Cybercrime ( 16 oktober 2011)

Cybercrime,

Gedachten over wat het is, wat het doet en hoe het te voorkomen. ‘Je moet eerst iets erkennen en “beleven” voordat je het kan oplossen’

 

Naast alle problemen die er al zijn in november 2011 is nu ook cybercrime als uitdaging op het Nederlandse bordje verschenen. Cybercrime als onderwerp wordt niet genoemd in de miljoenennota 2012 maar wij kunnen u verzekeren dat het onderwerp, na het Diginotar debacle van september 2011 terug, zal terugkomen op de agenda.

‘Cybercrime’ komt zo snel op dat de oplossing er nog niet is. Het bestuurlijk en wettelijke, institutionele kader maar ook het besef van de omvang van het probleem past zich onvoldoende snel aan aan de nieuwe situatie. Dan krijg je dus die incident gedreven probleemoplossing die je nu bijvoorbeeld bij de overheid waarneemt.

Nu ik over dit onderwerp eerder een tweetal speeches heb mogen houden vandaag de poging de kern van mijn gedachtengang als blog ‘in de wereld’ te zetten.

Cybercrime. Het is net als bij de komst van de auto of het vliegtuig. Toen heeft het ook meer dan 30 jaar geduurd voordat we werkelijk de nieuwe situatie begrepen en ons aanpasten op de nieuwe technologische situatie. Wennen aan cybercrime kost tijd.

Inderdaad, we beseffen onvoldoende wat cybercrime kan aanrichten en hoe afhankelijk we nu al van internet zijn. Totdat je een keer slachtoffer wordt van identiteitsfraude.. en dan weet je het wel. Of totdat je Blackberry het even niet doet. Bij Amber alert hebben we wel een concrete voorstelling, kindje weg, dat snappen we; en daar reageren we dus op. Cybercrime is veel vager, totdat het je overkomt. Heeft u wel eens met een slachtoffer van identiteitsfraude gepraat? Het ruïneert je leven. Ik denk sowieso dat we het overzicht over privacy schendende maatregelen en de lange lijst van databases waar persoonlijke informatie over ons in staat kwijt zijn.

Cybercrime lijkt wel niet als probleem gezien te worden. Want we lossen het niet op. Je moet eerst een situatie erkennen en “beleven” , dat wil zeggen emotioneel contact mee maken, voordat je hem kan oplossen. Dat is een keuze. Niemand voelt zich verantwoordelijk voor het probleem als zo vaak. Dat je een brief gewoon in een envelop stopt lijken velen van ons even vergeten. Waarom regelen we wel defensie van fysieke veiligheid en niet van digitale?

De vorige uitvinding die zo massaal is uitgerold als internet is eigenlijk de pil, begin jaren 60. En eigenlijk zijn we daar ook nog niet over uitgepraat. Ook Cybercrime heeft dus zijn tijd nodig om een ‘mentale categorie’ te worden. Dus dat het nu een probleem is is niet erg en je niet aan te rekenen. Maar dat de situatie zo zou blijven is denk ik niet ok.

Eigenlijk wordt cybercrime tot nu toe niet gezien als belangrijk probleem. Want problemen los je op. Hoe ziet het beleid er op dit punt uit in Nederland? Hebben we wel een beleid? Zijn we wel echt bezig hier iets aan te doen.

We zien ook in de organisatie van cybersecurity het probleem niet. Pas als het te laat is. We vertrouwen op een systeem wat geheime elementen bevat. Dat is onbeheersbaar.

De getallen nu? Cybercrime schade in Nederland nu is pakweg een kwart miljard euro per jaar. En dat was voor de situatie rond Diginotar en dit bedrag groeit overigens nog steeds exponentieel.

Een van de reden van het gebrek aan cyber security onvoldoende begrip van waarde van informatie. Wij denken vaak dat onze informatie splinter er niet toe doet. Maar ook jouw en mijn kleine splintertje draagt bij aan het plaatje, zeker als al die kleine stuikjes in krachtige wiskundige algoritmes kunnen worden ingevoerd die dan opeens wel inzicht opleveren. Een voorbeeld: denk eens terug aan de ‘pizza index’: de aflevering van 300 pizza’s bij het Pentagon was genoeg om te zien dat er iets stond te gebeuren; in dit geval de eerste invasie van Irak. Een practisch voorbeeld van begrip van waarde: hoeveel mensen maakt u mee die een scherm voor hun laptop scherm plaatsen, in het vliegtuig bijvoorbeeld, zodat u niet mee kunt lezen?

Nog wat voorbeelden van onwennigheid met het onderwerp. Ethisch hacken. Wat vindt u daarvan? Hoe vindt u het als iemand bij u inbreekt en zich daarna heilig verklaart? Tovh lijken heel veel mensen daarvoor te zijn.‘Mystery hacking’ lijkt me prima. Maar (onafgesproken) ethisch hacken lijkt me meer ‘cracken’ en niet de weg die we op moeten. Ontbreken van wettelijke aansprakelijkheid is sowieso een punt van verschil tussen digitale sector vergeleken met de fysieke. Makers van software lopen geen enkel risico met betrekking tot product aansprakelijkheid naar de klant toe. Anders dan met auto’s die teruggeroepen worden bij gebleken defect kan het ICT bedrijf volstaan met een patch achteraf.

Een ander aspect van Cybercrime. Moet je je voorstellen wat er gaat gebeuren als het internet fysieke dingen gaat besturen. De voedselketen bijvoorbeeld. Of auto’s met een IP adres . Dan kan de hacker letterlijk het verkeer stilzetten. Gaat gebeuren. En sneller dan wij nu denken. De eerste atoom centrales zijn gehackt. We weten het. Wat gaan we met die informatie doen?

De vraag is of er wel adequate beveiligingssoftware bestaat. In ieder geval is het zo dat je voor cybersecurity op vitale plekken continue, 24*7h, moet meekijken. Twee keer per jaar een papieren controle op digi-veiligheid heeft geen zin. Een goed voorbeeld hoe het wel moet is de Luchtvaart. Als de ‘FAA’ controleur, komt gaat echt wel dat vliegtuig open. Bovendien snapt die man waar het over gaat. En als de situatie niet klopt blijft de hele vloot aan de grond. Dat is dus een duidelijke economische prikkel voor de luchtvaart om hun zaken op orde te hebben. En dat helpt. Er vallen niet meer zomaar vliegtuigen uit de lucht.

Je moet eigenlijk ook beveiligingen inrichten in overeenstemming met het belang van desbetreffende instantie en de potentiele schade. Diginotar was natuurlijk een klein bedrijf met een kleine omzet. Maar door hun falen is er wel voor honderden miljoenen schade veroorzaakt. Dit nog afgezien van het geschokte vertrouwen in de digi overheid. En eigenlijk komt het bedrijf er mee weg…

Bedrijven en ook de overheid zijn trouwens niet goed in het inkopen van digi-veiligheid. Door de manier waarop nu wordt aanbesteed moet alles zo goedkoop mogelijk en valt internet veiligheid als onderwerp van tafel. Je zou eens kunnen nadenken of dit beter en handiger kan.

Oplossingsrichtingen

In de eerste plaats moeten we snappen dat cybersecurity belangrijk is en dat cybercrime bestreden dient te worden. Het moet een emotioneel referentiepunt worden. Net als de Amber alert. Bijvoorbeeld TV programma’s maken waarin dit probleem geagendeerd wordt lijkt mij een goede zaak.

Ik denk dat internetten een vak op de basisschool moet zijn en dat de overheid een campagne zoals ‘veilig vrijen’ zou moeten overwegen om ons bewust te maken van cybercrime en wat je als burger kunt doen om het te vermijden. En inderdaad, dit soort bewustwordingscampagnes kost tijd.

Je moet in dit onderwerp in ieder geval ICT specialisten samenbrengen met antropologen en bijvoorbeeld mensen als Paul Schnabel (SCP) die begrijpen hoe een samenleving nieuwe praktische wijsheid en nieuwe technische concepten adopteert.

ICT infrastructuur moet je denk ik net zo zien als het wegennet, water, luchtruim, als een maatschappelijke basisinfrastructuur… misschien hoort die digitale infrastructuur wel thuis bij het ‘Ministerie van Infrastructuur en Milieu in combinatie met het Ministerie van Veiligheid en justitie, net zoals met wegen, dijken en water. Ik moet er toch vanuit kunnen gaan als burger dat ik veilig over die brug kan rijden. Dat geldt dus ook voor veilig internet. Ik moet er vanuit kunnen gaan dat sommige dingen goed geregeld zijn. Dat is toch echt een publieke taak.

Maak daarmee cybercenters ook deel van maatschappelijk vitale infrastructuur. Dat is nu niet geregeld.

Zet Scanners bij de provider in plaats van bij ons thuis. Maak het individu eigenaar van de over hem opgeslagen gegevens. Nu is dat niet zo en zijn bedrijven eigenaar van die persoonlijke gegevens van u en mij. Leg dus meer verantwoordelijkheid bij individu op dit punt en organiseer dat via een ’identity provider’ en claims based identity management. Die ‘identity provider’ is hard nodig denk ik.

We zien het probleem niet. Pas als het te laat is. We vertrouwen op een systeem wat geheime elementen bevat. Dat is onbeheersbaar. Van Diepen en Lagendijk pleiten in de NRC van 8 oktober daarom geen security through obscurity te regelen maar security through openness. Niet de methode maar de sleutel geheim houden. Immers dan komt de zwakheid pas naar buiten als het leed al geschied is.

Wat zou je verder nu kunnen doen?

Je zou een FAA “luchtvaart-achtig” toezicht kunnen organiseren waar dit nodig is met economische prikkels voor de leveranciers van digi-veiligheid om dit goed te doen. Hoe toezicht in de luchtvaart is georganiseerd zou model kunnen staan voor de eerste stappen in cybersecurity.

In de Wet op de Jaarrekening staat dat de accountant ook de betrouwbaarheid van de informatievoorziening moet controleren. Dat lijkt me een prima kapstok om de security van de digitale omgeving mee te nemen in de accountantscontrole. Accountants moeten daar goed op voorbereid zijn. Op die manier creëer je een direct belang bij bedrijven om cybersecurity serieus te nemen.

 

En je zou cybersecurity op Europees niveau moeten agenderen denk ik. Misschien dat op dat niveau nog enige invloed op de Googles en Microsofts van deze wereld kan worden georganiseerd.

 

Tot slot

90% van de geldstromen rond spam gaan naar 3 plaatsen in de wereld. Toch doen we er weinig aan. Om $70 te verdienen aan spam moet je 12.5 mio spam mailtjes sturen. En dat gebeurt. En dat is dus kennelijk rendabel. Er is dus nog een lange weg te gaan met betrekking tiot cybersecurity. In die context kun je de vraag stellen of het wijs is, dit wetend, om nog meer grote bestanden te willen aanleggen met persoonlijke informatie van en over burgers zoals de Nederlandse overheid doet. Electronisch belastingdossier, electronische persoonsdossier, kinderdossiers. Bedenk dat in een wereld waar alles alles digitaliseerbaar en alles afluisterbaar is alles ook oneindig vermenigvuldigbaar is al die niet met ‘neue Kombinationen’ via knappe dingen als Semantics analytics, mining en behavioural targeting. Je kunt aan de hand van beschikbare informatie en goede wiskundige algoritmes heel veel achterhalen laat staan als daar nog de gerichte vangst vanuit hacking bijkomt.

Wie wil glimmen moet poetsen. Ik wens ons en Europa veel succes met deze uitdagingen!

 

 

 

Leave a Reply