Nederlands
English
Categorie: nieuws
Haal hackers in huis
Voor Digitaal bestuur werden Menso Heus en ik geïnterviewd over informatiebeveiliging en de overheid.
Haal Hackers in Huis – door: Marieke Vos
Doet de overheid genoeg om ongenode gasten buiten de digitale voordeur te houden? Nee, zeggen twee informatiespecialisten die de overheid nauwlettend volgen. Hun advies: betrek hackers bij de beveiliging van systemen.
“Er wordt te weinig nagedacht over privacy en beveiliging bij de IT-projecten van de overheid. Deze twee aspecten horen vanaf het begin van de ontwikkeling meegenomen te worden, ze horen als het ware bij het bakmeel van de cake. Maar nu zijn beveiliging en privacy vaak het toefje slagroom dat er achteraf op gezet wordt”, zegt Arjen Kamphuis. Hij werkt als strategieconsultant bij Gendo en adviseert onder meer financiële instellingen over informatiebeveiliging. Hij noemt zichzelf geen hacker, want “die naam geef je jezelf niet. De community van hackers moet dat doen”. Overigens wil hij graag kwijt dat de term hacker in de publieke opinie onterecht een negatieve klank heeft: “Men verwart hackers met criminelen die technologie misbruiken. Die noemen wij ‘crackers’ en zij maken geen deel uit van onze community.” Een hacker is iemand die op een creatieve manier naar technologie kijkt, aldus Kamphuis. Volgens Menso Heus, business developer bij internetprovider XS4ALL en ook lid van de hackerscommunity, is een hacker vooral iemand die op een andere manier denkt en kijkt: “De standaardvraag bij een bepaalde techniek of procedure is voor ons: is dit veilig? Kan ik het ergens voor gebruiken waar het niet voor bedoeld is en wat is dan het risico?”
Als je met zo’n blik naar technologie en procedures kijkt, hoe doet de overheid het dan? “Sommige onderdelen van de overheid, zoals het ministerie van Defensie, gaan heel consciëntieus om met IT-beveiliging”, zegt Kamphuis. Hij noemt als voorbeeld het e-mailsysteem dat Defensie in de jaren negentig in Bosnië inrichtte: “Dat was een zeer veilige, op open sourcetechnologie gebaseerde e-mailinfrastructuur. De inhoud van de berichten werd versleuteld, net als het verkeer tussen de mailservers.” Veel andere IT-projecten van de overheid verlopen echter een stuk minder goed. Kamphuis en Heus zien daar een aantal redenen voor. Eén van de belangrijkste is de dominantie van een politieke agenda. Kamphuis: “Daardoor wordt de vraag of de genomen maatregelen de gestelde doelen gaan verwezenlijken, niet gesteld.” Hij noemt dit het ‘rijdende-trein-fenomeen’: een beslissing is genomen en het project dendert voort, ook als blijkt dat het niet goed gaat.
Politieke realiteit
Het project Walvis is daar een voorbeeld van. Toezichthouders twijfelden al in 2003 over de haalbaarheid van dit project, de premie-inning van werknemersverzekeringen. “Toch duurde het tot 2006 voordat de zaak plofte, anderhalf miljard euro bleek vergeefs geïnvesteerd. Dit had niets te maken met techniek, maar alles met de politieke realiteit: het moest af, ook al werkte het niet.” Andere in het oog springende voorbeelden van dit fenomeen zijn de ov-chipkaart en het Elektronisch Patiëntendossier (EPD), zegt Kamphuis. Bij de ov-chipkaart werd herhaaldelijk gewaarschuwd voor veiligheidslekken, onlangs werd zelfs de software gepubliceerd waarmee de kaart is te kraken. En het EPD dreigt de onveiligheid in de zorg te vergroten, stelt Kamphuis, die de zorgsector al jaren volgt. “In 2005 ondernamen enkele informatiespecialisten een hackpoging, waaruit bleek dat zij netwerken in ziekenhuizen konden overnemen. Men kon tot in het digitale röntgenapparaat kijken en zelfs foto’s manipuleren.” De beveiliging is nog steeds niet verbeterd, stelt Kamphuis, maar de invoering van het EPD gaat door. Dit zijn voorbeelden van projecten die redelijk in de openbaarheid worden uitgevoerd, zodat zichtbaar wordt wat er misgaat. “Wij kunnen als buitenstaander niet zien wat er intern allemaal bij de overheid gebeurt. Maar ik heb geen enkele reden om aan te nemen dat het daar anders of beter gaat”, zegt Kamphuis.
Dat er te weinig over beveiliging en privacy wordt nagedacht bij het ontwerp en de ontwikkeling van ICT bij de overheid, komt volgens Kamphuis en Heus door een gebrek aan kennis. Kamphuis: “De gemiddelde bestuurder heeft bij wijze van spreken net geleerd hoe hij moet e-mailen! Er is geen inhoudelijk begrip van hoe bijvoorbeeld internet werkt.” Nou hoeft een politicus of bestuurder niet precies te weten hoe de techniek in elkaar steekt, maar enig begrip zou er toch moeten zijn. Kamphuis vergelijkt het met een auto: iedereen die auto rijdt, weet dat er brandstof in moet die wordt verbrand in de motor, die vervolgens de wielen aandrijft. “Dat begrip ontbreekt als het gaat om netwerken, computers en software. Dan is het alsof je een kaart wilt ontwerpen met een groep kardinalen die nog steeds denkt dat de aarde plat is. Het onbegrip zit zo diep, dat als een leverancier zegt dat het met de veiligheid van een product wel goed zit, dat blindelings wordt geloofd.”
Expertmeetings
Op zich hoeft dit gebrek aan kennis geen probleem te zijn, als men zou openstaan voor adviezen van externen, zeggen Heus en Kamphuis. Maar dat gebeurt niet. “Inmiddels is toch wel bekend welke onderzoekers en andere specialisten men om advies kan vragen. Maar ik ken geen instantie die dit doet. Alleen kamerleden laten zich voorlichten”, zegt Heus. “Als ik nu wil meedenken over zaken die internetproviders aangaan, zoals de bewaarplicht, dan moet ik eerst alle stukken zien te bemachtigen, vaak met een beroep op de Wet Openbaarheid van Bestuur. Dan moet ik erachter komen wie erover gaat, die bellen of mailen en dan maar hopen dat ze contact met mij opnemen”, zegt hij. Zowel Kamphuis als Heus zijn ervan overtuigd dat beveiliging en privacy vele malen beter zouden worden als er in expertmeetings en op andere manieren meer kennis van buiten gehaald zou worden.
“De overheid ontwikkelt nu meestal via het principe ‘security by obscurity’: geheim houden wat je doet. Maar dat principe werkt niet, dat is al vele malen aangetoond. Je kunt met een groep experts iets slims bedenken, er is altijd iemand op deze wereld die slimmer is”, zegt Kamphuis. Hij noemt de beveiligingscode voor DVD’s, die in een miljoenenverslindend project werd bedacht en vervolgens door een Noorse jongen werd gekraakt. “Als je vanaf het begin dat soort jongens laat meedenken, dan kom je veel verder”, zegt Kamphuis. Heus verwoordt het zo: “Hoe meer ogen ergens naar kijken, hoe meer je ziet.” Deze manier van ontwikkelen vergt echter een flinke attitudewijziging. Men zal transparant moeten worden in wat men doet en niet bang moeten zijn om kennis van buiten te halen. Dat hoeft niet ingewikkeld te zijn, zegt Heus: “Ik zou in een weekend best kosteloos naar een document willen kijken en maandag mijn opmerkingen willen sturen. Maar dat moet dan wel mogelijk gemaakt worden.”
Eerlijk en open
Naast de druk van politieke agenda’s, onwetendheid en het onvoldoende benutten van externe kennis, noemen Kamphuis en Heus het een belangrijk euvel dat er niet helder naar maatregelen en doelstellingen wordt gekeken. “De vraag of de gestelde maatregelen het probleem echt oplossen, wordt vaak niet gesteld. Men doet meestal maar wat”, oordeelt Kamphuis. Het kinderpornofilter is daar een voorbeeld van: dat zou het verspreiden van kinderporno tegen moeten gaan. “Maar dat doe je niet met een filter, maar met het opsporen van de daders en het uitschakelen van servers met dit materiaal. In het plan stond dat men servers in Europa zou uitschakelen en dat het filter bedoeld was voor materiaal dat van buiten de EU kwam. Op de lijst van te filteren servers stond echter ook een aantal uit Nederland. Die hadden nooit op die lijst mogen staan, maar door justitie aangepakt moeten worden. Bovendien bleek dat er in 2006 met 200 aangiftes van kinderporno niets was gedaan. Dan bekruipt mij persoonlijk toch het gevoel dat zo’n filter er vooral is voor het verstoppen van het probleem, niet het oplossen ervan”, zegt Heus.
Een eerlijke toetsing van maatregelen en veel meer openheid in IT-projecten, dat zijn de adviezen van Kamphuis en Heus aan de overheid. En tot slot moet elke bestuurder, projectleider en politicus zich bij een project afvragen: kan ik dit ergens voor gebruiken waar het niet voor bedoeld is en wat zijn dan de risico’s? Met andere woorden: kan het stuk?
Security-uitdagingen voor 2009
GOVCERT.NL, het Computer Emergency Response Team van de Nederlandse overheid, voorziet drie belangrijke uitdagingen op het gebied van security in 2009. Ze hebben allemaal te maken met cybercrime, wat volgens woordvoerder Ella Broos een professionele, criminele bedrijfstak is geworden. “Er is een ondergrondse economie ontstaan van internetcriminaliteit, waarin onder meer wordt gehandeld in creditcardgegevens en professionele teams zichzelf verhuren voor bijvoorbeeld het kraken van bankgegevens.” De drie belangrijke uitdagingen zijn:
Technisch: Computercriminelen maken steeds meer gebruik van kwetsbaarheden in alle internetbrowsers. Dit zal in 2009 sterk toenemen. Thuisgebruikers, bedrijven en overheden moeten dus zorgen dat zij alert zijn en deze lekken dichten, met de patches (reparatiesoftware) van softwareleveranciers.
Veiligheid van thuisgebruik: In 2008 is al gesignaleerd dat internetcriminelen het in toenemende mate op thuiscomputers gemunt hebben. Dat zal alleen maar toenemen als thuisgebruikers hun computers niet goed beveiligen. Banken, internetserviceproviders, soft- en hardwareleveranciers, de overheid en andere organisaties zullen in 2009 de thuisgebruiker wijzen op de noodzaak van een goede beveiliging. Er zal een forse stap voorwaarts worden gemaakt in het bewustzijn van de risico’s van internetten, zegt Broos.
Opsporing: Door een intensieve samenwerking in de veiligheidsketen zullen in 2009 een paar grote internetcriminelen of criminele organisaties worden opgerold, stelt Broos. GOVCERT denkt dat er vooral botnets zullen worden ontmanteld, dat zijn netwerken van computers die zijn overgenomen door internetcriminelen. Deze botnets worden gebruikt voor allerlei internetcriminaliteit, zoals spam en het stelen van bank- en creditcardgegevens. “Er is een versterkte samenwerking met onder andere de KLPD en het Openbaar Ministerie op het gebied van cybercrime. Daar zullen we in 2009 de resultaten van zien.”
NOiV sessie met IT-studenten Alfa-college
Op vrijdag 13 februari gaf Gendo op verzoek van het programma bureau Nederland Open in Verbinding een gastcollege voor de IT-studenten van het Alfa-college uit Groningen. Een studenten groep maakte een studiereis naar diverse instellingen en bedrijven in Noord-Holland. Ondanks het late uur bleef de groep er goed bij en stelde slimme vragen aan mij en mijn collega’s Bruce en Younass. Bruce vertelde over het werk dat hij en Younass doen bij Gendo en de rol die opensource en open standaarden daarin spelen.
De twee uren van het programma vlogen om en naderhand stonden wij nog enige tijd door te praten met docenten en studenten over de mogelijkheden om de visie achter het Actieplan ook in het onderwijsprogramma van het Afla-college te verwerken. Daarover in de nabije toekomst hopelijk meer. Slides hier vrij voor non-commercieel herbegruik onder Creative Commons.
Gendo heeft een tijdmachine!
update: door veranderingen in de indeling van ons kantoorgebouw hebben we deze machine niet meer. Hij was erg mooi maar heeft als tijdmachine nooit echt betrouwbaar gewerkt, ging meestal alleen maar vooruit in de tijd met 1 seconde per seconde.
Sinds afgelopen week is Gendo de trotse eigenaar van een tijdmachine. De machine is gemaakt door kunstenaar Jan Verburg in opdracht van Digitaal Erfgoed Nederland als onderdeel van een film voor hun jaarlijkse congres. De machine is geinspireerd op de 19e eeuwse roman van H.G. Wells over een victioriaanse tijdreiziger. Dit boek is uit copyright en dus via Project Gutenberg te downloaden.
Na afloop van het congres is de machine door DEN aan ons geschonken als dank voor onze bijdrage aan de film. De hele film en meer informatie er over staat hier.
Komende zomer is de machine te proberen op de Paasheuvel tijdens Hacking At Random. Tot die tijd te bewonderen op ons kantoor in het oude Volkskrant gebouw.
Aldert en onze tijdmachine.
Gendo op AT5
Op 24 november kwam AT5 ons interviewen over opensource naar aanleiding van de beslissing van de Gemeente Amsterdam om voorlopig te stoppen met de aanschaf van Microsoft producten via een enterprise contract. Om wat tegenwicht te bieden aan ons enthousiasme werd ook Hans Bos van Microsoft aan het woord gelaten.