PRISM is Prima

Posted on June 11, 2013 by Johan Vermij

We zijn deze week weer van onze stoel gevallen toen Edward Snowden de klokkenluiders top tien binnenwandelde met de onthullingen over het informatie-verzamelen van de NSA. De Obama regering is in verlegenheid gebracht, maar vanwege 9/11 ook niet meer dan dat.

In Engeland kwamen de kamervragen en nadat de Telegraaf onthulde dat ook onze eigen AIVD gretig de informatie uit PRISM gebruikte rolden onze volksvertegenwoordigers over elkaar heen om een spoeddebat aan te vragen om zo te waken over onze privacy.

De verantwoordelijk minister, Opstelten, deed de zaak onderkoeld af door te zeggen dat er geen mededelingen gedaan worden over de werkwijze van de AIVD. Saillant detail in het interview was de zinsnede dat “de AIVD langs de kaders van de wet” opereert. Ik interpreteer dat als buiten en niet binnen die kaders, maar dat volledig terzijde.

Soms krijg ik het gevoel dat we in Nederland een wat oubollig, romantisch beeld hebben van onze inlichtingendienst. Stoffige bebrilde mannetjes die de hele dag door de krantenknipsels doorspitten. Het verzamelen van informatie is Core business voor de inlichtingendienst en al jaren doen ze dat met de meest geavanceerde technieken.

In de tijd dat wij allen nog op de MSX met bandjes spelletjes deden scande de inlichtingendienst al dagelijks duizenden lokale, regionale en landelijke kranten uit alle hoeken van de wereld en paste daar geavanceerde datamining op toe door gericht op combinaties van trefwoorden te zoeken. Anno 2013 is het niet veel anders. De krant is internet geworden en wij met zijn allen leveren de informatie aan voor de inlichtingendienst.

In zijn artikel op HP de Site merkt Brenno de Winter op dat de verzamelde informatie mogelijk als handelswaar kan worden aangemerkt voor de inlichtendienst. Vanzelfsprekend doet het oude adagium “kennis is macht” hier opgeld. Natuurlijk vind er uitwisseling van informatie plaats, maar dan wel ” langs de kaders” van de wet en niet als commerciële handelswaar.

Zorgwekkender is de ontwikkeling van de Commerciële Inlichtingendienst. Daar waar het doel van het verzamelen van informatie door de AIVD nog gebeurd vanuit het perspectief van staatsveiligheid, opereren de grote marketing kantoren met min of meer dezelfde methoden uit puur winstbejag en verzamelen ze precies dezelfde informatie .

Los van wat standaard “Intelligence” activiteiten als telefoontaps en emailscans is het leeuwendeel van de verzamelde informatie niets meer en niets minder dan door u en mij op het internet gepubliceerde informatie gecombineerd met een aantal andere openbare bronnen. Op dezelfde manier hebben de marketingbureaus enorme databanken aangelegd waarin bijgehouden wordt hoeveel u verdient, waar u woont, wat uw interesses zijn, wat uw lievelingskleur is enzovoorts om u op het juiste moment te kunnen verleiden met op maat gesneden advertenties.

Binnen de kortste keren zijn de zoekalgoritmes in staat om uw stemming af te lezen uit uw tweets en gaan we over op moodvertising, reclame op basis van uw stemming. Uit uw online gedrag weten ze wanneer u toe bent aan een borrel, en wat uw favoriete borrel is weten ze al lang.

Naast de enorme databanken van de reclame-industrie zien we tegenwoordig ook steeds meer dat criminelen zich richten op profiling, het samenstellen van enorme dossiers met allerlei details over mogelijke slachtoffers. Maar niemand die zich daar druk over lijkt te maken…

Tenslotte is Nederland toch het braafste jongetje van de klas…

Laten we dan maar afsluiten met PRISM is Prima, en focus je op de databanken die voor commerciële en criminele doeleinden gebruikt worden.

Elke politieke partij een CTO

Posted on February 9, 2012 by Johan Vermij

“Het wordt allemaal wel heel complex.” Ik hoor dit steeds vaker om mij heen. Voor veel mensen is de technologische ontwikkeling niet meer bij te houden. Hoe groter het bedrijf, hoe complexer de IT infrastructuur wordt. Er is bijna geen beroep meer te bedenken waar de informatie technologie niet zijn intrede gemaakt heeft. Alles digitaliseert.

En kijk dan eens naar de overheid die in feite honderden producten aan miljoenen klanten verkoopt. Zelfs een lokale overheid als, bijvoorbeeld, de gemeente Ede heeft al bijna 100.000 klanten. Het maakt eigenlijk niet uit of je bij een gemeente digitaal een verhuizing door geeft of bij Bol een boek besteld. Het is een digitale transactie waarbij bijvoorbeeld persoonsgegevens over de lijn gaan. De systemen worden zo complex en we stellen ook nog eens zoveel eisen aan beveiliging en privacy dat de benodigde infrastructuur al snel behoorlijk ingewikkeld wordt. En al helemaal als we complexe nieuwe dingen gaan doen als het EPD of OV Chipkaart en bijvoorbeeld de invoering van de Basisregistraties. We zien zelfs mogelijkheden om nog verder te gaan. Binnen de overheid wordt enthousiast gekeken naar Open Data principes waarin data gedeeld kan worden en door andere (ook commerciële-) partijen gekoppeld en gecombineerd kan worden tot een nieuw product. De vraag is of we met ons allen de impact van Open Data op onze privacy en de ‘beveiligbaarheid’ van onze gegevens kunnen overzien.

Vorige week werd het nieuwste boek van Trendwatcher Adjiedj Bakas over het Einde van de Privacy gepresenteerd. Bij de presentatie stelde de heer Tjin-a-Tsoi, directeur van het NFI dat nu al 50% van alle criminaliteit een Cyber component heeft. In plaats van meer blauw op straat moet er meer blauw op het internet schrijft Bakas in zijn boek. Over de rol van de overheid schrijft Bakas ondermeer;

“Internetveiligheid en privacyschendingen zullen de komende jaren belangrijke kwesties worden voor de overheid. Zij bevindt zich daarbij in een spagaat, want enerzijds verwachten burgers van de overheid dat die hun veiligheid garandeert, ook op het internet, en anderzijds is diezelfde overheid het zwarte schaap wat privacyschendingen betreft. Dat laatste is ook geen wonder, want de overheid beschikt over veel gevoelige informatie van burgers, en de regels omtrent de toegang tot die informatie zullen de komende jaren duidelijk vastgesteld moeten worden.”

De uitspraak in van de Hoge Raad in de Runescape zaak eerder deze week geeft ook te denken. Door gebrekkige wetgeving op het gebied van digitaal eigendom duurt het meer dan 3 jaar voordat er een definitieve uitspraak is in –eigenlijk maar een- klein vergrijp. En dit is maar een eerste voorbeeld van een serie wetten die nog achter lopen op ons digitale tijdperk. Voormalig tweede kamerlid Ed Anker geeft aan dat hij bij de debatten over de beveiligingschips wel eens opgemerkt heeft dat de overheid altijd een paar jaar lijkt achter te lopen. Een rondgang langs verschillende politieke partijen leert dat de meeste partijen echter vinden dat ze er ‘bovenop zitten’ maar dat ze vaak wel twijfels hebben over de deskundigheid op lokaal niveau.

De wet en regelgeving, en zeker het strafrecht is nog niet 2.0 ready. Discussies over de digitale vrijheid als SOPA, PIPA en ACTA (anti piraterij wetgeving) worden nu gekaapt door anarchisten als Anonymous bij gebrek aan visie en kennis in de politiek.

Op allerlei vlak speelt de ICT een grote rol die alleen nog maar groter wordt en in de komende jaren zal ook de politiek belangrijke keuzes moeten maken. En wetten. En het wordt steeds complexer. Mogen wij van de landelijke, provinciale en lokale politici verwachten dat zij de impact van de keuzes kunnen overzien als zelfs de beste IT architecten er al niet uitkomen?

Jawel. Dat mogen wij. In de politiek worden keuzes gemaakt die ons hele leven, onze samenleving beïnvloedden. Juist met het oog op deze aspecten is wordt het steeds belangrijker dat juist de politici de technologie gaan snappen, dat partijen over de IT impact van de voorstellen in hun partijprogramma gaan nadenken. Het is de hoogste tijd dat de politieke partijen een CTO, een Chief Technology Officer gaan aanstellen die dit in het snotje gaat houden.

Het einde van de Privacy

Posted on January 31, 2012 by Johan Vermij

Vrijdag 27 februari werd bij het Nederlands Forensisch Instituut (NFI) het nieuwste boek van Trendwachter Adjiedj Bakas gepresenteerd met de titel “Het Einde van de Privacy”

Dat is natuurlijk een onderwerp dat ons aanspreekt. Het boek van Bakas moeten we niet lezen als een roadmap voor IT vernieuwing en voert geen diepgaande analyse uit over de problemen in de IT maar is een lekker vlot lezend boek waarin diverse trends geschetst worden waar we wel iets mee moeten.

Het is geen inhoudelijk boek wat de Security specialisten of het Nationaal Cyber Security Centrum (NCSC) als bijbel gaan hanteren, maar toch denk ik dat het boek in het komende jaar een belangrijke plek kan innemen in de discussie over security omdat het het onderwerp verheft boven het technische geneuzel van de IT afdeling en het van een abstracte academische discussie omlaag haalt naar een praktische discussie die op elke management tafel gevoerd zou moeten worden.

Er is bijna geen enkel terrein in onze samenleving wat niet door IT geraakt wordt. Steeds meer systemen worden aan elkaar gekoppeld en onze privacy – zoals we het nu kennen – staat op het spel. Bakas stelt dat we het begrip privacy gaan herdefiniëren, wat onderschreven wordt door de heer Tjing a Tjoy, directeur van het NFI.

Daarnaast zal er niet meer blauw op straat komen, maar blauw op het net. 50% van alle criminaliteit nu heeft al een ‘cyber’ aspect, een digitale component. Directeur Leo Habers van het IT bedrijf ReasonNet zegt na een korte aarzeling dat hij ook de mening toegedaan is dat alles te hacken is.

Hoewel ICT het fundament onder deze veranderingen is gaat het ook om hoe wij met elkaar omgaan en elkaars privacy respecteren. Meerdere columns in het boek van Bakas belichten deze kant van de medaille, waaronder de column van Henk Jan Smits. Bakas beticht hem er van de privacy van vele onschuldige deelnemers van het programma Idols om zeep gebracht te hebben.

Gebruik het boek niet als beleidsdocument voor de IT agenda van de komende 5 jaar, maar ik raad zeker aan het boek wel te gebruiken om de thema’s op de agenda te krijgen.

Het boek zelf is verkrijgbaar bij (oa) Bol.com voor 22,50 EUR.

Foto’s M. Oosterbaan, HeerO

Opening NCSC, een Cyber Delta Plan

Posted on January 16, 2012 by Johan Vermij

Vorige week donderdag opende minister Ivo Opstelten met een spectaculaire lasershow het nieuwe Nationaal Cyber Security Centrum, het NCSC. De opening vondt plaats in het World Forum in Den Haag met een aantal plenaire sessies en diverse workshops.

Vlak voor de lunch sloot Melissa Hathaway het ochtendeel af met een verassend techniekloze lezing. Ondanks dat ze haar speech op handgeschreven kladjes voor zich had en geen gebruik maakte van de beamer wist ze de aandacht goed vast te houden, wat natuurlijk een prestatie an sich is.

Melissa Hathaway was security adviseur bij zowel de regering Bush als de regering Obama en gaf een korte overview van de geschiedenis van het internet. Met de opening van het NCSC ziet ze dat Nederland weer een leidende positie in Europa kan gaan innemen. En dat is nodig. Er komt een golf van cyberterrorisme op ons af. Er zijn nu al meer dan 67.000 nieuwe malware bedreigingen per dag. En het zal alleen maar erger worden.

Met een verwijzing naar de Watersnoodramp in 1953 en het daaropvolgende Delta Plan riep ze op om ook tot een Delta Plan te komen voor de bestrijding van Cybercrime. Hierin moeten we al onze kennis en kunde bundelen. Om dit goed te doen geeft ze het advies om Disney in te huren. Eén van de belangrijkste must do’s is het creeëren van Awareness. De boodschap moet gecommuniceerd worden, en wie kan dit beter doen dan deze filmstudio. Naast Awareness moeten we ook onze strategie durven aanpassen onderweg. Cyberterroristen zijn inventief. De aanvalsstrategie moet dan ook voortduren evolueren. Een derde aandachtspunt is de resourcing van de strategie. Zorg dat er voldoende middelen zijn om die strategie daadkrachtig uit te voeren.. Een vierde aadachtspunt volgens Hathaway is wendbaarheid. ‘Remain Agile’ en tenslotte is het nodig dat we onze ‘stem vinden’ Lange tijd hebben we in Nederland een beetje achter de rest aan gehobbeld, maar met het NCSC hebben we de kans om weer een lichtend voorbeeld te worden in Europa. We moeten onze kennis uitdragen en Europa voorgaan.

Miljoenennota Prinsjesdag 2011 gelekt

Posted on September 15, 2011 by Johan Vermij

In het kader van Overheid 2.0 bestaat de doelstelling om een stuk opener, transparanter, te worden. Dat gaat ze op dit moment voortreffelijk af. Na het DigiNotar debacle (waar de overheid overigens zelf niet zoveel aan kon doen) stonden vanmiddag de poorten van de schatkist wagenwijd open.

Vanmiddag rond 16.00 uur bleek ineens de Miljoenennota al leesbaar te zijn en werd deze in een razend tempo via Twitter verspreid. Bram Talman twitterde

W000t, heb de miljoenennota 2012 gevonden. Christ wat slecht beveiligd :p”

Hij heeft het stuk gevonden door het adres van de vorige Miljoenennota in te tikken en vervolgens het jaartal te wijzigen. “Het was een uurtje werk“, zei hij tegen de NOS. “Ik had geen wachtwoord nodig of niks.”

Ondertussen is de kamer not amused en lijkt anarchie te heersen in Den Haag, maar hoe spannend is dit nu eigenlijk?

Als project manager ben ik enkele jaren geleden een paar keer verantwoordelijk geweest voor de realisatie van de Rijksbegrotingswebsite en de Prinsjesdag website. Destijds was alles nog onder embargo en mocht er absoluut voor die dinsdag 14.00 openbaar worden.

De organisatie die er omheen stond was best professioneel. Van het ministerie van financiën, de ‘staatsdrukker’ en de IT leverancier. Hoewel… professioneel…

Er mocht echt absoluut niets uitlekken tot het moment supreme. Behalve allerlei geheimhoudingsverklaringen die de programmeurs moesten ondertekenen werden de ramen van de kamer met kranten afgeplakt voor het geval een journalist op de onzalige gedachte mocht komen met een telelens vanuit het kantoor aan de overkant een kiekje te schieten van de schermen. Natuurlijk zorgden we er voor dat pas op het allerlaatse moment de nieuwe website – op een andere server dan de bestaande website – aan het internet gekoppeld werd.

Maar, laten we wel wezen. Wat is er nou eigenlijk allemaal aan de hand? Om maar met Henk Bleker te spreken die tegen Radio1 te kennen gaf “Hoogst ongelukkig, maar het is niet zo dat Nederland in brand staat of zo”

Zijn er mensenlevens in gevaar? Nou nee. Die geheimhouding is natuurlijk een prachtig mediaspektakel. Iedereen is op jacht naar de nota en de spanning bouwt op naar de derde dinsdag. Het is een traditie die we gecreeerd hebben, met allerlei riten er omheen die ondertussen mythische proporties hebben aangenomen. Maar het blijft een spel. Het aandeel van het Koninkrijk der Nederlanden is vandaag niet gedaald. Er zijn geen miljoenen verdampt op de beurs. De grootste ramp waarschijnlijk van vandaag is dat Frits Wester vandaag een keer niet de primeur heeft, ook al twittert hij druk dat hij hem ook al had en nog aan het lezen was. We houden het dus op gekrenkte ego’s. Verder geen slachtoffers vandaag.

Bijkomend voordeel is dat de kans dat de website dinsdag a.s. plat gaat weer een stuk kleiner is geworden. Er zal nu vast geen peak performance gevraagd worden