Maak alle ict-beveiliging openbaar

Maak ict onderdeel van de cultuur. De maatschappij is gebaat bij meer ict-kennis bij de doorsneeburger. Burgers moeten de ict-omgevingen kennen waar ze deel van uitmaken. Daar hoort 'security through openness' bij, openbaarheid van beveiligingsmethoden. Hackers moeten die kunnen testen. *)

Het fiasco met DigiNotar, waarbij voor de zoveelste keer burgers het slachtoffer zijn van internetcriminelen, is geen incident. De ict-blunders bij de overheid volgen elkaar op. De projecten zijn grootschalig, duur en roepen veel ergernis op.

Het C2000-communicatiesysteem voor politie, brandweer en ambulancepersoneel, dat in noodsituaties regelmatig tekortschiet, zoals bij de ongeregeldheden op het strand van Hoek van Holland, is een flop. De digitalisering van de WAO-administratie, het afgeblazen elektronisch patiëntendossier, DigiD-fraude, ict-mislukkingen bij de gemeente Amsterdam en gelekte overheidsnota’s zijn andere voorbeelden uit de afgelopen jaren.

Geen blikken experts openen

De oplossing die in alle media en door politici wordt voorgedragen, is om meer ict-experts bij de overheid aan te stellen. Deze oproep doet echter vreemd aan in een tijd waarin de overheid zich terugtrekt en de burgers geacht worden problemen zelf op te lossen.

In plaats van blikken dure experts open te trekken, komen wij met een andere – uiteindelijk veel goedkopere – aanpak, geheel in stijl van de slogan ‘De overheid, dat zijn wij’. Wij pleiten voor een cultuuromslag: maak ict onderdeel van de cultuur. De maatschappij is gebaat bij meer ict-kennis bij de doorsneeburger.

De recente hack bij DigiNotar heeft geleid tot heftige kritiek op de overheid, hoewel het overgrote deel van de Nederlanders geen idee heeft wat een websitecertificaat (X.509v3) is. De burger die de overheid al haar ict-blunders kwalijk neemt, is als de pot die de ketel verwijt dat hij zwart ziet.

Burgers scholen in ict

Elke dag groeit het aantal handelingen dat via de digitale snelweg gaat: het invullen van de meterstand, betalen van een boete, het bestellen van een nieuwe wasmachine of gewoon bellen. Alles gebeurt steeds meer via het internet. De kennis van de werking ervan is echter nihil. Wat moet je met eentjes en nulletjes als je weet hoe je een foto kunt uploaden naar Facebook?

Nog nooit heeft een technologie zich zo diep in onze samenleving genesteld, zonder dat we – op enkele nerds na – weten hoe zij werkt. Dit blinde vertrouwen in de techniek is gevaarlijk. Internetveiligheid ligt niet alleen in goede software, het ligt net zo goed in menselijk gedrag.

Een rijbewijs voor de digitale snelweg verplichten gaat misschien te ver, maar het zou mooi zijn als zo’n rijbewijs net zo vanzelfsprekend wordt als een zwemdiploma. Aangezien basisschoolleerlingen zich al op het internet begeven, is het zaak om het belang van ict-kennis terug te zien in het onderwijs. Wachtwoordles of surfles zouden daarom geen overbodige luxe zijn. Ook is het verstandig om ict-experts wat vaker in het zonnetje te zetten.

Aansprakelijkheid voor softwareleveranciers

Het ontbreken van wettelijke aansprakelijkheid in de ict-sector is niet te vergeten ook een oorzaak van veel problemen. Bij de meeste industriële sectoren is de leverancier verantwoordelijk voor de kwaliteit en veiligheid van zijn product. Auto’s met mankementen worden teruggeroepen. Het risico van schade te moeten vergoeden aan gedupeerde klanten dwingt de fabrikanten de veiligheidsaspecten van hun producten hoog op de agenda te zetten.

Maar de makers van software lopen geen enkel risico. De wetgever heeft toegelaten dat de aansprakelijkheid geheel bij de gebruiker is komen te liggen. Nieuwe wetgeving kan deze onbalans herstellen. Wij verwachten dat de toename van kennis bij de burger op termijn zal leiden tot de nodige hervormingen.

Amateurs – met inbegrip van alle Nederlandse banken en het bedrijf Trans Link Systems dat verantwoordelijk is voor de ov-chipkaart – denken dat het geheim houden van de beveiligingsmethode boeven buiten de deur houdt. In werkelijkheid vermindert deze ‘security through obscurity’ de veiligheid, omdat zwakheden pas naar buiten komen als het systeem is gekraakt en veel onheil al is geschied.

In een beter systeem, genaamd ‘security through openness’, worden niet de methodes geheim gehouden, maar slechts de sleutels. Aanvallen op het systeem worden gestimuleerd, omdat zwakheden in het ontwerp hierdoor naar boven komen en gerepareerd kunnen worden. De hacker die het lek vindt in het open systeem, wordt beloond.

Wij denken dat beter geïnformeerde burgers deze open strategie zullen eisen van hun banken en andere leveranciers van digitale diensten.

Zou u DigiNotar gekozen hebben?

De voorgestelde verbeteringen nemen de onveiligheid in het digitale verkeer niet geheel weg. Het blijft ook hier een voortdurende wapenwedloop tussen de enkele kwaden en de vele goeden. Maar op dit moment wordt het de criminelen wel heel makkelijk gemaakt.

Hoe eenvoudig het kan zijn om met enige kennis digitale rampen te voorkomen, zullen we demonstreren aan de hand van DigiNotar. Een websitecertificaat bestaat uit een paar korte regels tekst met het internetadres van de organisatie – bijvoorbeeld ‘bankieren.rabobank.nl’ – en het postadres. De certificaatautoriteit ondertekent de korte tekst met een geheime sleutel, wat een certificaat oplevert voor de website-eigenaar – in dit geval Rabobank.

Als u naar de betreffende site surft, leest uw browser het websitecertificaat en als deze browser de certificaatautoriteit vertrouwt, ziet u dat terug in het linkerdeel van de adresbalk dat groen kleurt of een slotje weergeeft. U logt dan met een veilig gevoel in, omdat u weet dat ‘bankieren.rabobank.nl’ van een organisatie is die in Utrecht zit, ‘Rabobank Nederland’ heet en niet toebehoort aan een stelletje struikrovers in Nigeria.

Er zijn honderden commerciële partijen, allen met zelfverklaarde betrouwbaarheid, die dergelijke certificaten uitgeven. Wie zou u het meest vertrouwen?
(a) het Amerikaanse VeriSign, de wereldmarktleider, die bij verlies van zijn geheime sleutel vele miljarden euro’s kwijt is of
(b) het piepkleine DigiNotar. Bij beide organisaties worden de certificaten binnen 24 uur geleverd en kosten ze een paar honderd euro per stuk.

De mondige digitale burger zou versteld zijn geweest om te vernemen dat de overheid, voor haar paar honderd benodigde certificaten, de voorkeur gaf aan DigiNotar.

De schade die burgers hebben geleden door DigiNotar zal niet worden vergoed, want multinationale eigenaar Vasco heeft onmiddellijk zijn handen afgetrokken van zijn dochteronderneming en faillissement aangevraagd. Van het aanvaarden van wettelijke aansprakelijkheid voor het geblunder is blijkbaar geen sprake.

Vasco is trouwens het bedrijf dat verantwoordelijk is voor de veiligheid van het internetbankieren bij de Rabobank.

*) Dit artikel is ook verschenen in NRC Handelsblad van Zaterdag 8 oktober 2011,
In Opinie & Debat, p. 10. Zie ook het weblog van Ad Lagendijk en site van Guido van Diepen

 

Netkwesties forum

Netkwesties en de bezoekers stellen je mening op prijs. Deze wordt hier direct gepubliceerd.
AdB
22 okt 2011
Het openbaar maken van ICT-beveiliging is een sympathiek, maar mijn inziens niet het effectiefste middel om de beveiliging te verbeteren. We moeten niet vergeten dat we beveiliging doen tegen mensen met slechte bedoelingen. Te veel informatie vrij geven zorgt er voor dat de beveiliging eerder doorbroken wordt. ICT-beveiliging openbaar maken (zelfs met de nuance methodes en niet sleutels) lijkt me daarom een slecht idee. En waarom hanteren we voor de ICT andere regels dan voor onze niet ICT?
Een groot voorbeeld: De beveiliging van een kerncentrale maken we toch ook niet grotendeels openbaar, zodat mensen begaan met de veiligheid hiervan dat kunnen onderzoeken en kunnen melden?
Een klein voorbeeld: volgens mij is het ook niet verstandig om in het openbaar te laten weten wat het merk van je slot van je huis is.
We kunnen wel wat leren van de niet ICT wereld. Controle is daarbij het sleutel woord. Zo controleert de brandweer de veiligheid van cafés en dat vinden we verstandig, soms lastig en het gaat soms ook mis.
Voor de ICT beveiliging betekent dit m.i.:
Awareness verbeteren: prima; wachtwoord- en surfles op scholen is een uitstekend idee.
ICT Projecten en diensten beter uitvoeren en besturen, prima.
Maar laten we vooral niet vergeten om de controle op de ICT beveiliging te verbeteren. Voor ICT betekent dit: externe Proces Audits, inzet Tiger teams (http://en.wikipedia.org/wiki/Tiger_team; in ieder geval bij oplevering) en continue (geautomatiseerde) monitoring van de beveiliging.
Ik heb geen idee wie dit doet (of zou moeten doen) voor al onze kritieke ICT infrastructuur.

Registreren en de nieuwsbrief ontvangen?

We gaan zorgvuldig met je gegevens om. Je krijgt ook gelijk toegang tot alle plusartikelen en je kunt reageren op de artikelen.

asdas sdf fs dfsdfsf sdffsd

Netkwesties © 1999/2023. Alle rechten voorbehouden. Privacyverklaring

Ehio Media content marketing
1
0
1