Technologie en veiligheid: wat is er gebeurd en wie is verantwoordelijk?

28 Jan 2015 om 14:20 door Walter


Het nieuwe is er af, we gebruiken computers dagelijks. Privé en op ons werk. Waar in 1995 het internet nog exotisch was en enkel te bereiken via een luidruchtige inbelmodem, is het vandaag de dag beschikbaar op je mobiele telefoon en in je auto. Computers zijn tegenwoordig overal terug te vinden, bijvoorbeeld in de pinautomaat bij de bank, je alarmwekker, je elektrische tandenborstel, in verkeerslichten, de snoepautomaat en zelfs in de slagboom van de parkeergarage. We zijn dan ook niet ver meer verwijderd van 'Internet of Things' (IoT).

Internet of Things

IoT begon zoals de meeste technologische concepten als een visie, de visie om al die losse computers met elkaar te verbinden. Het internet is een prachtig wereldwijd netwerk en nu bijna elk apparaat een computer bevat is dit bij uitstek het moment om alles aan elkaar te knopen. Toch? Het klinkt niet verkeerd. Stel je koelkast besteld bij de Albert Heijn een pak melk en laat deze thuis bezorgen, dan hoef je nooit meer noodgedwongen je ontbijtgranen over te slaan. Verse koffie als je uit bed stapt en een bericht van je auto op je smartwatch (horloge)  dat deze begonnen is met het ontdooien van de voorruit, zijn ook niet onmogelijk. Ik geloof dat ik daar best aan kan wennen.

Elke dag een nieuwe uitvinding

Ben jij daar ook klaar voor? De technische ingrediënten zijn er inmiddels al. Het klinkt futuristisch maar het is alles behalve vergezocht. Vóóruit, we hebben het vliegende skateboard van Marty McFly (Micheal J. Fox, Back to the Future) nog niet, ondanks dat we inmiddels in 2015 zijn aanbeland. Films hebben zich regelmatig bewezen als inspiratiebron voor uitvinders en ingenieurs, maar niet alles is haalbaar op korte termijn. Toch hebben we in de afgelopen 15 tot 20 jaar enorme stappen gemaakt. Ingenieurs zien de mogelijkheden, ondernemers zien de kansen en consumenten zien de voordelen.

Veiligheid blijft achter

Toch blijft er iets gruwelijk achter op al deze techniek, iets dat duidelijk moeite heeft om de vooruitgang bij te benen. En dan heb ik het niet over ouderen. In mijn omgeving zie ik mensen van alle leeftijden spulletjes bestellen op internet, bijvoorbeeld via een iPad. Natuurlijk worden deze de eerste paar keer vaak op weg geholpen, maar we passen ons toch razendsnel aan. In 1999 was een webshop een vies woord, nu zijn ze juist vaak de leverancier van alle kerstcadeaus. Voor en door iedereen. Nee, wat ik bedoel met achterblijven is de veiligheid, wetgeving en handhaving.

Praktijkvoorbeelden

Als beroepstechneut, nieuwsgierig mens en wetenschapsfanaat denk ik vaak na over technologie en veiligheid. Aan de ene kant kunnen de uitvindingen mij niet snel genoeg komen, aan de andere kant houd ik toch altijd een gezonde angst voor de veiligheid. En gegrond toch? Herinneren we DigiNotar nog? Een bedrijf dat computer-certificaten uitdeelt om je veiligheid te garanderen. Later bleken ze gecracked te zijn en kwam aan het licht dat de gegarandeerde veiligheid er juist helemaal niet was.

Ik gebruik hier overigens de term 'gecracked' in plaats van 'gehacked' omdat hier wereldwijd een misverstand over bestaat. Dit schijnt begonnen te zijn in de media waar verslaggevers een criminele computer-kraker als 'hacker' bestempelde, in plaats van 'cracker'. Laat ik dat kort ophelderen; een hacker is iemand die de veiligheid van computers test, een legaal beroep om problemen te vinden. Een cracker is een crimineel doordat deze veiligheids-problemen in computers misbruikt voor persoonlijk gewin.

Afijn, ook niet al te lang geleden bleek het populaire 'Whatsapp' veiligheidsproblemen te hebben. Berichten werden zonder versleuteling over het internet verstuurd, een cracker kon dit verkeer dus afluisteren en persoonlijke details uit de gesprekken vissen. Stel je nu eens voor dat we het Internet Of Things op korte termijn realiseren. Dat betekent dat crackers via het internet ineens toegang kunnen krijgen tot vrijwel elk apparaat in huis. Persoonlijk lijkt me dat een vreselijk idee, hoe graag ik ook met een druk op mijn smartphone de lichten uit doe en gordijnen sluit.

Het privacy-debat

Het is niet mijn bedoeling om in dit artikel weer een discussie over privacy te beginnen. Sommige mensen vinden het belangrijk, andere geven aan dat ze niets te verbergen hebben. Ik wil er heel kort over zijn; als je op een openbaar toilet zit, doe je dan de deur dicht en op slot?: dan vind je privacy belangrijk. Privacy en veiligheid gaan samen. Gefilmd worden op straat, zoals gebruikelijk in Engeland, brengt een mate van veiligheid mee. Ook brengt het een mate van inbreuk op je privacy mee. Voor sommigen is dit laatste wel acceptabel en voor anderen niet.

Als een cracker mijn netwerk binnendringt en enkel mijn lichten weer aan kan doen en mijn gordijnen weer opent, dan is dat vervelend maar geen ramp vind ik zelf. Als een cracker mijn 'slimme energiemeter' voor de gek houdt om te voorkomen dat ik op mijn smartphone merk dat er veel te veel gebruikt wordt, zodat deze zijn weelderige wietplantage kan laten zegevieren, dan ben ik al minder enthousiast. Hier laat ten eerste software-veiligheid je in de steek, en met aan waarheidgrenzende waarschijnlijkheid later ook de wetgeving en handhaving.

Grote en kleine bedrijven krijgen er mee te maken

In het verleden heb ik hier regelmatig over nagedacht, gelezen en geadviseerd. Zo ook over de veiligheid van computer-data binnen het grootbedrijf. Dit was vóór de onthullingen van het NSA-schandaal en soortgelijke incidenten. Het leek me destijds al verstandig om data maar eens op te gaan slaan binnen Europa, onder Europese wetgeving. Met een achterdeurtje tussen veiligheidsdiensten is er ook dan geen garantie, maar als organisatie heb je dan in elk geval alles binnen je macht gedaan om de privacy en veiligheid van klanten te garanderen. Niet veel later kwamen de schandalen in het nieuws.

Maar veiligheid en privacy is net zo belangrijk binnen kleinere tot middelgrote bedrijven. Een voorbeeld hiervan zijn webwinkeleigenaren die in de gaten krijgen dat er iets niet de haak is. Ze komen dan naar je toe met de vraag 'wat is er gebeurd en hoe?'. Na een grondige analyse kom je er in de helft van de gevallen achter dat het commerciële redenen heeft aan beide zijde. De webwinkeleigenaar wil graag een lage investering, de cracker wil graag gemakkelijk geld verdienen aan zijn klantgegevens.

Populair doelwit

WordPress is een populaire keuze. Deze is overigens gemaakt om te bloggen, niet om te fungeren als webwinkel. Vervolgens moet er dus flink aan gesleuteld worden om er een winkel van te maken die voldoet aan alle wensen van de eigenaar. Ook hier mag er niet té veel geld in verdwijnen want de inkomsten zijn er nog niet. Via wat handige knullen, werving en selectie bureaus of freelance platformen gaat men op zoek naar een WordPress-expert die voor 30-40 euro per uur binnen een halve tot anderhalve dag alles omtovert tot een geweldige digitale winkel. Om tijd te besparen schrijft deze 'expert' ondoordachte code recht in de originele code van WordPress zelf. Het gewenste eindresultaat is immers vastgesteld, elke bocht die afgesneden kan worden is daarom een welverdiende meevaller voor de 'expert'. Voor dit uurtarief kan namelijk niemand werken, laat staan zijn verzekeringen betalen of een pensioen bij elkaar sparen.

Je kunt je voorstellen dat WordPress populair is, het is een gratis en uitgebreid platform dat ontwikkeld en onderhouden wordt door vrijwilligers. Vanwege deze populariteit en openheid van code trekt het ook de aandacht van crackers. Als je een methode vindt om in een dergelijk pakket in te breken dan kun je dit trucje immers herhalen op duizenden websites. Hoewel WordPress zo nu en dan een steekje laat vallen is het bij elkaar opgeteld best een net pakket met moderne, goede technologie. Om de foutjes te repareren die men eerder over het hoofd heeft gezien, brengt WordPress zelfs updates uit. Deze kun je eenvoudig gratis installeren.

'If you pay peanuts, you get monkeys'

Het probleem is echter dat deze updates niet geïnstalleerd kunnen worden. De beunhaas die eerder ingehuurd is 'voor weinig' en die zijn werkzaamheden onder druk heeft beperkt tot het broodnodige, heeft de code dusdanig aangepast dat een update van WordPress alle aanpassingen ongedaan maakt. De update overschrijft zijn werk. Dat was destijds de 'makkelijk weg'. De eigenaar zit niet te wachten op extra uitgaven, de winkel begint net wat omzet te genereren en de rekeningen kunnen langzaamaan betaald worden. Weet je wat?, denkt hij, 'dan updaten we toch gewoon even niet. Dat zien we later wel', is een veelgehoorde dooddoener.

Ondertussen heeft meneer-de-internet-crimineel je webshop op het oog. Hij ziet al snel dat het een oudere versie is en met wat goede hoop zitten er ook nog wat gaten in het prutsprogrammeerwerk om eventueel door naar binnen te komen. De moeite waard dus. Al die klantgegevens brengen een leuk centje op via criminele-internet-marktplaatsen, van e-mailadressen tot creditcardgegevens en alles er tussen in.

Met technologie komen grote verantwoordelijkheden

Veiligheid is een grote verantwoordelijkheid voor iedereen die met techniek en technologie werkt. Commerciële-beweegredenen kunnen hier soms tegenwerken. Het is dan ook verleidelijk om scherp geprijsd te leveren of in te kopen. Het gaat desondanks wel ten koste van de eindgebruikers. Jij en ik. Ook de verantwoordelijke kan op een boete rekenen, aldus bestaande wetgeving. Helaas heeft het College Bescherming Persoonsgegevens (CBP) eerder al aangegeven niet genoeg mankracht te hebben om alle schendingen van de privacy te onderzoeken. Desondanks is er een meldplicht voor bedrijven die de dupe zijn geworden van een ernstige crack. De meldplicht geldt alleen voor bedrijven in zes specifieke sectoren. Als particulier slachtoffer kun je momenteel proberen om aangifte te doen bij de politie, hoewel verhalen links en rechts doen vermoeden dat deze direct permanent gearchiveerd worden.

Veiligheid is een verantwoordelijkheid van ons allemaal. We kunnen dit pas aanpakken als iedereen in 'de keten' er mee bezig is. Tot die tijd druk ik liever zélf het knopje in van mijn koffiezetapparaat. En jij? Heb je die webcam al met een pleister afgeplakt? Ik zie dat je mijn artikel immers nog steeds zit te lezen.. (grapje natuurlijk)


Delen via:


Reacties:

Wees de eerste om te reageren!


Reageren:

Klik hier om je aan te melden of registreer binnen één minuut.