Nederlands
English
Categorie: nieuws
BNR interview bijdrage aan ICT Commissie
Op woensdag 21mei gaf ik op BNR Radio commentaar op mijn brief aan de Commissie ICT van 5 mei.
In het gesprek gaan we vooral in op de vraag of inzet van opensource software, waarvan de specificaties voor controle openbaar beschikbaar zijn. Dit in tegenstelling tot z.g. proprietary software die als blackbox wordt geleverd en waarbij alleen de leverancier enige idee heeft wat de software echt doet. Dit laatste was altijd al in theorie een vrij serieus bezwaar voor het toepassen van dergelijke ontransparante software in de kritische functies van de overheid. Maar de theoretische bezwaren zijn door de onthullingen van Edward Snowden over het laatste jaar zeer concreet geworden. Amerikaanse inlichtingen diensten maken gebruik van ongedocumenteerde fouten in software of dwingen Amerikaanse bedrijven zelfs actief om geheime achterdeurtjes aan hun producten toe te voegen. Onder de Patriot Act kan een Amerikaans bedrijf medewerking niet weigeren en mag ze er ook geen melding van maken. De klant van zo’n bedrijf heeft dus geen flauw idee dat deze software van haar computer een afluister apparaat maakt. En in Nederland is er geen grotere klant dan onze overheid.
Verder blijft het gewoon jammer dat we inmiddels 12 jaar nadat de Tweedekamer om een koerswijziging vroeg nog steeds jaarlijks voor miljarden aan buitenlandse software blackbox kopen terwijl er gratis en transparante alternatieven bestaan. Een klein deel van die miljarden in Nederland uitgeven om die te verbeteren zo goedkoper zijn en het geld dat we uitgeven veel meer in de lokale economie houden.
Luister hier de BNR stream of de MP3.
Speaking at Dataharvest+ conference
I will be speaking and workshopping at the 2014 Dataharvest+ conference in Brussels. This conference brings together investigative journalists, (big)data wranglers, coders & hackers to kick journalism into the 21st century.
My contribution will be a series of presentations about applied information security for investigative journalists and hands-on workshops to get security tools working on laptops. So bring yours! Slides I used are here: PPT, PDF. Some tips and links to tools. A video from a comparable worshop last year, since then the situation has turned out to be much more dire.
Many thanks to the Centre For Investigative Journalism for making this possible. Happy to be working with them again!
Wetten Worden Werkelijkheid in software
Onderstaande brief is als email naar de Tijdelijke commissie ICT gestuurd.
5 mei 2014
Geachte leden van de Commissie ICT,
Door uw voorgangers ben ik op 1 juni 2012 uitgenodigd een bijdrage te leveren aan de expertbijeenkomst van de Parlementaire werkgroep ICT-projecten bij de overheid. De schriftelijke bijdrage die ik destijds heb aangeleverd staat hier.
Als IT-architect maar ook als bezorgde burger heb ik mij sinds 2002 actief bemoeid met het IT-beleid van de overheid op o.m. de dossiers EPD en open standaarden/opensource. In dit laatste dossier was ik in 2002 de initiatiefnemer van de Motie Vendrik die een grotere onafhankelijkheid van dominante leveranciers bepleitte. Vorig jaar mocht ik als technisch expert zitting nemen in de Commissie van Beek die Minister Plasterk heeft geadviseerd over de (on)mogelijkheden van de elektronische ondersteuning van het kiesproces.
Hoewel deze motie Vendrik in 2007 is vertaald in het Actieplan Heemskerk is dit beleid in 2010/11 door de lobbymacht van grote softwareleveranciers en de Amerikaanse overheid de nek om gedraaid. Zelfs de Algemene Rekenkamer is onder druk gezet om bepaalde vragen *niet* te stellen. Sinds 2002 heeft Nederland zo’n 60-90 miljard Euro uitgegeven aan buitenlandse software waarvoor in veel gevallen gratis alternatieven bestaan die net zo goed of zelfs beter zijn. Het gebruik hiervan wordt echter actief bemoeilijkt door zowel de Ministeries van OC&W en BZK, alsmede de VNG daarin gesteund door het lobbyapparaat van grote leveranciers en de Amerikaanse overheid.
Hoewel Minister Donner in 2004 in reactie op de Motie Vendrik al aangaf
- dat de afhankelijkheid van Microsoft groot was;
- dat dit een probleem was;
- en dat middels invoering van open standaarden en de inzet van opensource dit opgelost kon worden;
Is die afhankelijkheid sindsdien nog veel groter geworden terwijl er in die periode ruim een miljard is uitgegeven aan Microsoft licenties. Met dat geld had 10.000 manjaar aan migratie weg van Microsoft naar gratis alternatieven betaald kunnen worden. Geld dat dan in de Nederlandse economie was gebleven en grotendeels via loonbelasting en BTW weer terug bij de overheid was gekomen. Niet dat die 10.000 manjaar nodig waren. De Gemeente Ede deed het tegen de verdrukking in voor een fractie daarvan en bespaart inmiddels 92% op software. De rest van de overheid nog niet. Waarom niet?
Naast de enorme geldbedragen die hiermee gemoeid zijn (de BTW verdwijnt voornamelijk in de Ierse staatskas vanwege inter-Europese leveringen aan Ierse hoofdkantoren) is het de afgelopen maanden dankzij Edward Snowden ook duidelijk geworden dat met name Amerikaanse software wordt ingezet als spionage infrastructuur. Dit heeft concrete consequenties voor bijvoorbeeld de huidige semigeprivatiseerde infrastructuur van het EPD (Landelijk SchakelPunt) dat onder technisch beheer staat van een Amerikaans bedrijf en dat daardoor onder de Patriot Act valt. Maar ook de Windows pc’s (die de-facto verplicht zijn in het middelbaar onderwijs) en de Gmail-accounts (die noodzakelijk zijn om een Universitaire studie te volgen) zijn onderdeel van het wereldwijde spionagenetwerk. Net als de iPhones die sommigen van u wellicht gebruiken en waarover NSA interne documenten met trots melden dat het geautomatiseerde aftap succes 100% is tegen nul dollar kosten per device.
Een en ander leidt ertoe dat zelfs als IT-projecten volgens enige definitie ‘geslaagd’ of ‘operationeel’ zijn deze vaak de grondrechten van miljoenen Nederlandse burgers (art 12 NL-grondwet, Art 8 EVRM, Art 12 UNDHR) schenden. Voorbeelden hiervan zijn het EPD, de OV-chipkaart en vele informatieverwerkende systemen van overheden die uitbesteed zijn buiten Nederland (zoals de database van vingerafdrukken die een aantal jaren lang vastgelegd is bij de uitgifte van paspoorten).
Zowel de EU als de Nederlandse overheid zijn al sinds de zomer van 2001 op de hoogte van deze problematiek en sindsdien is er in Nederland niets gedaan om de privacy van burgers of de veiligheid van data van Nederlandse publieke en private instellingen te waarborgen. Er is veel gedaan door de overheid dat deze problematiek enorm vergroot heeft.
Bovenstaande heeft in mijn optiek als consequentie dat een zuivere ‘operationele’ benadering van projectsucces bij lange na niet voldoet als de overheid haar rol als beschermer van de rechten van haar burgers serieus neemt.
Het afgelopen weekend heb ik de vijf video’s van de hoorzittingen bekeken en was het meest onder de indruk van de bijdrage van Dhr. Swier Jan Miedema. Hij leek de enige die vanuit oprechte betrokkenheid hardop zei wat hij dacht (hoewel Prof. Verhoef ook best een paar wijze uitspraken deed). Het meest boeiende van zijn betoog vond ik de duidelijke angst om in het openbaar aan de Commissie te bevestigen wat velen in de Nederlandse IT weten: dat een partij als Centric op allerlei manieren haar machtspositie bij lokale overheden misbruikt voor korte termijn gewin (hier een ander voorbeeld).
Dat een IT-professional van dergelijke senioriteit met trillende stem om de hete brei moet dansen is tekenend voor de situatie in de ‘markt’ voor publieke ICT. Geïnstitutionaliseerde corruptie en machtsmisbruik toestaan lijkt meer op het bestuur van een ontwikkelingsland dan van een democratische rechtsstaat.
In de gesprekken met zowel Dhr. Miedema als diverse andere experts vroegen diverse leden van de commissie meerdere malen of deze personen niet wat zaken konden uitzoeken om ‘het probleem’ op te lossen. Een kijker van buitenaf zou zo maar kunnen concluderen dat er (twee jaar en 8-12 miljard Euro na de start van de Commissie) nog steeds het idee leeft dat deze problemen opgelost kunnen worden met zoiets eenvoudigs als een betere project-management methodiek. Op basis van mijn ervaring ben ik van mening dat de problematiek veel fundamenteler is.
Met klem wil ik u verzoeken veel breder en fundamenteler naar de problematiek te kijken en geen vragen of oplossingsrichtingen uit te sluiten. Zelfs niet als daarmee significante economische belangen van bovengenoemde leveranciers of de functies van groepen ambtenaren in het geding komen.
Zowel Dhr. Miedema als Prof. Verhoef uitten de mening dat alles wat er misgaat ruimschoots verklaard kan worden door de brede en diepe incompetentie die er bij zowel de overheid als haar leveranciers bestaat. Er zijn echter ook grenzen aan de incompetentie-theorie. Ergens wordt langdurig de ontstellende schaal van geldverspilling, het in gevaar brengen van de cybersecurity van Nederland en de schending van de privacy van miljoenen Nederlanders goed gevonden (of in ieder geval niet van een zwaarwegend belang in een belangenafweging). Het feit dat u met vijf volksvertegenwoordigers gedurende 2+ jaar in een paar uur per week een probleem dat honderden miljoenen per maand kost moet oplossen is wellicht ook een indicatie van de non-prioriteit die er aan gegeven wordt. Er zijn vele ambtenaren, bedrijven, cybercriminelen en spionagediensten in het buitenland die enorm voordeel hebben bij de status-quo. Kijk vooral ook wie er niet naar uw zittingen komen.
In de 21ste eeuw Worden Wetten Werkelijkheid middels software. Het past dus niet langer om de controle hierover volledig uit handen te geven aan (vaak buitenlandse) commerciële partijen. Uitvoerders moeten aan u verantwoording kunnen afleggen over hun doen en laten. Zonder gedetailleerde controle over de technologie waar zij volledig van afhankelijk zijn is dat niet mogelijk.
Vanzelfsprekend ben ik gaarne bereid bovenstaande zaken mondeling toe te lichten.
Met vriendelijke Groet,
Arjen Kamphuis
20 mei 2014: correcties tik/spelfouten n.a.v. email reacties – dank hiervoor!
21 mei 2014: Mailwisseling met Centric over mijn bijdrage
21 mei 2014: Interview BNR radio.
26 mei 2014: Mailwisseling met Centric, deel 2 over mijn bijdrage
9 juni 2014: De andere IT van een ander Nederland scenario hoe het ander had gekund, een keuze die vandaag nog steeds gemaakt zou kunnen worden…
Europol niet langer achter cybercriminelen aan
Op woensdag 30 april gaf ik op BNR Radio commentaar op het nieuws dat Europol niet langer actief poogt cybercriminelen te arresteren. In plaats daarvan wil de politie organisatie digitale dieven ‘lastig gaan vallen; bij hun werkzaamheden. Hoe men dat gaat aanpakken is volstrekt onduidelijk aangezien Europol zelf aangeeft dat het gebruik van privacy-technologiën als TOR het vrijwel onmogelijk maakt daders te identificeren.
In al het ‘hang-em-high’-achtige wapengekletter van wetshandhavers is er al jaren geen aandacht voor preventie en voorlichting van burgers die door hun onwetendheid onnodig slachtoffer worden. De combinatie van ontbrekend computeronderwijs (een cursus tekstverwerken telt niet) en het actief creëren van software monopolies op desktops en laptops door de overheid zijn de meeste burgers volledig onbeschermd tegen sluwe criminelen die hun bankrekening leeghalen of met hun identiteit aan de haal gaan. Zowel de Nederlandse als de Europese overheid wordt al sinds het begin van deze eeuw verteld wat men wel zou moeten doen maar wil, kan of snapt dat niet. Burgers moeten zelf bescherming regelen door zich te verdiepen in basisvaardigheden van veilig computergebruik.
Luister hier de BNR stream of de MP3.
Ask Snowden op BRN radio
Op 23 januari Gaf Edward Snowden in een live-chat antwoorden op vragen die hem per twitter gesteld waren. BRN vroeg Brenno de Winter, Bits of Freedom en mij naar onze vraag aan Edward Snowden.
Mijn vraag aan Snowden (die ik ook al eerder in mijn London Real interview stelde): gaan alle verdere onthullingen ook over de technische capaciteiten van de NSA of krijgen we wellicht ook een kijkje in de inlichtingen die de NSA heeft vezameld de afgelopen 50 jaar? Ik ben benieuwd naar eventuele informatie over belangrijke historische gebeurtenissen waar de NSA wellicht belangrijke informatie over heeft die wij (nog) niet hebben. Opnames van telefoontjes tussen Tony Blair en Balkenende in de 9 maanden voor de Irak oorlog, nog meer Nixon-tapes, gestolen ontwerpen van Britisch Aerospace die plotseling bij Boeing lagen. Men kan zich zo wat sappige krantenkoppen voorstellen.
Ik ben daar wel benieuwd naar.
Hier op het BNR archief, hier als mp3.
‘Tinfoil Is The New Black’, Keiser Report interview
I was a guest on Max Keiser’s programme ‘The Keiser Report‘ last Thursday jan. 16th for the second time. Max is a former Wall Street trader who foresaw the current economic crisis a decade ago.
Full Keiserreport episode here on RT site and here on Youtube.
Max caught me be susprise by asking about the NSA TURMOIL and TURBINE programs. I confused them with other programs (there are many). The TURMOIL and TURBINE programs are part of the ‘Targeted Acces Operations’ family (see this Spiegel article). These are programs for gaining acces to systems by other means than abusing their built-in weaknesses over internet connections (the NSA’s favourite method because it can be automated to spy on everyone at very low cost). Targeted Accces Operations (TAO) deals with everything from intercepting & modifying electronic devices that people order online to the use of microwave beam weapons to identify, hack, break and manipulate computer systems from great distance. The latter method has also been used for targeting drone strikes. The talk by Jacob Appelbaum I mention in the beginning of the interview is here. Many more talks from the 2013 CCC conference in Hamburg can be found here.
The US Declaration Of Independence is one of the greatest political writings in history and can be re-written for more contemporary political problems as I did here. Accoring to US academics the US declaration was inspired by the Dutch declaration that preceded it by almost two centuries.
Blogpost on a previous interview last year.
Interview on London Real
Last year during my December visit on London I gave a 1 hour interview to London Real. This is great new free-form 1+ hr completly unscripted interview program that is available on Youtube and as a podcast. Tired of the superficial 3-minute interviews that stop just when things get interesting? London Real is your channel. If you want to keep up to date on the London startup/tech scene then checkout Silicon Real.
I was honored to be in a lineup that includes several of my current heroes including Max Keiser, Jared Diamond, Annie Machon and Rick Falkvinge.
Brian Rose and me spoke about NSA-spying, the nature of privacy, copyright, bitcoin and much more. The interview begins at 7:48. For more check out the London Real site. Compact mp3 for download here.