Tag Archives: Cybersecurity

67e FD Column: Veiligheidsdiensten willen onveilige 5G-standaard. Voor onze veiligheid

Deze column staat in Het Financieele Dagblad van 27 juni 2019. Volg deze link voor mijn eerdere FD columns.

Wij staan aan de vooravond van een samenleving waarin niet alleen onze smartphones, maar alle apparaten altijd razendsnel met elkaar zijn verbonden. ‘5G’, de nieuwe generatie mobiele communicatienetwerken, moet het fundament vormen voor een toekomstige informatiesamenleving waarin auto’s zelf rijden, fabriekslijnen zichzelf intuïtief optimaliseren en sociale media verworden tot virtuele videowerelden waarin onze avatars altijd en overal tegelijkertijd zijn.

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Die hyperverbonden toekomst is weer een stap dichterbij gekomen met de recente aankondiging van het kabinet om na de zomer 5G-vergunningen te gaan veilen. Midden in spionagebeschuldigingen en de handelsoorlog tussen China en de VS, woedt nu publiekelijk het debat of het Chinese telecombedrijf Huawei mag meedoen. Maar achter de schermen maken veiligheidsdiensten zich zorgen dat 5G te veilig wordt en zo het ouderwets afluisteren van telefoon- en internetverkeer moeilijker maakt. Hun voorstel: maak 5G-technologie dom, onveilig en onbetrouwbaar, zodat wij voor uw veiligheid ouderwets kunnen blijven afluisteren.

Dit schadelijke pleidooi gaat compleet voorbij aan de legio nieuwe mogelijkheden die de nieuwe verbondenheid biedt om de samenleving in de gaten te houden. Bovendien is cybercrime en spionage juist een hardnekkig maatschappelijk probleem geworden omdat dezelfde veiligheidsdiensten, helaas met succes, precies dezelfde paradox opwierpen rondom de GSM-standaard in de jaren 80 en vooral het Internet Protocol (‘IP’) in de jaren 90. Het is in ieders belang dat de politiek en het bedrijfsleven zich dit keer niet laten verleiden en de veiligheid van 5G juist vooropstellen. Continue reading 67e FD Column: Veiligheidsdiensten willen onveilige 5G-standaard. Voor onze veiligheid

64e FD Column: Industriestandaard zonder marktprikkels maakt internet der dingen niet veiliger

Deze column staat in Het Financieele Dagblad van 7 maart 2019. Volg deze link voor mijn eerdere FD columns.

In maart 2017 legde ransomware-aanval WannaCry 34% van de Britse zorginstellingen een week lang plat. 19.000 afspraken moesten worden verzet, de eerstehulpafdelingen van tientallen ziekenhuizen moesten worden geëvacueerd. In hetzelfde jaar hackten onderzoekers een FiatChrysler Jeep via de internetverbinding van het entertainmentsysteem. Zij konden het dashboard, gaspedaal en zelfs het stuur van ruim 1,7 miljoen auto’s van afstand te besturen.

Illustratie: Hein de Kort voor het FD

Het online ziekenhuis, de connected car en de web-based pacemaker; het klinkt allemaal prachtig, totdat wij ons realiseren dat het internet der dingen levensgevaarlijk is.

Overal ter wereld hebben politici in hoog tempo wetten aangenomen om minimum beveiligingseisen, zorgplichten en meldplichten op te leggen aan fabrikanten van internetdingen en organisaties die kritieke maatschappelijke functies vervullen. Die wetten zijn de afgelopen maanden van kracht geworden. Maar de normen in die wetgeving zijn open en abstract gelaten. De techniek ontwikkelt zich razendsnel en politici wagen zich meestal niet aan de details van cybersecurity. Continue reading 64e FD Column: Industriestandaard zonder marktprikkels maakt internet der dingen niet veiliger

57e FD Column: Grondrechtentraditie moet perverse effecten van kunstmatige intelligentie helpen voorkomen

Deze column staat in Het Financieele Dagblad van 29 november 2018. Volg deze link voor mijn eerdere FD columns.

Internetreuzen als Amazon, Google en Microsoft zetten al jarenlang in op kunstmatige intelligentie (AI). Toch gaat er veel mis als zelflerende algoritmes losgaan op de werknemers, foto’s of klanten. Vorige maand onthulde Reuters dat Amazon na vier jaar een hr-tool om door cv’s van sollicitanten te scannen weer in de ban doet, omdat die consequent vrouwen discrimineert. Google toonde Afro-Amerikanen als je zocht op ‘gorilla’ en chatbot TayTweets van Microsoft ontwikkelde zichzelf binnen een dag tot een racist en complotdenker (en Trumpfan). Blijkbaar kunnen zelfs de bestbetaalde geniën bij internetreuzen hun algoritmes niet opvoeden.

 

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Organisaties en beleidsmakers moeten lering trekken uit deze incidenten. Maak maatschappelijke waarden en heldere doeleinden onderdeel van trainingsdata en analysetools om AI succesvol en acceptabel te maken.

Kinderziekten horen bij technologische disruptie. Socioloog Manuel Castells sloeg in 1995 de spijker op zijn kop in zijn standaardwerk The Rise of the Network Society. Hij schreef dat elke technologische omwenteling gepaard gaat met ‘perverse effecten’. In de jaren ’80 en ’90 hebben geeks, bedrijven en overheden cruciale ontwerpkeuzes gemaakt die nog steeds het DNA van het internet bepalen: connectiviteit was prioriteit, iedereen moest kunnen aanhaken. Privacy en cybersecurity daarentegen werden uit de kernprotocollen van het internet gehouden. Bijkomend voordeel was dat de Amerikaanse overheid makkelijk kon meeluisteren. Maar nu zit de wereld opgescheept met de perverse effecten van 30 jaar oude ontwerpkeuzes: privacy staat onder druk, cybercrime tiert welig en iedereen bespioneert iedereen.

Gezonde verstand

Net als destijds met het internet, willen (vooral Amerikaanse) leveranciers ons weer doen geloven dat AI ‘een revolutie zal ontketenen in de wereld van x’, waarbij variabele x elke waarde aanneemt die bij een meeting, congres of pitch centraal staat. ‘Geen restricties op onze innovatie, u hoeft alleen bij het kruisje te tekenen.’ Tijdens diezelfde bijeenkomsten werd je jarenlang weggehoond als je wees op de perverse effecten van AI en regelgeving, gedragscodes of zelfs gezond verstand om de boel bij elkaar te houden.

Gelukkig lijkt het gezonde verstand langzaam terug te keren in het AI-debat. Niet alleen zorgen de incidenten voor groeiende scepsis bij afnemers. Ook de nieuwe Europese privacywet AVG vereist bij ‘geautomatiseerde besluitvorming’ altijd eerlijkheid, transparantie en uitlegbaarheid van de beslismodellen, en vaak voorafgaande expliciete toestemming van degene wiens data wordt geanalyseerd. Zonder verdere uitleg stellen dat een zelflerende hr-tool, zoekmachine of chatbot op hol is geslagen, volstaat niet langer en kan leiden tot serieuze AVG-boetes en reputatieschade.

Met de ontwerpkeuzes van vandaag leggen wij de fundamenten voor de gezonde inzet van AI in de komende decennia.

Maar hoe anticipeer je op perverse effecten bij een technologie die volop in ontwikkeling is? In zijn boek The Social Control of Technology van 1980 beschreef de Britse wetenschapper David Collingridge dit dilemma: ‘als ingrijpen op innovatie eenvoudig is, is de noodzaak nog niet duidelijk; als iedereen de noodzaak begrijpt, is ingrijpen duur, complex en langdurig.’ Hij nam onder meer benzine als voorbeeld. Bij de introductie van de auto was de milieuschade van loodhoudende benzine beperkt. Toen de auto eenmaal mainstream was, heeft het pijn en moeite gekost over te schakelen op loodvrije benzine. Het Collingridge dilemma overwin je door te investeren in kennisontwikkeling, afhankelijkheid van lobby-invloed uit te sluiten en transparant te zijn over voor- en nadelen van technologische omwentelingen.

Organisaties doen er dus verstandig aan te investeren in kennisontwikkeling, einddoelen helder te definiëren en de trainingsdata te checken op (juridische) bruikbaarheid, kwaliteit en vooringenomenheid. Zo kun je ook beter voldoen aan de AVG-vereisten. In mijn praktijk zie ik verstandige (vaak: kleine) AI-projecten razend succesvol worden en bij De Brauw helpt AI advocaten adviseren bij fusies- en overnames en in interne onderzoeken. Maar gooi je data over de schutting en hoop je op de magische saus van AI, dan stapelen incidenten zich vaak op tot teleurstellingen. Amazon, Google en Microsoft maakten de fout alleen te vertrouwen op hun briljante geeks, en sociale wetenschap, recht en diversiteit geen plek te geven aan de ontwerptafel. In hun projecten gold de nu bekende vuistregel: is de inputdata rommel, dan is de uitkomst ook rommel.

Tempo

Beleidsmakers in Nederland en Europa dienen vooral passende maatschappelijke kaders te scheppen voor AI. Waar de VS en China AI reguleren als handelspolitiek en machtsinstrument, kent Europa een sterke grondrechtentraditie. Niet geld of de Staat, maar de mens staat in principe centraal. Vermoeiend allicht, maar het zorgt voor een relatief harmonieuze, gezonde en vrije samenleving. Het verplicht namelijk perverse effecten als discriminatie en privacyschendingen vroegtijdig te voorkomen.

Tempo is een veel groter probleem in Europa en Nederland. Door een gebrek aan visie komt de noodzakelijke investering in kennis nu pas op gang en leunt het continent te veel op lobbyisten en technologie uit de VS – met cloud computing ging het tien jaar terug precies zo. De EU heeft pas net een ‘expertgroep’ (vol lobbyisten) verzameld die gaat meedenken over Europees AI-beleid. Daarmee loopt de EU minstens vier jaar achter: Amazon begon al in 2014 met het recruitmentproject. Hoog tijd voor de vijfde versnelling. Met de ontwerpkeuzes van vandaag leggen wij de fundamenten voor de gezonde inzet van AI in de komende decennia.

56e FD Column: Onderhuidse chips op de werkvloer dienen vooral controle werknemers

Deze column stond in Het Financieele Dagblad van 15 november 2018. Volg deze link voor mijn eerdere FD columns.

Engelse vakbonden liggen niet alleen wakker van de brexit. De belangrijkste Britse vakbond, de Trades Union Congress, sloeg afgelopen maandag ook groot alarm over de wens van verschillende Engelse bedrijven om hun werknemers te injecteren met microchips ter grootte van een rijstkorrel.

 

Illustratie: Hein de Kort voor het FD

 

In het artikel ‘Alarm over talks to implant UK employees with microchips’ berichtte de Britse krant The Guardian zondag dat de Britse leverancier BioTeq en Zweedse evenknie Biohax met allerlei Britse bedrijven hebben gesproken over identificatie en het monitoren van werknemers met behulp van onderhuidse digitale technologie. Vooral financiële en juridische dienstverleners en de hoogwaardige maakindustrie zouden interesse hebben in onderhuidse microchips.  Continue reading 56e FD Column: Onderhuidse chips op de werkvloer dienen vooral controle werknemers

55e FD Column: Agressieve Chinese hacks kapen webverkeer bedrijven en overheden

Deze column stond in Het Financieele Dagblad van 1 november 2018. Volg deze link voor mijn eerdere FD columns.

Het is algemeen bekend dat je telefoon of laptop meteen gehackt en afgeluisterd wordt, zodra je in China aankomt. Recent onderzoek van het U.S. Naval War College en Tel Aviv University toont nu aan dat de Chinese overheid internetverkeer ook wegplukt uit het Westen, in China vliegensvlug kopieert, en de datastroom weer doorstuurt naar het Westen. Zo heeft China het internetverkeer van buitenlandse overheden, banken en journalisten afgeluisterd.

 

Illustratie: Hein de Kort voor het FD

 

Waarom geen wereldnieuws, geen oorverdovende veroordeling uit het Westen? Amerikaanse inlichtingendiensten doen het ook al jaren. En het oplossen van de fundamentele kwetsbaarheid van het internet die deze hack mogelijk maakt, betekent dat zij diezelfde truc niet meer kunnen uitvoeren. Ondertussen kunnen organisaties en individuen zichzelf niet compleet beschermen tegen deze hack. Met hun structurele politieke en economische spionage vormen overheden, China en de VS voorop, de grootste bedreiging voor een veilig internet. Continue reading 55e FD Column: Agressieve Chinese hacks kapen webverkeer bedrijven en overheden

48e FD Column: Nieuwe privacyregels AVG bieden kansen voor innovatieve data-analyse

Deze column stond in Het Financieele Dagblad van 17 mei 2018. Volg deze link voor mijn eerdere FD columns.

Op 25 mei staat de grootste juridische aardverschuiving in de datasamenleving op het programma. Dan vervangt de Europese Algemene Verordening Gegevensbescherming (AVG) de huidige Europese Richtlijn uit 1995. De media staan bol van de AVG en hoezeer data-intensieve organisaties, op zijn zachtst gezegd, ietwat zenuwachtig worden van de nieuwe verplichtingen rondom de eerste substantiële wetswijziging in 23 jaar. Toch biedt de AVG ook nieuwe kansen voor innovatieve data-analyse met behulp van een nog weinig gebruikte technologie: pseudonimisering.

Illustratie: Hein de Kort voor Het Financieele Dagblad

Continue reading 48e FD Column: Nieuwe privacyregels AVG bieden kansen voor innovatieve data-analyse

45e FD Column: Geen Spelen of verkiezingen zonder digitale oorlogsvoering

Deze column stond in Het Financieele Dagblad van 22 februari 2018. Volg deze link voor mijn eerdere FD columns.

Sportief spektakel en geopolitiek theater gaan zoals altijd hand in hand bij de Olympische Spelen. Ook in Pyeongchang. Waar de historische toenadering voor de bühne tussen Zuid- en Noord-Korea niemand ontgaat, voltrekt zich achter de schermen een digitaal drama via cyberaanvallen aan het adres van Zuid-Korea en het IOC. In bredere zin is een mondiale neerwaartse spiraal van digitale oorlogsvoering tussen alles en iedereen een tragisch feit — of het nu het organiseren van nationale verkiezingen of vredelievende sportevenementen betreft. Vooral omdat het Westen momenteel geen enkel leiderschap toont, is continue digitale oorlogsvoering de nieuwe geopolitieke realiteit geworden.

Illustratie: Hein de Kort voor Het Financieele Dagblad

Continue reading 45e FD Column: Geen Spelen of verkiezingen zonder digitale oorlogsvoering

41e FD Column: Referendum ‘sleepwet’ voorbode digitale perikelen Rutte III

Klik op het plaatje om de column uit de krant te lezen. De tekst staat ook hieronder omdat Hans daar altijd om zeurt. Volg deze link voor mijn eerdere FD columns.

Referendum ‘sleepwet’ voorbode digitale perikelen Rutte III

De inkt van het regeerakkoord was nog maar net opgedroogd, of CDA-leider Sybrand Buma zette coalitiecollega Alexander Pechtold (D66) behendig voor schut. Afgelopen zaterdag verklaarde Buma in De Volkskrant dat het CDA niet zal luisteren naar de uitkomst van het veelbesproken referendum over de controversiële ‘sleepwet’, die de Nederlandse inlichtingen- en veiligheidsdiensten Nederlands internetverkeer massaal laat afluisteren. Kort daarop moest coalitiecollega Pechtold publiekelijk erkennen dat D66 de privacyschendende sleepwet toch steunt en dat D66 dus niet zal luisteren naar de uitkomst van het raadgevende referendum. Buma 1 – Pechtold 0.

 

Illustratie: Hein de Kort

 

Al duurden de onderhandelingen nog nooit zo lang, toch bevat het regeerakkoord ‘Vertrouwen in de Toekomst’ nauwelijks een visie op de toekomst van de informatiesamenleving. Volgens velen een gemiste kans, maar in feite weinig verrassend en een bewuste keuze: de coalitiegenoten denken al jarenlang anders over de digitale wereld.

De VVD en CDA voeren steevast een conservatieve agenda en leggen hun oor meestal te luisteren bij multinationals en de veiligheidslobby. D66 moedigt juist disruptieve innovatie en digitale grondrechten aan, maar is in de minderheid in Rutte III. Buma laat zien dat D66 zich moet opmaken voor vier teleurstellende jaren op digitale dossiers.  Continue reading 41e FD Column: Referendum ‘sleepwet’ voorbode digitale perikelen Rutte III

40e FD Column: Ziekenhuizen en energiebedrijven gaan wellicht boeten voor beveiligingsfouten

Klik op het plaatje om de column uit de krant te lezen. De tekst staat ook hieronder omdat Hans daar altijd om zeurt. Volg deze link voor mijn eerdere FD columns.

Ziekenhuizen en energiebedrijven gaan wellicht boeten voor beveiligingsfouten

Afgelopen zomer vielen wereldwijd ziekenhuizen, fabriekslijnen en energiebedrijven stil door de inmiddels beruchte cyberaanvallen WannaCry en NotPetya. De ontwrichtende ransomware-incidenten hebben het karakter van cybersecurityregulering voorgoed veranderd. Nederland was op grond van een Europese richtlijn al een tijdje verplicht een cybersecuritywet aan te nemen. Tot voor kort bleven de voorstellen vooral steken in abstracte normen over ‘adequate beveiliging’ en meldingsplichten bij incidenten. Sinds de gijzelsoftware-incidenten van de zomer, zijn toezicht en hoge boetes het nieuwe mantra.

Illustratie: Hein de Kort

Gek genoeg lijkt bijna niemand dit nieuwe strenge elan te hebben opgepikt. Misschien zijn de media te veel gefocust op de veelbesproken Europese Algemene Verordening Gegevensbescherming, de buitengewoon strenge privacywet die vanaf 25 mei 2018 in Nederland van kracht wordt. Of op een ander wetje over een meldplicht bij cyberincidenten, in juli als hamerstuk aangenomen in de Eerste Kamer. Maar de voorgestelde ‘Cybersecuritywet’ is het echte werk. Niet zozeer voor datagulzige internetbedrijven, maar juist voor organisaties die voorheen weinig met privacy van doen hadden. Continue reading 40e FD Column: Ziekenhuizen en energiebedrijven gaan wellicht boeten voor beveiligingsfouten

39e FD Column: Digitale anonimiteit is ook bij gebruik van bitcoin een gevaarlijke illusie

Klik op het plaatje om de column uit de krant te lezen. De tekst staat ook hieronder omdat Hans daar altijd om zeurt. Volg deze link voor mijn eerdere FD columns.

Digitale anonimiteit is ook bij gebruik van bitcoin een gevaarlijke illusie

Naast het weer en de staat van het Nederlandse voetbal, zijn de spectaculaire pieken en dalen van cryptomunt bitcoin een populair gespreksonderwerp bij de koffieautomaat. De krankzinnige waarderingen van cryptomunten steunen vooral op de belofte van anonimiteit en veiligheid van betalingen. Maar behendige wetenschappers ontdekken steeds meer manieren om die anonimiteit te doorbreken. Onlangs publiceerden onderzoekers van Princeton een succesvolle hack die de identiteit achter een bitcoin prijsgeeft, door Bitcointransacties te combineren met online surfgedrag, opgeslagen in internetcookies. Via het openbaar toegankelijke transactieregister blockchain linkten zij de identiteit vervolgens aan alle cryptotransacties uit het verleden.

In plaats van veronderstelde anonimiteit, ligt zo ineens je gehele betaalgeschiedenis op straat. Niet alleen wat je speculeert op de koers, maar ook wat je in de winkel of een restaurant afrekent met bitcoin. Bij iedere volgende hack zal de bredere samenleving zich stilaan realiseren dat het fundament van cryptomunten, anonimiteit, wankelt. En dat anonimiteit op internet een gevaarlijke illusie is.

Continue reading 39e FD Column: Digitale anonimiteit is ook bij gebruik van bitcoin een gevaarlijke illusie

38e FD Column: Cybersecurity struikelblok voor symbiose van lichaam en computer

Klik op het plaatje om de column uit de krant te lezen. De tekst staat ook hieronder omdat Hans daar altijd om zeurt. Volg deze link voor mijn eerdere FD columns.

37e FD Column: Eerste Kamer moet wetsvoorstel over hacken door politie opschorten

Klik op het plaatje om de column uit de krant te lezen. De tekst staat ook hieronder omdat Hans daar altijd om zeurt. Volg deze link voor mijn eerdere FD columns.

Eerste Kamer moet wetsvoorstel over hacken door politie opschorten

Zonder specifieke wettelijke bevoegdheid hacken Nederlandse opsporingsdiensten computers in binnen- en buitenland. In ieder geval sinds het Bredolab-incident in 2010. Even lang al probeert het ministerie van Veiligheid en Justitie een wet langs de Staten-Generaal te loodsen die deze inzet van overheidsdwang moet legaliseren. Iedereen vindt dat internetcriminaliteit moet kunnen worden aangepakt en toch stuit de voorgestelde hackbevoegdheid al jaren op stevige kritiek uit alle hoeken van de samenleving.

Tot veler frustratie hielp coalitiepartner PvdA eind 2016, vlak voor de verkiezingen, de VVD alsnog aan een meerderheid in de Tweede Kamer voor de hackwet. Nu moet de Eerste Kamer constitutionele chocolade maken van de controversiële wet. Juist de senaat, de grondrechtenwaakhond van ons staatsbestel, moet het hoofd koel houden en de hackbevoegdheid pas goedkeuren als het kabinet de talloze onbeantwoorde vragen en aanzienlijke bezwaren wegneemt.