Security. Een ‘Hot Topic’

Joostblog

Verschillende instanties luiden de noodklok over de beschikbaarheid van hacksoftware. Deze software wordt steeds uitgebreider en gemakkelijker om te gebruiken. We zijn op een punt beland dat iedereen, ook de mensen zonder specifieke IT kennis, de middelen heeft om deel te nemen aan cybercriminaliteit. Een zorgzame ontwikkeling. Wie kan straks bij je foto’s die je op de cloud hebt opgeslagen, of online hebt verstuurd? Wie kan straks inbreken in een datacentrum, en jouw patiënten dossier inzien? Misschien is het beter als we ons niet zoveel zorgen maken, en onze privacy gewoon opgeven. Tim de Wolf concludeert in zijn blog: ‘Security. Een Cold Topic’ dat het opgeven van privacy een hoop discussie, geld en gedoe zou schelen. Dat is zeker waar, maar niet de weg die we in moeten slaan. Investeren in cybersecurity wel, en niet alleen voor onze privacy, maar ook voor onze veiligheid.

Het is natuurlijk ontzettend vervelend als thuis je computer wordt gehackt, je bestanden worden gekopieerd of als de toegang tot je eigen documenten wordt geweigerd door zogenaamde ‘Ransomeware’. Nog vervelender wordt het, om maar in een eufemisme te spreken, als essentiële dienstverleners (energie, transport, gezondheidszorg, etc.) dit ondervinden en er op nationaal niveau problemen ontstaan. Overheden zijn zoekende naar de beste manier om de risico’s te beperken, en elk land kiest zijn eigen weg.

Om in Europa tot een gemeenschappelijke aanpak te komen is op 6 juni 2016 door het Europese Parlement de laatste stap voorbereid naar invoeren van het Network and Information Security (NIS). De richtlijnen die hierin staan komen als antwoord op de groeiende bezorgdheid betreffende cyberdreigingen, en zijn een poging om het niveau van beveiliging bij bedrijven en overheden in de Unie omhoog te halen. Andrus Ansip (Vice-President Digital Single Market bij de Europese Commissie): ‘’If we want people and businesses to make the most of digital services, they need to trust them. A Digital Single Market can only be created in a secure online environment. The Directive on Security of Network and Information Systems is the first comprehensive piece of EU legislation on cybersecurity and a fundamental building block for our work in this area. It requires companies in critical sectors to adopt risk management practices and report major incidents that can affect the Digital Single Market to their national authorities which will, in turn, be able to carry out better capacity-building with greater cross-border cooperation inside the EU’’

Ieder lidstaat heeft vanaf augustus 2016, 21 maanden de tijd om de wetgeving volledig over te nemen en een Computer Security Incident Response Team (CSIRT) aan te stellen die verantwoordelijk wordt voor preventie en detectie van incidenten en risico’s. Op deze manier probeert de Europese Commissie een uniforme aanpak en samenwerking bij de lidstaten te bewerkstelligen.

Dat het NIS een belangrijke stap in de goede richting is zegt ook Danielle Kriz, Senior Director bij Palo Alto Networks, een bedrijf dat zich specialiseert in cybersecurity: ‘Harmonized approaches to cybersecurity are an essential ingredient in improving cybersecurity worldwide. Cybersecurity resources are scarce in both government and industry, and any redundant or inconsistent activities or requirements could divert resources from where security is needed and from the ability to develop responses to consistantly evolving cybersecurity threats’.

Nederland wacht niet op input vanuit de EU, maar loopt voorop als het gaat om cybersecurity. In 1993 werd de eerste wetcomputercriminaliteit al opgenomen in onze regelgeving. De ontwikkelingen gaan echter in rap tempo door, en we zijn ondertussen al bij Wet computercriminaliteit III aangekomen. Afgelopen jaar werd deze controversiële wet aangenomen. Deze wet wordt ook wel de terughackwet genoemd, omdat de politie de mogelijkheid heeft gekregen om ‘bij de inbreker, in te breken’. De politie mag gegevens kopiëren, aftappen en ontoegankelijk maken op de computer van een crimineel (ook als het om niet om cybercrime gaat).

Het lijkt allemaal heel aannemelijk en te begrijpen, toch kent de wet veel tegenstanders die wijzen op privacy, een hot topic als het om internetveiligheid gaat. Ik ben van mening dat wanneer een persoon aan criminele activiteiten deelneemt, zijn recht op privacy in zeker mate beperkt mag worden. De werkwijze van de internetcrimineel maakt het echter iets gecompliceerder. De gehackte computer is namelijk meestal niet van hem/haar zelf. Vaak wordt een computer van een onschuldig persoon op afstand overgenomen, om vanuit daar de criminele activiteiten uit te voeren. Terughacken zou dan betekenen dat een persoon die al de dupe is van internetcriminaliteit, ook nog eens zijn privacy kan inleveren. En dan komen we weer bij het vraagstuk, scheelt het niet heel veel gedoe als iedereen zijn of haar privacy gewoon opgeeft?

Ja, het zou inderdaad veel geld en tijd schelen, maar het zorgt voor een ongewenste situatie. Personen die geen waarde hechten aan privacy zijn vrij om alles te delen. Maar degene die wél gebaad zijn bij privacy, moeten de zekerheid kunnen krijgen dat niet al hun informatie op straat ligt. Wellicht is die zekerheid te hoog gegrepen, maar in ieder geval de zekerheid dat er vanuit wet- en regelgeving alles aan gedaan wordt om privacy te waarborgen zou een goede basis zijn.

 Joost Streefkerk

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *