Tag Archives: Cybercrime

97e FD Column: Uitblijven cybersecuritywet toont onmacht EU

Deze column staat in Het Financieele Dagblad van 14 januari 2022. Volg deze link voor mijn eerdere FD columns.

Het internet der dingen is slecht beveiligd en een bron voor cyberaanvallen. Invoering van een Europese wet die dit tegengaat is broodnodig. Maar de Europese Unie komt niet over de brug, schrijft advocaat Axel Arnbak.

Illustratie: Hein de Kort voor Het Financieele Dagblad

De brakke beveiliging van het internet der dingen (Internet of Things, IoT) is al tien jaar een urgent maatschappelijk probleem. Slecht beveiligde webcams laten criminelen achter de voordeur meekijken of u een dure auto, kunstwerk of tafelzilver bezit. Connected speelgoed blijkt eenvoudig hackbaar en daarmee afluisterbaar via ingebouwde microfoons. Bovendien verbouwen cybercrimegroepen en landen als Rusland al die honderdduizenden kwetsbare IoT’s op de markt tot krachtige digitale netwerken voor het lanceren van cyberaanvallen.

Truc
De Europese Commissie (EC) klaagt al jaren en bij herhaling dat de EU-lidstaten en de industrie pogingen tot serieuze cybersecuritywetgeving blokkeren. Daarom gaat de EC soms onder de radar en neemt zij het heft in eigen handen. Deze week gebruikte de EC stilletjes een oude Europese wet over radioapparatuur voor een eigenstandige beleidsbeslissing om alle draadloze internetelektronica die in Europa op de markt komt aan minimumvereisten voor cybersecurity te laten voldoen. De Commissie plakt met deze juridische truc een pleister op een deel van de markt, al geldt de maatregel pas vanaf medio 2024. Zij spreekt daarnaast wederom de hoop uit dat er ooit een volwassen cybersecuritywet komt die niet alleen in bepaalde sectoren, producten of technologieën geldt, maar voor alle apparaten en software.

Haar behendige trucje, dat ons nog 30 maanden niet verder helpt, staat daarmee ook symbool voor de onmacht van de Europese Unie om cybersecurity maatschappijbreed te reguleren en de informatieveiligheid van alle Europese burgers, bedrijven en overheidsinstanties te beschermen. Terwijl de blauwdruk voor zo’n cybersecuritywet er met de Europese verordening AVG al ligt. Continue reading 97e FD Column: Uitblijven cybersecuritywet toont onmacht EU

92e FD Column: Pak cybercriminelen bij de zwakste schakel – de bitcoin

Deze column staat in Het Financieele Dagblad van 30 juli 2021. Volg deze link voor mijn eerdere FD columns.

Cybercriminelen hebben hun slachtoffers steeds meer in hun macht. Om getroffen organisaties en de bredere samenleving te beschermen, dient de internationale aanpak van ransomware zich te richten op het meest kwetsbare deel van de cybercrimeketen: de bitcoin, schrijft advocaat Axel Arnbak.

Illustratie: Hein de Kort voor Het Financieele Dagblad

Informatie is macht, al helemaal in de wondere wereld van ransomware (gijzelsoftware). Cybercriminelen hebben hun slachtoffers steeds meer in hun macht, vooral omdat de technische en juridische problemen voor slachtoffers toenemen. Toch wordt ook de achilleshiel van cybercriminelen zichtbaarder: niet de pakkans, maar het verdienmodel achter ransomware. Om getroffen organisaties en de bredere samenleving te beschermen en de explosieve toename van cybercriminaliteit aan banden te leggen, dient de internationale aanpak van ransomware zich te richten op de zwakste schakel in de cybercrimeketen: de bitcoin.

Organisaties met stilgevallen dienstverlening en verlamde productielijnen sieren al weken de voorpagina’s van de internationale pers. Natuurlijk waart gijzelsoftware al decennia rond in cyberspace. Maar aan de laatste golf is goed te zien dat meer aanvallers actief zijn en meer ervaren worden in het binnendringen van organisaties, het inschatten van waardevolle informatie voor ontfutseling en het vervolgens versleutelen van de kritische computersystemen, zodat een organisatie ook echt lam ligt. De slachtoffers lijken ook meer bereid losgeld in bitcoins te betalen om weer online te komen of publicatie van gevoelige informatie op het internet te voorkomen.

Goudmijn
Tegelijkertijd neemt het aantal potentiële doelwitten voor aanvallers alleen maar toe, naarmate de nieuwe maar vooral ook de oude economie het gehele bedrijf aan het internet hangt. Waar de vaak verouderde machines in productielijnen in energiebedrijven en de maakindustrie om efficiencyreden aan het ‘internet der dingen’ worden geknoopt, vormen zij een goudmijn voor gijzelsoftware. Zo lang er veel landen blijven die een veilige haven bieden aan cybercriminelen, neemt de pakkans ook niet significant toe.

Bovendien zijn technische en juridische complexiteit van crisismanagement voor slachtoffers toegenomen, net als de financiële belangen en de zorgen in de samenleving. Zodra een bedrijf of individu slachtoffer wordt lopen tientallen technische, organisatorische en juridische workstreams meteen door elkaar heen.

Voor een bedrijf of individuele bestuurder is het weren van cybercriminelen governance op topsportniveau

Gek genoeg bel je als eerste je advocaat. Je moet namelijk direct een IT-consultant van wereldklasse aan het werk zetten met het onderzoek naar de oorzaak en de herstelwerkzaamheden, en die werkzaamheden moeten vanaf het eerste uur binnen de vertrouwelijkheid vallen die een advocaat wettelijk kan garanderen. Dit in het geval je weken of zelfs jaren erna nog in gesprek bent met verzekeraars, klanten, leveranciers, toezichthouders of zelfs claimstichtingen die juist alle belang hebben bij toegang tot de technische bevindingen en bestuurlijke respons van het allereerste uur.

Een advocaat moet ook meteen meedenken over de vele wettelijke notificatieplichten en crisiscommunicatie met andere stakeholders: wanneer en hoe stel je de financiële markten, aandeelhouders, verzekeraars, accountants, toezichthouders, opsporingsdiensten, consumenten, leveranciers en werknemers op de hoogte van de black-out? En de advocaat denkt ook mee over de terugkerende dilemma’s als civiele aansprakelijkheid en strafrechtelijke dimensies aan onderhandelen met cybercriminelen en het betalen van losgeld.

Voor het bedrijf of individuele bestuurder geldt dat zij voor de organisatie de besluitvorming rondom het crisismanagement moeten documenteren, om later te kunnen laten zien dat zij altijd de juiste technische en juridische beslissingen hebben genomen. Governance op topsportniveau.

Waar de verdediging steeds meer technische en juridische gaten moet afdekken, hebben aanvallers aan een gaatje genoeg. Het kat-en-muisspel wordt steeds oneerlijker. Voor organisaties zit er maar een ding op: voorbereidingen treffen zo lang het nog kan en dilemma’s nu al beslechten in de boardroom. Niet om iedere aanval af te slaan, maar vooral om ten opzichte van andere doelwitten minder aantrekkelijk te zijn. Reken erop dat cybercriminelen al binnen zijn, en op basis van grondig onderzoek binnen het bedrijfsnetwerk afwegen bij welke organisatie zij doorpakken. Cybercriminelen maken net als koele bestuurders een nuchtere kosten-batenanalyse: organisaties met back-ups, een fallback-scenario en een up-to-date IT-omgeving vormen een minder interessant doelwit om programmeertijd in te investeren.

Schakel onder- en bovenwereld
Precies in die koelbloedige economische afwegingen schuilt ook de achilleshiel van cybercriminelen en de crux voor beleidsmakers. Cybercrime-experts Bruce Schneier (Harvard University) en Nicholas Weaver (Berkeley University) pleiten, ondanks hun achtergrond in computerwetenschappen, ervoor het businessmodel van ransomware te frustreren. Want pas als cybercriminelen een sloot bitcoins verwerven, wordt het lastig. Net als conventionele criminelen zien zij zich geconfronteerd met witwasproblematiek. Grote bitcointransacties, en vooral de omzetting in andere cryptomunten of dollars, zijn ondanks de belofte van anonimiteit van cryptogeld juist goed traceerbaar omdat iedere transactie wordt geregistreerd op de blockchain. Wisselkantoren in cryptocurrencies moeten als schakel tussen cybercriminele onder- en bovenwereld wereldwijd worden onderworpen aan witwasregelgeving en verscherpte controles door belastingdiensten en financiële opsporingsdiensten.

Zeegodin Thetis moest haar zoon toch ergens aan vasthouden, toen zij Achilles in de kolkende vlammenrivier van de onderwereld Styx dompelde om hem onsterfelijk te maken. Achilles groeide uit tot een schijnbaar onoverwinnelijke tegenstander, totdat de slimme Paris met een welgemikte pijl in zijn hiel de teloorgang van Troje kon voorkomen. Het kat-en-muisspel tussen aanval en verdediging valt steeds vaker uit in het voordeel van de aanvaller. Het is tijd om cybercriminelen in hun achilleshiel te raken.

87e FD Column: Grapperhaus legt een bom onder veilig internet

Deze column staat in Het Financieele Dagblad van 11 maart 2021. Volg deze link voor mijn eerdere FD columns.

Illustratie: Hein de Kort voor Het Financieele Dagblad

  • Wetsvoorstel om diensten als Whatsapp te kunnen aftappen is gevaarlijk.
  • Versleuteling beschermt het sociale en economische digitale leven.
  • Verzwakking encryptie zou burgers en bedrijven enorme schade toebrengen.

Maken wij ons internet veilig voor iedereen, of kwetsbaar voor iedere kwaadwillende? De oplossing voor een veilige online wereld ligt in een zo breed mogelijke inzet van robuuste versleuteling van alle internetcommunicatie. Toch probeert vrijwel elke minister van Justitie sinds de jaren ‘90 versleuteling te verzwakken door de inzet ervan te beperken of ‘achterdeurtjes’ te verplichten. Maar het ondermijnen van versleuteling is en blijft technisch onmogelijk, economisch rampzalig, juridisch onhaalbaar en zowel maatschappelijk als geopolitiek onwenselijk.

Vorige week berichtte de NOS over een nieuwe variatie op dit bekende thema. Kennelijk werken ambtenaren van demissionair minister Ferd Grapperhaus van Justitie en Veiligheid nog steeds aan plannen om toegang te krijgen tot chat- en berichtendiensten. Dit ondanks de demissionaire status van het kabinet, een vooruitstrevend kabinetsstandpunt uit 2016 en breed gesteunde Kamermoties die versleuteling toejuichen.

De maat is nu vol voor een omvangrijke coalitie van maatschappelijke organisaties, bedrijven en wetenschappers, die naar buiten treedt met een simpele oproep: ‘Stimuleer de ontwikkeling, beschikbaarheid en toepassing van alle vormen van versleuteling’. Laat deze oproep van een ongekend diverse groep de genadeklap zijn voor de gevaarlijke pogingen om de veiligheid van onze digitale wereld te ondermijnen. Continue reading 87e FD Column: Grapperhaus legt een bom onder veilig internet

82e FD Column: Niemand kan integriteit verkiezingen VS garanderen

Deze column staat in Het Financieele Dagblad van 15 oktober 2020. Volg deze link voor mijn eerdere FD columns.

Illustratie: Hein de Kort voor Het Financieele Dagblad 

In het kort

  • Technologie stemproces in VS oud en onveilig.
  • Stemsystemen in kiesdistricten kunnen worden gehackt.
  • Dat maakt het onmogelijk om eerlijke uitslag te garanderen.

Meer dan ooit zijn de Amerikaanse presidentsverkiezingen verworden tot een tragikomisch schouwspel over een wereldmacht in verval, en een dans op de vulkaan vanuit cybersecurityperspectief. Het verkiezingsproces leunt namelijk op hopeloos verouderde computersystemen, kwetsbaar voor verkiezingsfraude of sabotage.

De spectaculaire digitale veldslag die onlangs in de publiciteit kwam tussen cybercriminelen, Amerikaanse inlichtingendiensten en Microsoft rondom het neerhalen van het cybercrimeplatform Trickbot, vormt helaas slechts een druppel op een gloeiende plaat. Via Trickbot stond kennelijk een collectie van twee miljoen computers (een botnet) klaar om Amerikaanse stemsystemen te ontregelen.

Zolang de stemtechnologie en procedures in cruciale Amerikaanse kiesdistricten zo lek als een mandje blijven, kan niemand met zekerheid stellen of de Amerikaanse verkiezingen van 3 november geldig of gemanipuleerd zijn. Dat wordt vooral een groot probleem als de twist tussen president Donald Trump en uitdager Joe Biden een nek-aan-nekrace blijkt te zijn.

Continue reading 82e FD Column: Niemand kan integriteit verkiezingen VS garanderen

74e FD Column: Plannen om versleuteling te ondermijnen zijn onveilig en gevaarlijk

Deze column staat in Het Financieele Dagblad van 9 januari 2020. Volg deze link voor mijn eerdere FD columns.

Geschiedenis herhaalt zich, ook in de relatief recente historie van het internet. Sinds de jaren negentig lanceren overheden iedere drie tot vijf jaar een voorstel om de versleuteling van internetcommunicatie te ondermijnen. Steeds is het debat heftig en emotioneel. En iedere keer is de uitkomst toch dat robuuste versleuteling onmisbaar is voor de werking van het internet, en daarmee ook voor onze financiële markten, ziekenhuizen, snelwegen en al het andere dat ons lief is in de digitale wereld.

 

Illustratie: Hein de Kort voor Het Financieele Dagblad.

 

Weliswaar kunnen kwade krachten – van terroristen via drugskartels tot kindermisbruikers – hun communicatie dan ook versleutelen. Desondanks blijken gerichte en slimme opsporingsacties succesvol om criminele netwerken op te rollen, kunnen de onmisbare voordelen van betrouwbare communicatie blijven bestaan en kan onze informatiesamenleving zich doorontwikkelen.

Nieuwe pogingen

Minister van Justitie en Veiligheid Ferdinand Grapperhaus en zijn evenknieën in de Verenigde Staten, het Verenigd Koninkrijk en Australië, maakten zich recent weer eens schuldig aan nieuwe pogingen om technologiebedrijven te verplichten een ‘exclusieve achterdeur’ te bouwen in hun versleutelde producten, zodat alleen ‘de overheid’ kan meeluisteren. Al dertig jaar klimmen experts, het bedrijfsleven en het maatschappelijk middenveld dan weer zuchtend in de pen om de samenleving te herinneren aan ons vorige dansje in deze cryptowars, bijvoorbeeld rondom de versleuteling van de 5G-standaard en de iPhone.

Maar de Amerikaanse minister van justitie William Barr gooide onlangs een nieuwe steen in deze versleutelingsvijver. Barr wil preventief alle internetcommunicatie scannen op ‘schadelijke informatie’. De adjudant van Trump stelt, misschien zonder het zelf te realiseren, in feite volledige surveillance van alle internetcommunicatie voor, zoals dictatoriale regimes dat kennen. Zijn plan moet, los van de juridische onmogelijkheid in de Europese Unie, principieel te vuur en te zwaard worden bestreden. Continue reading 74e FD Column: Plannen om versleuteling te ondermijnen zijn onveilig en gevaarlijk

69e FD Column: Zorg over effect digitaal speelgoed op ontwikkeling kinderen is terecht

Deze column staat in Het Financieele Dagblad van 22 augustus 2019. Volg deze link voor mijn eerdere FD columns.

Kinderen hebben de toekomst. Maar kunnen kinderen in onze hyperverbonden toekomst nog wel kind zijn? Datatoezichthouders maken zich grote zorgen om de staat van privacy en cybersecurity in kinderspeelgoed. De eerste hoge boetes op grond van privacywet AVG zijn aanstaande.

 

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Minder bekend, maar even zorgwekkend zijn incidenten over digitale manipulatie en problemen in de ontwikkeling van kinderen door blootstelling aan bizarre content. De Europese Commissie bezint zich momenteel op nieuwe wetgeving. Hoog tijd dat kinderen ook in de informatiesamenleving nog even kind mogen blijven en nog even niet bedolven worden onder digitale spionage en manipulatie. Continue reading 69e FD Column: Zorg over effect digitaal speelgoed op ontwikkeling kinderen is terecht

57e FD Column: Grondrechtentraditie moet perverse effecten van kunstmatige intelligentie helpen voorkomen

Deze column staat in Het Financieele Dagblad van 29 november 2018. Volg deze link voor mijn eerdere FD columns.

Internetreuzen als Amazon, Google en Microsoft zetten al jarenlang in op kunstmatige intelligentie (AI). Toch gaat er veel mis als zelflerende algoritmes losgaan op de werknemers, foto’s of klanten. Vorige maand onthulde Reuters dat Amazon na vier jaar een hr-tool om door cv’s van sollicitanten te scannen weer in de ban doet, omdat die consequent vrouwen discrimineert. Google toonde Afro-Amerikanen als je zocht op ‘gorilla’ en chatbot TayTweets van Microsoft ontwikkelde zichzelf binnen een dag tot een racist en complotdenker (en Trumpfan). Blijkbaar kunnen zelfs de bestbetaalde geniën bij internetreuzen hun algoritmes niet opvoeden.

 

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Organisaties en beleidsmakers moeten lering trekken uit deze incidenten. Maak maatschappelijke waarden en heldere doeleinden onderdeel van trainingsdata en analysetools om AI succesvol en acceptabel te maken.

Kinderziekten horen bij technologische disruptie. Socioloog Manuel Castells sloeg in 1995 de spijker op zijn kop in zijn standaardwerk The Rise of the Network Society. Hij schreef dat elke technologische omwenteling gepaard gaat met ‘perverse effecten’. In de jaren ’80 en ’90 hebben geeks, bedrijven en overheden cruciale ontwerpkeuzes gemaakt die nog steeds het DNA van het internet bepalen: connectiviteit was prioriteit, iedereen moest kunnen aanhaken. Privacy en cybersecurity daarentegen werden uit de kernprotocollen van het internet gehouden. Bijkomend voordeel was dat de Amerikaanse overheid makkelijk kon meeluisteren. Maar nu zit de wereld opgescheept met de perverse effecten van 30 jaar oude ontwerpkeuzes: privacy staat onder druk, cybercrime tiert welig en iedereen bespioneert iedereen.

Gezonde verstand

Net als destijds met het internet, willen (vooral Amerikaanse) leveranciers ons weer doen geloven dat AI ‘een revolutie zal ontketenen in de wereld van x’, waarbij variabele x elke waarde aanneemt die bij een meeting, congres of pitch centraal staat. ‘Geen restricties op onze innovatie, u hoeft alleen bij het kruisje te tekenen.’ Tijdens diezelfde bijeenkomsten werd je jarenlang weggehoond als je wees op de perverse effecten van AI en regelgeving, gedragscodes of zelfs gezond verstand om de boel bij elkaar te houden.

Gelukkig lijkt het gezonde verstand langzaam terug te keren in het AI-debat. Niet alleen zorgen de incidenten voor groeiende scepsis bij afnemers. Ook de nieuwe Europese privacywet AVG vereist bij ‘geautomatiseerde besluitvorming’ altijd eerlijkheid, transparantie en uitlegbaarheid van de beslismodellen, en vaak voorafgaande expliciete toestemming van degene wiens data wordt geanalyseerd. Zonder verdere uitleg stellen dat een zelflerende hr-tool, zoekmachine of chatbot op hol is geslagen, volstaat niet langer en kan leiden tot serieuze AVG-boetes en reputatieschade.

Met de ontwerpkeuzes van vandaag leggen wij de fundamenten voor de gezonde inzet van AI in de komende decennia.

Maar hoe anticipeer je op perverse effecten bij een technologie die volop in ontwikkeling is? In zijn boek The Social Control of Technology van 1980 beschreef de Britse wetenschapper David Collingridge dit dilemma: ‘als ingrijpen op innovatie eenvoudig is, is de noodzaak nog niet duidelijk; als iedereen de noodzaak begrijpt, is ingrijpen duur, complex en langdurig.’ Hij nam onder meer benzine als voorbeeld. Bij de introductie van de auto was de milieuschade van loodhoudende benzine beperkt. Toen de auto eenmaal mainstream was, heeft het pijn en moeite gekost over te schakelen op loodvrije benzine. Het Collingridge dilemma overwin je door te investeren in kennisontwikkeling, afhankelijkheid van lobby-invloed uit te sluiten en transparant te zijn over voor- en nadelen van technologische omwentelingen.

Organisaties doen er dus verstandig aan te investeren in kennisontwikkeling, einddoelen helder te definiëren en de trainingsdata te checken op (juridische) bruikbaarheid, kwaliteit en vooringenomenheid. Zo kun je ook beter voldoen aan de AVG-vereisten. In mijn praktijk zie ik verstandige (vaak: kleine) AI-projecten razend succesvol worden en bij De Brauw helpt AI advocaten adviseren bij fusies- en overnames en in interne onderzoeken. Maar gooi je data over de schutting en hoop je op de magische saus van AI, dan stapelen incidenten zich vaak op tot teleurstellingen. Amazon, Google en Microsoft maakten de fout alleen te vertrouwen op hun briljante geeks, en sociale wetenschap, recht en diversiteit geen plek te geven aan de ontwerptafel. In hun projecten gold de nu bekende vuistregel: is de inputdata rommel, dan is de uitkomst ook rommel.

Tempo

Beleidsmakers in Nederland en Europa dienen vooral passende maatschappelijke kaders te scheppen voor AI. Waar de VS en China AI reguleren als handelspolitiek en machtsinstrument, kent Europa een sterke grondrechtentraditie. Niet geld of de Staat, maar de mens staat in principe centraal. Vermoeiend allicht, maar het zorgt voor een relatief harmonieuze, gezonde en vrije samenleving. Het verplicht namelijk perverse effecten als discriminatie en privacyschendingen vroegtijdig te voorkomen.

Tempo is een veel groter probleem in Europa en Nederland. Door een gebrek aan visie komt de noodzakelijke investering in kennis nu pas op gang en leunt het continent te veel op lobbyisten en technologie uit de VS – met cloud computing ging het tien jaar terug precies zo. De EU heeft pas net een ‘expertgroep’ (vol lobbyisten) verzameld die gaat meedenken over Europees AI-beleid. Daarmee loopt de EU minstens vier jaar achter: Amazon begon al in 2014 met het recruitmentproject. Hoog tijd voor de vijfde versnelling. Met de ontwerpkeuzes van vandaag leggen wij de fundamenten voor de gezonde inzet van AI in de komende decennia.

56e FD Column: Onderhuidse chips op de werkvloer dienen vooral controle werknemers

Deze column stond in Het Financieele Dagblad van 15 november 2018. Volg deze link voor mijn eerdere FD columns.

Engelse vakbonden liggen niet alleen wakker van de brexit. De belangrijkste Britse vakbond, de Trades Union Congress, sloeg afgelopen maandag ook groot alarm over de wens van verschillende Engelse bedrijven om hun werknemers te injecteren met microchips ter grootte van een rijstkorrel.

 

Illustratie: Hein de Kort voor het FD

 

In het artikel ‘Alarm over talks to implant UK employees with microchips’ berichtte de Britse krant The Guardian zondag dat de Britse leverancier BioTeq en Zweedse evenknie Biohax met allerlei Britse bedrijven hebben gesproken over identificatie en het monitoren van werknemers met behulp van onderhuidse digitale technologie. Vooral financiële en juridische dienstverleners en de hoogwaardige maakindustrie zouden interesse hebben in onderhuidse microchips.  Continue reading 56e FD Column: Onderhuidse chips op de werkvloer dienen vooral controle werknemers

54e FD Column: Internet is fundamenteel onveilig en zal er ook na de Supermicro-hack niet veiliger op worden

Deze column stond in Het Financieele Dagblad van 18 oktober 2018. Volg deze link voor mijn eerdere FD columns.

Het was even wereldnieuws en toen weer niet. Bloomberg Businessweek pakte op de voorpagina van 4 oktober groots uit met de claim dat Chinese spionnen de distributieketen van Amerikaanse servergigant Supermicro hadden geïnfiltreerd. Meer dan 30 grote Amerikaanse afnemers van Supermicro, waaronder Apple en de cloudreus Amazon, waren gehackt en af te luisteren door China. Kortom, China zou al jaren een groot deel van het Amerikaanse internet in haar macht hebben.

 

Illustratie: Hein de Kort voor het FD
Illustratie: Hein de Kort voor het FD

 

Supermicro, Apple, andere bedrijven en Amerikaanse overheidsfunctionarissen ontkennen het nieuws hardnekkig. Daarmee is de mediastorm voorlopig gaan liggen. Technische experts duiden het nieuws als geloofwaardig, maar de hack als omslachtig en riskant – er zijn simpeler manieren om met een kleinere pakkans hetzelfde effect te sorteren.

Of de Supermicro hack nu (deels) klopt of niet, het nieuws herinnert ons aan het feit dat internetcommunicatie fundamenteel onveilig is door twee wederzijds afhankelijke krachten: prijsdruk, en de niet te stillen hackhonger van machtige inlichtingendiensten. Cyber security is immers niet zozeer een technisch, maar een economisch en politiek probleem. De hamvraag is dus, hoeveel geld en macht daadwerkelijke cybersecurity ons waard is.  Continue reading 54e FD Column: Internet is fundamenteel onveilig en zal er ook na de Supermicro-hack niet veiliger op worden

41e FD Column: Referendum ‘sleepwet’ voorbode digitale perikelen Rutte III

Klik op het plaatje om de column uit de krant te lezen. De tekst staat ook hieronder omdat Hans daar altijd om zeurt. Volg deze link voor mijn eerdere FD columns.

Referendum ‘sleepwet’ voorbode digitale perikelen Rutte III

De inkt van het regeerakkoord was nog maar net opgedroogd, of CDA-leider Sybrand Buma zette coalitiecollega Alexander Pechtold (D66) behendig voor schut. Afgelopen zaterdag verklaarde Buma in De Volkskrant dat het CDA niet zal luisteren naar de uitkomst van het veelbesproken referendum over de controversiële ‘sleepwet’, die de Nederlandse inlichtingen- en veiligheidsdiensten Nederlands internetverkeer massaal laat afluisteren. Kort daarop moest coalitiecollega Pechtold publiekelijk erkennen dat D66 de privacyschendende sleepwet toch steunt en dat D66 dus niet zal luisteren naar de uitkomst van het raadgevende referendum. Buma 1 – Pechtold 0.

 

Illustratie: Hein de Kort

 

Al duurden de onderhandelingen nog nooit zo lang, toch bevat het regeerakkoord ‘Vertrouwen in de Toekomst’ nauwelijks een visie op de toekomst van de informatiesamenleving. Volgens velen een gemiste kans, maar in feite weinig verrassend en een bewuste keuze: de coalitiegenoten denken al jarenlang anders over de digitale wereld.

De VVD en CDA voeren steevast een conservatieve agenda en leggen hun oor meestal te luisteren bij multinationals en de veiligheidslobby. D66 moedigt juist disruptieve innovatie en digitale grondrechten aan, maar is in de minderheid in Rutte III. Buma laat zien dat D66 zich moet opmaken voor vier teleurstellende jaren op digitale dossiers.  Continue reading 41e FD Column: Referendum ‘sleepwet’ voorbode digitale perikelen Rutte III

40e FD Column: Ziekenhuizen en energiebedrijven gaan wellicht boeten voor beveiligingsfouten

Klik op het plaatje om de column uit de krant te lezen. De tekst staat ook hieronder omdat Hans daar altijd om zeurt. Volg deze link voor mijn eerdere FD columns.

Ziekenhuizen en energiebedrijven gaan wellicht boeten voor beveiligingsfouten

Afgelopen zomer vielen wereldwijd ziekenhuizen, fabriekslijnen en energiebedrijven stil door de inmiddels beruchte cyberaanvallen WannaCry en NotPetya. De ontwrichtende ransomware-incidenten hebben het karakter van cybersecurityregulering voorgoed veranderd. Nederland was op grond van een Europese richtlijn al een tijdje verplicht een cybersecuritywet aan te nemen. Tot voor kort bleven de voorstellen vooral steken in abstracte normen over ‘adequate beveiliging’ en meldingsplichten bij incidenten. Sinds de gijzelsoftware-incidenten van de zomer, zijn toezicht en hoge boetes het nieuwe mantra.

Illustratie: Hein de Kort

Gek genoeg lijkt bijna niemand dit nieuwe strenge elan te hebben opgepikt. Misschien zijn de media te veel gefocust op de veelbesproken Europese Algemene Verordening Gegevensbescherming, de buitengewoon strenge privacywet die vanaf 25 mei 2018 in Nederland van kracht wordt. Of op een ander wetje over een meldplicht bij cyberincidenten, in juli als hamerstuk aangenomen in de Eerste Kamer. Maar de voorgestelde ‘Cybersecuritywet’ is het echte werk. Niet zozeer voor datagulzige internetbedrijven, maar juist voor organisaties die voorheen weinig met privacy van doen hadden. Continue reading 40e FD Column: Ziekenhuizen en energiebedrijven gaan wellicht boeten voor beveiligingsfouten

37e FD Column: Eerste Kamer moet wetsvoorstel over hacken door politie opschorten

Klik op het plaatje om de column uit de krant te lezen. De tekst staat ook hieronder omdat Hans daar altijd om zeurt. Volg deze link voor mijn eerdere FD columns.

Eerste Kamer moet wetsvoorstel over hacken door politie opschorten

Zonder specifieke wettelijke bevoegdheid hacken Nederlandse opsporingsdiensten computers in binnen- en buitenland. In ieder geval sinds het Bredolab-incident in 2010. Even lang al probeert het ministerie van Veiligheid en Justitie een wet langs de Staten-Generaal te loodsen die deze inzet van overheidsdwang moet legaliseren. Iedereen vindt dat internetcriminaliteit moet kunnen worden aangepakt en toch stuit de voorgestelde hackbevoegdheid al jaren op stevige kritiek uit alle hoeken van de samenleving.

Tot veler frustratie hielp coalitiepartner PvdA eind 2016, vlak voor de verkiezingen, de VVD alsnog aan een meerderheid in de Tweede Kamer voor de hackwet. Nu moet de Eerste Kamer constitutionele chocolade maken van de controversiële wet. Juist de senaat, de grondrechtenwaakhond van ons staatsbestel, moet het hoofd koel houden en de hackbevoegdheid pas goedkeuren als het kabinet de talloze onbeantwoorde vragen en aanzienlijke bezwaren wegneemt.