Schurkenstaten doen een Songfestivalletje op WCIT12 congres

Posted on December 15, 2012 by Johan Vermij

Eerder deze week eindigde ik mijn tweede artikel over de vraag of het internet regulering nodig heeft of niet met het uitspreken van de verwachting dat er geen consensus zou komen op het #WCIT12 congres in Dubai waar de leden van de ITU vergaderden over onder meer een omstreden voorstel van onder andere Rusland, China, Saudi Arabië en Iran.

Een dag later kon ik gerust gaan slapen omdat de eerste berichten naar buiten kwamen dat dit voorstel het niet gehaald zou hebben. Journaliste Violet Blue kwam als eerste met een exclusief interview op het toonaangevende CNet met een voormalige ITU beleidsmaker onder de kop “ITU Failed“, maar ook onze eigen Neelie Kroes geeft een update op de ontwikkelingen in Dubai en stelt dat Europa het gezamenlijke standpunt heeft dat Internet Governance niet onder de ITR’s horen te vallen.

Als ik de volgende ochtend wakker wordt ziet de wereld er opeens weer heel anders uit. Als onder andere Nu.nl bericht dat het voorstel toch ‘officieus’ aangenomen is gaan de alarmbellen wereldwijd rinkelen;

“Toch is een resolutie door de voorzitter Mohammed Nasser Al Ghanim aangenomen zonder officiële stemming. Hij peilde naar eigen zeggen de sfeer in de ruimte.”

Het lijkt er op dat er in de wandelgangen heel wat heen en weer gelobbyd is en de schurkenstaten een ‘songfestivalletje’ uit de hoge hoed getoverd hebben waarin ze massaal elkaars voorstellen steunden. In enkele reacties hoorde ik al de suggestie dat er vooraf aan deze stemming heel wat zakken geld heen en weer geschoven zouden zijn, maar daar is geen hard bewijs voor te vinden.

Al snel komt de westerse wereld in verzet tegen het voorstel en The Hill meldde woensdag dat de US het verdrag niet zullen ratificeren. ZDNet bericht vandaag dat ook Australie afstand neemt van het verdrag en op Nu.nl lezen we dat ook de Europese Unie geen staatscontrole op internet wil. De vraag is nu of dit genoeg is om voorlopig het voorstel tegen te houden. De ITU zelf geeft een overzicht van de landen die het verdrag al ondertekend hebben en op ipv.sx is dit nog even handig gevisualiseerd: Rood is tegen, zwart heeft al voor gestemd.

Verdeling stemmen over WCIT voorstel

In mijn vorige artikel schreef ik dat het niet van regulering gaat komen zolang er geen consensus is. Bovenstaande kaart geeft aan dat de wereld behoorlijk verdeeld is over het onderwerp. Ook D66 Europarlementariër Marietje Schaake constateert dat er een flinke tweedeling in de wereld is ontstaan.

“Er zijn nu duidelijk twee visies over de toekomst van het internet die haaks op elkaar staan: openheid versus meer overheidscontrole. Samenwerking binnen de EU, maar ook met onze internationale partners, is essentieel om het open en vrije internet te behouden.” (Nu)

Helaas is het nog niet zo heel duidelijk, aangezien de Verenigde Staten en Australië wel mordicus tegen dit voorstel zijn, maar op hele andere gronden zelf groot voorstanders van regulering en staatscontrole zijn.

Vandaag is het officieel de laatste dag van het congres en ik heb nog geen definitieve slotverklaring gezien. Vooralsnog ga ik er van uit dat ik gelijk krijg en het voorstel er vanwege de meningsverschillen niet doorheen komt. Maar stel dat…

Wat gaat er gebeuren als het voorstel het wel haalt? Wat is er nou zo erg aan? Ik zal er nu kort over zijn en als we de definitieve slotverklaring gelezen hebben zal ik er in een volgend artikel verder op in gaan.

De strijd om het internet zal nog wel even voortduren. Hoewel informatie vrijelijk verspreid wil worden, ongeacht geografische of anderssoortige grenzen, zullen de verschillende landen om economische en staatsveiligheidsredenen deze strijd niet snel op geven. Als er dan al regulerende maatregelen aangenomen worden die staatscontrole mogelijk maken zal dat niet zonder gevolgen zijn. De meeste mensen hebben er nu geen flauw benul van wat er in Dubai bekokstoofd wordt. Als er wel een regulerende maatregel doorgevoerd wordt zullen er mensen wakker worden en gaan protesteren. Het zal zijn weerslag krijgen in verkiezingen, kamervragen en wat dies meer zij met het resultaat dat er weer allerlei dempende maatregelen genomen worden en een deel van de getroffen maatregelen ongedaan gemaakt zullen worden. Dit zal een strijd blijven tot de mastodonten van het analoge tijdperk plaats maken voor de Digital Natives.

Internet Regulering Ja of Nee? (Deel 2)

Posted on December 10, 2012 by Johan Vermij

Geen consensus: geen regulering. Dan maar censuur?

In het vorige artikel, het eerste artikel over “Internet Regulering Ja of Nee?” eindigde ik met de stelling dat, nu alles aan het internet gekoppeld wordt, de vraag om regulering het niveau van individuele zakelijke belangen ontstegen is en het een nationale aangelegenheid geworden. Het probleem is natuurlijk dat we niet te maken hebben met een nationaal internet, maar een international netwerk dat niet onder één vlag vaart. In deze situatie is regulering alleen haalbaar als er een universele consensus is over het onderwerp. Zoals bijvoorbeeld Kinderporno. De hele wereld is hier op tegen, dus regulering is haalbaar. Als het over online casino’s gaat is het een heel ander verhaal. Wetgeving over gokken verschilt van land tot land en zal er geen internationale regulering afgedwongen kunnen worden.

Overizcht Internetcensuur

Wanneer er geen internationale consensus is en er dus geen regulerende maatregelen getroffen worden rest er niets anders dan het toepassen van censuur als je als land toch die informatie buiten de deur wilt houden. Denk hierbij bijvoorbeeld aan de strengislamitische landen die afbeeldingen van vrouwen uit de zoekresultaten weren, Zuid Korea dat alle nieuws uit Noord Korea filtert of de bekende ‘Great Firewall of China’. In de westerse wereld zijn wij sterk tegen censuur omdat het een inbreuk is op ons recht van vrije meningsuiting. Toch is het maar een dunne scheidslijn. In Nederland vinden wij censuur van Kinderporno geen probleem omdat wij het er over eens zijn dat dit niet hoort. Waarom vinden wij het dan verwerpelijk als een Islamitisch land alle porno censureert omdat men daar vindt dat dit verwerpelijk is?

Compliancy ontoereikend

In allerlei compliancy eisen die tegenwoordig gesteld worden aan overheidsorganisaties en banken zien we daarom ook steeds meer eisen ten aanzien van waar de data opgeslagen wordt. In die compliancy eisen of lokaliteit proberen de overheden de betreffende data ook onder het Nationaal recht te krijgen. Met de antiterrorisme wetgeving (Patriot Act) gaat Amerika natuurlijk nog een stuk verder en proberen ze hun neus in alle data te steken, tot en met de inzage in het EPD (Elektronisch Patiënten Dossier) aan toe. We zien dat deze compliancy eisen in veel gevallen nog te weinig resultaat bieden en zien we diverse landen steeds vaker een voorstel doen om het internet te nationaliseren.

WCIT-12

Van 3 tot 14 december 2012 wordt in Dubai het jaarlijkse congres van de ITU gehouden. De ITU bestaat al zo’n 150 jaar en is opgericht om toe te zien op de internationale Telecom standaarden. Het belangrijkste agendapunt van deze summit is de eerste herziening van de International Telecommunications Regulations (ITRs): regels voor de telecomsector, sinds 1988, maar vooraf was er al enige speculatie of landen dit congres zouden aangrijpen om de controle over het internet te grijpen.

“Een aantal partijen grijpen WCIT12 aan om ook het internet onder het gezag van ITU te krijgen. Of correcter, via ITU de macht naar zichzelf te halen. Rusland heeft te elfder ure een uiterst omstreden voorstel in geschoten die nationale overheden de macht geeft over internetverkeer. Daarnaast willen Europese telecombedrijven een internettolweg aanleggen waar de afzender (de content- of dienstenaanbieder) moet betalen voor gegarandeerde doorgifte van data.” aldus Webwereld.

wcit-2012 - ITU/Flickr

De voorzitter van de ITU, Hamadoun Touré, ontkent ten stelligste dat de ITU een internetcoupe plant: “iedere bewering dat de VN uit is op het in handen nemen van de touwtjes van het internet “compleet onwaar” is. In plaats daarvan wil de VN de fluwelen handschoen aantrekken om daar waar nodig “lichte maatregelen” te treffen”, aldus Computerworld

Het Russische voorstel is te vinden op de website van WCIT Leaks. Hoewel de Verenigde Staten een sterke voorstander van regulering zijn, schoot dit voorstel ze in het verkeerde keelgat en resulteerde dit in een zeer bijzondere unanieme afwijzing door het Huis van Afgevaardigden van elk voorstel dat de ITU hierover zou doen.

De tegenstand van Amerika tegen deze nationalisatie heeft natuurlijk economische gronden, met internet giganten als Google en Facebook binnen de landsgrenzen. Hoewel ze het formeel iets anders (dwz politiek correct) formuleren

“Omdat dit ‘s werelds voornaamste contentproviders zijn, zou een dergelijke regeling betekenen dat de Verenigde Staten andere landen moeten gaan betalen om de content wereldwijd verspreid te krijgen”, aldus Computerworld

Tot zover is er niets nieuws onder de zon. Alle voorstellen met betrekking tot regulering lijken nog steeds ingegeven om nationale wetgeving af te dwingen op het internet of het beschermen van economische belangen. Hierin verschilt de discussie nog steeds niet van de aloude DRM discussie uit de eerste jaren van deze eeuw. Zolang er geen wereldwijde consensus is, is die regulering een utopie. Ik ga er dan ook niet vanuit dat er zich deze week een werkelijke internet-coup voltrekt. Er zijn echter andere ontwikkelingen die wel om regulering lijken te vragen, maar het vertrekpunt moet wezenlijk anders zijn. Daarover in een volgend artikel.

Cybersecurity Strategie: Den Haag vs. Davos

Posted on December 8, 2012 by Johan Vermij

DEN HAAG – Debat Nationale Cybersecurity Strategie

Gisteren werd er in de tweede kamer een vermakelijk debat gevoerd over de voortgang Nationale Cybersecurity Strategie. Niet gehinderd door enige kennis van zaken werd er honderuit gekletst over agendapunten als “beveiligingslekken in Internet Explorer”.

2ekamer

Natuurlijk stonden er ook relevante onderwerpen op de agenda, maar het totaalbeeld van het debat biedt weinig hoop voor een veilige digitale toekomst. Met alle goede bedoelingen, de heren (en dames) politici weten van hoed noch rand op het gebied van security en privacy. Toch nog maar weer eens een lans breken voor een Politieke CTO. Iedere partij zou er een moeten hebben om de politici bij te praten over de zaken die in dit domein echt belangrijk zijn.

DAVOS – Partnering for Cyber Resilience

Een paar honderd kilometer verderop werd in Davos grover geschut ingezet. CEO’s van grote bedrijven en academici van all over the world kwamen hier samen om een partnership aan te gaan in de strijd tegen Cyber Terrorisme, of zoals de projectleider van Deloitte het verwoordt:

Als hackers en andere kwaadwillenden intensief samenwerken moeten CEO’s, politici en andere belangrijke beslissers dat ook doen om zich te wapenen tegen de cyberbedreigingen.

Het Partnering for Cyber Resilience is een gezamenlijk initiatief van Deloitte en het World Economic Forum (vandaar Davos). Het grote verschil met het debat in Den Haag is dat dat het niet over trivialiteiten gaat maar over een wezenlijke mentaliteitsverandering ten aanzien van Cyber Security en het aangaan van een commitment op directie niveau. Het brengt Security Awareness naar de directietafel.

‘Cyberaanvallen binnen twee jaar grootste bedrijfsrisico’

Posted on December 3, 2012 by Johan Vermij

AMSTERDAM – Cyberaanvallen zijn binnen twee jaar een groter risico voor bedrijven dan economische onzekerheid.

Dat blijkt althans uit een onderzoek onder ruim 3300 IT-specialisten door een beveiligingsbedrijf. Het is niet de eerste keer dat de risico’s van cyberaanvallen voor bedrijven onder de aandacht worden gebracht.

Bijna de helft (48 procent) geeft aan dat de beveiliging tegen online diefstal van intellectueel eigendom in hun bedrijf te wensen over laat. Bovendien geeft 51 procent toe machteloos te zijn tegen serieuze pogingen van cyberspionage.

Mede daardoor geeft een derde van de IT-specialisten aan dat hij verwacht dat zijn onderneming vroeg of laat slachtoffer wordt van cyberaanvallen.

Opvallend is dat ook een derde van de ondervraagden niet op de hoogte is van de laatste trojaanse paarden en niet weet hoe gerichte aanvallen precies worden uitgevoerd.

Op dit moment wordt de economische onzekerheid door bedrijven als het grootste risico gezien. Cyberaanvallen staan op de tweede positie. Binnen twee jaar zou deze rangschikking dus omgedraaid moeten zijn.

Bron: Nu.nl

Bij Auruncus gaan we een stapje verder. We schrijven er al een tijdje over, en dat blijven we doen. Cyberaanvallen zullen niet over een jaar of twee de een grotere bedreiging zijn voor het bedrijfsleven dan economische onzekerheid, maar binnen een decennium voor een grotere, diepere financiële crisis zorgen dan de huidige economische crisis omdat ze de hele economie kan ontwrichten.

Anonymous start eerste cyberoorlog

Posted on November 20, 2012 by Johan Vermij

Het is een historische dag vandaag. Er word geschiedenis geschreven. Het bijzondere is dat bijna geen enkele nieuwssite of krant er aandacht aan besteed. In Nederland zijn de ontwikkelingen in de zaak Vaatstra het belangrijkste nieuws. Daarnaast krijgen de beschietingen op de Gaza strook een behoorlijke dosis aandacht, maar verder dan de ouderwetse oorlogsvoering wordt er niet gekeken terwijl er los van de raketaanvallen een andere oorlog is begonnen die mogelijk de wereld gaat veranderen.

Gisteren en vannacht zijn we getuige geweest van het begin van de eerste echte Cyberoorlog waarin honderden hackers uit het Anonymous collectief een gezamenlijke aanval op Israelische doelen zijn gestart onder de campagnenaam #OpIsrael. Volgens ABC News zijn er in de loop van de avond en de nacht meer dan 44 miljoen aanvallen gelanceerd op diverse doelen.

CNN meldt dat de schade in geen verhouding staat tot de schade op de grond. Daar hebben ze nog wel gelijk in, want er staat natuurlijk geen prijskaartje op een mensenleven. Aan de andere kant vind ik het wel een onderschatting van wat er gebeurd. Gezien de 44 miljoen aanvallen valt de uiteindelijke schade mee; Er zijn een aantal databases gehackt en gebruikersnamen en wachtwoorden gelekt. Volgens The Next Web zijn er een kleine 700 websites zijn gedurende een korte periode offline geweest als gevolg van de vele DDoS aanvallen waaronder enkele overheidssites en de Israelische Mastercard website. Zolang het bij websites blijft en niet bijvoorbeeld het betalingsverkeer lamgelegd wordt blijft de economische schade beperkt.

Dat die schade mee valt is voor een deel ook te danken aan de preventieve maatregelen die Israel genomen heeft. De Israëli’s zijn constant beducht voor aanvallen en ook cyberaanvallen horen in dit scenario thuis. Een ander land met minder voorbereiding zou volledig lamgelegd kunnen zijn als de hackers ook in de infrastructurele systemen hadden kunnen inbreken zoals de water en energie voorziening.

Hoewel de daadwerkelijke schade, ook in economische zin, mee valt is het belang van deze cyberaanval niet te onderschatten. Diverse instanties waarschuwen al een tijd dat het niet de vraag is of maar wanneer de eerste cyberoorlog zal uitbreken. Ook op dit blog heb ik dat meerdere keren aangestipt. Nu het dan zover is kunnen we een aantal voorzichtige conclusies trekken.

In de eerste plaats valt de schade mee door de goede voorbereidingen van Israel. Een ander doelwit met minder goede beveiligingsmaatregelen had veel harder getroffen kunnen worden.
In de tweede plaats valt de schade mee doordat ze uitgevoerd zijn door een collectief hacktivisten. Hoewel er veel goede hackers zijn binnen het Anonymous collectief is het een te ongecoördineerde actie geweest om echte infrastructurele schade aan te richten. Een militair geleidde aanval zou andere doelen geselecteerd hebben.
In de derde plaats is de massaliteit van de aanvallen verontrustend. Ook met beperkte middelen en huis tuin en keuken hacktivisten is het mogelijk om miljoenen DDoS aanvallen te initiëren. Dat geeft te denken over de mogelijkheden die een militaire operatie in een aanval van land op land zou hebben.
In de vierde plaats vind ik het ook verontrustend dat Anonymous zich nu met politiek en lokale conflicten inlaten. Bij veel mensen kan Anonymous op sympathie rekenen omdat ze digitale misstanden aan de kaak stellen. De aanvallen van gisteren zijn echter wel te kwalificeren als oorlogshandelingen en daarmee is er een grens overschreden. Zal Anonymous verder radicaliseren en professionaliseren?

Er staan veel vragen open voor de toekomst na deze eerste gerichte cyberaanval op een land. Hoeveel schade zou er daadwerkelijk aangericht kunnen worden als het een militaire operatie zou zijn en de aanval een laag dieper doordringt in de infrastructurele systemen? In dat gevolg zou de mogelijke schade enorm kunnen zijn. Een cyberoorlog is in potentie gevaarlijker voor de economie dan de huidige financiële crisis.

Het gebrek aan aandacht in de media voor deze ontwikkelingen is ook een teken aan de wand: Cyber Security is niet in beeld omdat men geen idee heeft van de mogelijke schade. Totdat het straks te laat is…

Week in ReTweet 37

Posted on September 16, 2011 by Johan Vermij

De afgelopen weken zijn behoorlijk heftig met nieuws op het gebied van cybersecurity, privacy, digitale knulligheden en grootse plannen. Hoog tijd om maar eens een “Week in Review” categorie op te zetten met links naar het meest relevante nieuws op dit gebied. Helaas zijn “Week in Review”, “Security Weekly” of “Keek op de Week niet bijster origineel. Voorlopig maar de werk titel “Week in ReTweet” met een overzicht van artikelen die ik getweet heb.

DigiNotar

Het nieuws van afgelopen week kwam natuurlijk van DigiNotar. Het meest volledige overzicht is te vinden op Security.nl in het DigiNotar dossier.

MiljoenenNotar

Met stip op nummer twee natuurlijk de gelekte Miljoenennota 2012. Na de Notar lijkt de overheid met de Nota notoir de ranglijst securityklunzen aan te gaan voeren.

Via NOS.nl van minuut tot minuut te volgen.

Naast de Haagse Miljoenennota is op dezelfde knullige wijze de Utrechtse begroting 2012 gelekt.

RT @rtvutrecht: Verslaggever Dennis van Ommeren over ICT-blunder #Utrecht. Stad zet #begroting te vroeg online. http://bit.ly/n2ndJO

Via Nu.NL

Verreweg het meeste nieuws komt van Nu.nl, niet omdat ze zulk geweldige speurneuzen zijn maar vanwege het simpele feit dat het Nu-Appje zo makkelijk retweet.

IBM pleit voor cyber-NAVO: http://op.nu.nl/o2oraz

Hackers zijn beveiligingsproblemen beu: http://op.nu.nl/pgBXSx

‘Veiligheid Staat was in geding bij ICT’: http://op.nu.nl/rcpeW9

‘Recht op flexibel werk vanaf 2013’ http://www.nu.nl/economie/2610897/recht-flexibel-werk-2013.html

Vertrouwelijke raadsstukken openbaar door lek: http://op.nu.nl/nn7xW9

Bits of Freedom

Smulweb heeft 1 miljoen passwords onversleuteld opgeslagen. Onversleuteld! http://bit.ly/oki3Tf

Eindhovens Dagblad

Zelf baas worden over je digitale leven – Mening – ED: http://bit.ly/om8qT4