdperk. Voormalig tweede kamerlid Ed Anker geeft aan dat hij bij de debatten over de beveiligingschips wel eens opgemerkt heeft dat de overheid altijd een paar jaar lijkt achter te lopen. Een rondgang langs verschillende politieke partijen leert dat de meeste partijen echter vinden dat ze er ‘bovenop zitten’ maar dat ze vaak wel twijfels hebben over de deskundigheid op lokaal niveau.

De wet en regelgeving, en zeker het strafrecht is nog niet 2.0 ready. Discussies over de digitale vrijheid als SOPA, PIPA en ACTA (anti piraterij wetgeving) worden nu gekaapt door anarchisten als Anonymous bij gebrek aan visie en kennis in de politiek.

Op allerlei vlak speelt de ICT een grote rol die alleen nog maar groter wordt en in de komende jaren zal ook de politiek belangrijke keuzes moeten maken. En wetten. En het wordt steeds complexer. Mogen wij van de landelijke, provinciale en lokale politici verwachten dat zij de impact van de keuzes kunnen overzien als zelfs de beste IT architecten er al niet uitkomen?

Jawel. Dat mogen wij. In de politiek worden keuzes gemaakt die ons hele leven, onze samenleving beïnvloedden. Juist met het oog op deze aspecten is wordt het steeds belangrijker dat juist de politici de technologie gaan snappen, dat partijen over de IT impact van de voorstellen in hun partijprogramma gaan nadenken. Het is de hoogste tijd dat de politieke partijen een CTO, een Chief Technology Officer gaan aanstellen die dit in het snotje gaat houden.

Opening NCSC, een Cyber Delta Plan

Posted on January 16, 2012 by Johan Vermij

Vorige week donderdag opende minister Ivo Opstelten met een spectaculaire lasershow het nieuwe Nationaal Cyber Security Centrum, het NCSC. De opening vondt plaats in het World Forum in Den Haag met een aantal plenaire sessies en diverse workshops.

Vlak voor de lunch sloot Melissa Hathaway het ochtendeel af met een verassend techniekloze lezing. Ondanks dat ze haar speech op handgeschreven kladjes voor zich had en geen gebruik maakte van de beamer wist ze de aandacht goed vast te houden, wat natuurlijk een prestatie an sich is.

Melissa Hathaway was security adviseur bij zowel de regering Bush als de regering Obama en gaf een korte overview van de geschiedenis van het internet. Met de opening van het NCSC ziet ze dat Nederland weer een leidende positie in Europa kan gaan innemen. En dat is nodig. Er komt een golf van cyberterrorisme op ons af. Er zijn nu al meer dan 67.000 nieuwe malware bedreigingen per dag. En het zal alleen maar erger worden.

Met een verwijzing naar de Watersnoodramp in 1953 en het daaropvolgende Delta Plan riep ze op om ook tot een Delta Plan te komen voor de bestrijding van Cybercrime. Hierin moeten we al onze kennis en kunde bundelen. Om dit goed te doen geeft ze het advies om Disney in te huren. Eén van de belangrijkste must do’s is het creeëren van Awareness. De boodschap moet gecommuniceerd worden, en wie kan dit beter doen dan deze filmstudio. Naast Awareness moeten we ook onze strategie durven aanpassen onderweg. Cyberterroristen zijn inventief. De aanvalsstrategie moet dan ook voortduren evolueren. Een derde aandachtspunt is de resourcing van de strategie. Zorg dat er voldoende middelen zijn om die strategie daadkrachtig uit te voeren.. Een vierde aadachtspunt volgens Hathaway is wendbaarheid. ‘Remain Agile’ en tenslotte is het nodig dat we onze ‘stem vinden’ Lange tijd hebben we in Nederland een beetje achter de rest aan gehobbeld, maar met het NCSC hebben we de kans om weer een lichtend voorbeeld te worden in Europa. We moeten onze kennis uitdragen en Europa voorgaan.

De Security en Privacy Dieptepunten van 2011

Posted on December 21, 2011 by Johan Vermij

In de afgelopen maanden even wat weinig geblogd. Een nieuwe baan vreet toch altijd meer energie dan je vooraf denkt. Maar goed, ondertussen is het jaar wel weer voorbijgevlogen. En wat een bewogen jaar is het geweest op Security gebied. Te veel om allemaal op te noemen.

Er is zoveel gebeurd op Security en Privacy gebied dat het volledig terecht is dat Brenno de Winter, alias ‘the Big Wobber’ deze maand verkozen is tot Journalist van het jaar. Aan de ene kant is het triest dat dit gebeurd is: ‘Dit land is zo lek als een mandje en de overheden nemen het niet zo serieus met onze privacy’. Aan de andere kant is het natuurlijk ontzettend positief dat het onderwerp nu zo ontzettend in de spotlights staat. Het is niet meer een niche thema voor IT Nerds of academisch geleuter: Het is de realiteit en de mainstream media aandacht die er nu voor het thema is kan er alleen maar toe leiden dat bedrijven en overheden beter gaan nadenken over de grenzen van privacy en hun maatregelen gaan nemen om de security te verbeteren.

Gisteren was ik in Ede bij de opnamen voor het jaaroverzicht van Ede TV, waar Brenno als één van de gasten aan tafel zat om het jaar van commentaar te voorzien. Als persoonlijk hoogtepunt noemde hij vooral het sepot in de OV Chipzaak;

“Op 5 september 2011 besloot het Openbaar Ministerie de strafzaak tegen Brenno de Winter voor het reizen op gehackte chipkaarten te seponeren”

Het sepot mag natuurlijk nooit een vrijbrief worden om voor eigen voordeel te hacken maar het is een enorme winst in het onderzoek naar security issues. Strikt genomen is bijna elke poging die je onderneemt om te onderzoeken of iets slecht beveiligd is een criminele daad, tenzij je vooraf toestemming hebt. Helaas denken nog steeds veel bedrijven dat het wel goed zit met hun security en zullen ze ook niet snel meewerken aan een penetratietest of security scan.

In de meeste gevallen is het risico dan voor het bedrijf. Wordt men dan toch kwaadwillend gehacked dan is er enorme schade. In een aantal gevallen staat echter de privacy van veel mensen op het spel en dan is het goed dat het sepot er nu ligt:

“Soms weegt het journalistieke belang van het tonen van een misstand –het falen van de OV-chipkaart – zwaarder dan het strafrecht. Er was geen andere weg om dit te tonen. Een goed journalist heeft als taak om misstanden te tonen.”

Een ander hoogtepunt, of eigenlijk dieptepunt, was natuurlijk het failliet van de CA (Certification Authority) DigiNotar. Niet alleen het bedrijf zelf is er aan onderdoor gegaan maar de positie van de CA’s staat onder druk. Vertrouwen is een belangrijk begrip als het om IT gaat. Dit vertrouwen wordt gegeven door de uitgifte van certificaten waarin aangegeven wordt dat je op het internet zaken doet met een bonafide partij. Er zijn steeds meer partijen die onderzoeken of zij een CA voor personen kunnen worden, zoals bijvoorbeeld het Kadaster en de ABN Amro. Is deze persoon echt wie hij zegt dat hij is? Klopt zijn CV op monsterboard of op LinkedIn. Dit is een interessante ontwikkeling, maar als je als CA gecertificeerde persoonsgegevens gaat bijhouden wordt je hacking target nummer één.

Een derde dieptepunt is het lekken van de Miljoenennota 2012 op prinsjesdag 2011. Hoewel er geen man overboord is en er geen staatsgeheimen geopenbaard zijn of echt nieuwe dingen gelekt is het wel een teken aan de wand hoe slordig we zijn in het beveiligen van onze gegevens.

En nu op naar 2012. Een jaar waarin we nog veel opzienbarende lekken zullen tegenkomen.

Databases lokale overheden en de miljoenennota gemeente Utrecht

Posted on September 16, 2011 by Johan Vermij

Het is prijsschieten op de kermis. Na het lekken van de miljoenennota 2012 gisteren was het vandaag weer raak in de IT huishouding van vele lokale overheden.

Gemeenteoplossingen

“Een dienstverlener die vaak zeer vertrouwelijke raadsstukken voor gemeenteraadsleden beheert, blijkt via een kinderlijk eenvoudig lek volledig te kraken. Inmiddels zou het lek gedicht zijn.

Dat blijkt uit onderzoek van Wouter van Dongen, een webexpert van DongIT. Hij was in staat om via een kinderlijk eenvoudige SQL-injection niet alleen in te loggen, maar ook volledige databasestructuur te zien. Omdat de databases ook de wachtwoorden bewaren, is het regelen van toegang tot systemen eenvoudig.”

Bron: Webwereld

Via GemeenteOplossingen.nl waren meer dan 342 databases van verschillende gemeenten besnuffelbaar. Maar dat was nog niet alles. Na Den Haag was Utreg aan de beurt. Hoezo Domstad?

Domstad Nota 2012

Een ezel stoot zich over het algemeen niet twee keer aan de zelfde steen. Na het kinderlijk eenvoudig uitlekken van de Haagse miljoenennota 2012 door een eentje in een tweetje te veranderen bedacht verslaggever René Cazander van het AD/Utrechts Nieuwsblad dat hetzelfde geintje eens bij de gemeente Utrecht moest uitproberen. En tot zijn verbazing met onverwacht succes.

Het kan natuurlijk een keer gebeuren, maar het bijzondere is dat er bij de gemeente kennelijk niemand is geweest die vlak na het uitlekken van de Miljoenennota 2012 gedacht heeft om te kijken of dit in de eigen keuken ook zo was. Welke gemeente is als volgende aan de beurt?

Volgens RTV Utrecht verslaggever Dennis van Ommeren is het eigenlijk helemaal niet zo grappig als dat het er uit ziet, zeker als je je bedenkt dat de gemeente de afgelopen jaren al miljoenen in de IT voorzieningen heeft geïnvesteerd.

Miljoenennota Prinsjesdag 2011 gelekt

Posted on September 15, 2011 by Johan Vermij

In het kader van Overheid 2.0 bestaat de doelstelling om een stuk opener, transparanter, te worden. Dat gaat ze op dit moment voortreffelijk af. Na het DigiNotar debacle (waar de overheid overigens zelf niet zoveel aan kon doen) stonden vanmiddag de poorten van de schatkist wagenwijd open.

Vanmiddag rond 16.00 uur bleek ineens de Miljoenennota al leesbaar te zijn en werd deze in een razend tempo via Twitter verspreid. Bram Talman twitterde

W000t, heb de miljoenennota 2012 gevonden. Christ wat slecht beveiligd :p”

Hij heeft het stuk gevonden door het adres van de vorige Miljoenennota in te tikken en vervolgens het jaartal te wijzigen. “Het was een uurtje werk“, zei hij tegen de NOS. “Ik had geen wachtwoord nodig of niks.”

Ondertussen is de kamer not amused en lijkt anarchie te heersen in Den Haag, maar hoe spannend is dit nu eigenlijk?

Als project manager ben ik enkele jaren geleden een paar keer verantwoordelijk geweest voor de realisatie van de Rijksbegrotingswebsite en de Prinsjesdag website. Destijds was alles nog onder embargo en mocht er absoluut voor die dinsdag 14.00 openbaar worden.

De organisatie die er omheen stond was best professioneel. Van het ministerie van financiën, de ‘staatsdrukker’ en de IT leverancier. Hoewel… professioneel…

Er mocht echt absoluut niets uitlekken tot het moment supreme. Behalve allerlei geheimhoudingsverklaringen die de programmeurs moesten ondertekenen werden de ramen van de kamer met kranten afgeplakt voor het geval een journalist op de onzalige gedachte mocht komen met een telelens vanuit het kantoor aan de overkant een kiekje te schieten van de schermen. Natuurlijk zorgden we er voor dat pas op het allerlaatse moment de nieuwe website – op een andere server dan de bestaande website – aan het internet gekoppeld werd.

Maar, laten we wel wezen. Wat is er nou eigenlijk allemaal aan de hand? Om maar met Henk Bleker te spreken die tegen Radio1 te kennen gaf “Hoogst ongelukkig, maar het is niet zo dat Nederland in brand staat of zo”

Zijn er mensenlevens in gevaar? Nou nee. Die geheimhouding is natuurlijk een prachtig mediaspektakel. Iedereen is op jacht naar de nota en de spanning bouwt op naar de derde dinsdag. Het is een traditie die we gecreeerd hebben, met allerlei riten er omheen die ondertussen mythische proporties hebben aangenomen. Maar het blijft een spel. Het aandeel van het Koninkrijk der Nederlanden is vandaag niet gedaald. Er zijn geen miljoenen verdampt op de beurs. De grootste ramp waarschijnlijk van vandaag is dat Frits Wester vandaag een keer niet de primeur heeft, ook al twittert hij druk dat hij hem ook al had en nog aan het lezen was. We houden het dus op gekrenkte ego’s. Verder geen slachtoffers vandaag.

Bijkomend voordeel is dat de kans dat de website dinsdag a.s. plat gaat weer een stuk kleiner is geworden. Er zal nu vast geen peak performance gevraagd worden