Achter Het Nieuws - De wereld gaat aan… ten onder!
Door Artikel IB1-2023 IB-redacteuren 3 mei 2023
In deze rubriek geven enkele IB-redacteuren in een kort stukje hun reactie op recente nieuwsitems over informatiebeveiliging. Dit zijn persoonlijke reacties van de auteurs en deze geven niet noodzakelijkerwijs het officiële standpunt weer van hun werkgever of van PvIB. Vragen en/of opmerkingen kun je sturen naar ibmagazine@pvib.nl.
De wat ouderen (wijzeren?) onder ons herkennen wellicht deze titel. Hij dateert uit 1954 en de schrijver is Max Dendermonde. Diegenen die dat boek niet kennen, zullen wellicht woorden invullen als “oorlog”, “terrorisme”, “bandietenstaten”, “politiek”, “waandenkbeelden”, “onvoorzichtigheid”, “cybercriminaliteit”, “phising”, “software” en misschien zelfs “ICT” (vakgenoten) of “vlijt” (filosofisch aangelegde vakgenoten). Het laatste woord is juist.
De fictieve locatie is een researchcentrum in de VS (Oaklake om precies te zijn) waar men hard werkt aan middelen om nog harder te werken. En daarmee kunnen wij ook de huidige wereld karakteriseren waar - in locaties binnen de VS, China, Rusland, Europa, Azië en zo verder - hard gewerkt wordt aan de efficiëntie en transparantie van de digitale wereld. En net als in het boek zijn maar weinig mensen bereid om de zinnigheid en de daarmee gepaard gaande risico’s/gevaren (“1984 – George Orwell”) van al die inspanningen te overwegen. Zo ook in ons kleine, bescheiden en het goede nastrevende Nederland. Zo meldt Tweakersnet met (technisch!) objectieve nauwkeurigheid (1.286 woorden) de komst van een Nederlands paspoort voor op het internet [1]. Daarvan zijn 292 woorden (22,7%) gewijd aan de “kritiek en de politieke spanning”. De kritiek beperkt zich tot 144 woorden (11,2%) de resterende 148 woorden (11,5%) gaan vooral om het politieke spel daaromheen. Deze kritiek-paragraaf sluit dan ook af met: “De demo van de Nederlandse app is er nu al, zodat de ontwikkeling niet pas hoeft te beginnen als die verordening er inderdaad komt. ”Dat moet ons dus geruststellen, Nederland zal niet achterlopen, zeker zolang wij nog niet weten of er een beperkende Europese verordening komt. En dat ondersteunt door artikelen van de Onderzoeksraad voor Veiligheid: “Aanpak Cybersecurity heeft versnelling nodig” d.d. 13.12.2022 in aansluiting op zijn rapport “Kwetsbaar door software” d.d. december 2021 [2 en 3]
De vraag rijst dus waaraan… (?) gaat onze wereld dan ten onder? - Chris de Vries
Mijn leesadvies: zie de artikelen van Tim Janssen, VISMA, in IB.4- 2020 en Kim Schneider, RABO, in IB.5-2020 over de Self-Sovereign Identity (SSI) en vergelijk dat met het Nederlands paspoort voor het internet [4].
Het is natuurlijk kinderachtig om meteen weer dwars te liggen, terwijl Nederland er voor moet waken niet achterop te raken. Kinderachtig (?), als op hétzelfde moment Tweakersnet twee andere publicaties het licht laat zien met als titels: ”EU-lidstaten overtreden Europees recht met verwerking passagiersgegevens”[5] en “Microsoft laat Europeanen vanaf januari kiezen of ze data in EU willen opslaan”[6]. Met dit laatste brengt Microsoft de door haar verkregen (klant)gegevens onder op een Europese server (lees – zoals ik denk – Ierland). Hetgeen natuurlijk geen garantie biedt dat Amerikaanse diensten niet alle data kunnen overnemen naar Amerikaanse servers en dat naar eigen, politiek inzicht dan wel - opdracht kunnen gebruiken.
Ook vanuit NEMO kennislink wordt m.i. een meer objectief, kritische kijk geformuleerd over een ander bestanddeel van onze ICT-voetafdruk in het artikel: “Bescherming of bedreiging – de voors en tegens van de aangepaste sleepwet op een rij”[7]. En dit alles onder de supervisie / strategie van de Europese Commissie die een Europees digitale identiteitswallet (mooi, nieuw Nederlands woord?) laat ontwikkelen, waaraan onze SIDN via de ‘joint venture’ IRMA-ontwikkelaar (‘I Reveal My Attributes’, ook hier verwonder ik mij over het schone van onze taal) in een pilot deelneemt [8].
Misschien ben ik te wantrouwend, misschien twijfel ik te zeer aan de integriteit van onze overheden - wie ben ik om dat te (mogen) doen (?) - maar worden wij niet keer op keer teleurgesteld? Denk aan de recente “Toeslagenaffaire” of aan de gaswinning in Groningen, de boeren met hun CO2-problematiek en misschien zelfs ook al aan Limburg en de mijnbouw problematiek, welke recent boven water kwam als gevolg van de stijgende waterstanden in de gesloten mijnen.
Moeten wij als burger, maar meer nog als over kennis beschikkende cybersecurity-specialist, ongebreideld vertrouwen blijven houden, meewerken aan en toestaan wat ICT-technisch mogelijk is? Voortgang in technologie nastrevend in het vertrouwen dat de tijd en de mensen dan levend er voor zorg dragen dat het wel goed komt door oplossingen welke wij nu nog niet zien. Waar doet mij dat ook weer aan denken: pensioenverdamping, klimaatverandering, 4-jarig kortetermijnpolitiek (en te vaak opportunistisch) beleid …? Daarbij wil ik erkennen dat de noodzaak voor weerbaarheid, bescherming van de identiteit van de burger, bestrijding van terrorisme, staatsactoren en wat dies meer zij terecht hoog op de agenda staan, maar niet tegen elke prijs en niet zonder het kind erbij te hebben die op straat naar de koning kijkt en de vraag stelt: “Mama, loopt die koning niet …”?
Fook Hwa Tan - Ondergaan of herrijzen!
We zien vele problemen in deze wereld. Om de haverklap wordt iets geïdentificeerd als een crisis. Ik heb, toen ik klein was, geleerd dat een crisis een uitzonderlijke situatie is. Maar nu hebben we een energiecrisis, een woningcrisis en een asielcrisis. Dit vlak na een pandemie waarmee we meer dan twee jaar hebben geworsteld. Gaan we echt ten onder?
In de geschiedenis zijn er veel bevolkingsgroepen geweest die hebben geworsteld met de veranderende tijden. Dit noemen we ook wel innovatie en ontwikkeling. Bij grote wijzigingen in de maatschappij hebben mensen moeite om mee te gaan of mee te veranderen. Wordt hierdoor elke grote uitdaging meteen een crisis? Ik denk dat het tot stilstand komen van de hele wereld door COVID-19 heeft laten zien hoe afhankelijk we van elkaar zijn geworden. Drie jaar geleden dachten we dat de pandemie mogelijk het einde van de wereld zou betekenen. Vandaag de dag leven we weer gewoon ons leven. Het is niet zozeer de vraag waaraan we ten onder gaan, maar meer hoe houden we hoop? Er wordt wel gezegd dat elke tegenslag juist een kans is om deze te overwinnen. Onder invloed van de verdere globalisering en digitalisering van de wereld zullen we moeten leven met nieuwe technologieën en nieuwe manieren van werken, maar zolang we hoop houden en met de beste intenties ons leven leiden - waarbij we de zwakkeren onder ons helpen en de sterkeren kunnen controleren - zal de mensheid een eind komen. Elke berg is er om beklommen te worden! We zullen herrijzen als een feniks!
Leo van Koppen - De wereld gaat aan excuses ten onder
Excuses zijn de afgelopen tijd erg in het nieuws(!) Is het een nieuwe trend geworden die hoort bij deze tijd van meer openheid en diversiteit? Ik weet het ook niet, maar constateer slechts dat vooral de huidige bestuurders zich uitputten in het uiten van excuses aan slachtoffers: ministers (aardbevingsschade, toeslagenaffaire), burgemeesters en bestuurders (slavernij, aardbevingsschade, toeslagenaffaire), CEO’s (milieu, gezondheid) et cetera. Opvallend is daarbij dat er wel een flinke tijd overheen gaat voordat de slachtoffers een excuus krijgen aangeboden. Pas als er echt geen andere mogelijkheid rest, komen er excuses.
Een soort van laatste redmiddel en de erkenning van het feit dat bepaalde zaken in het verleden níet goed zijn aangepakt en vervolgens later vérkeerd uitpakken. Een poging om de zaak alsnog een beetje goed te maken, waarbij een excuus tegelijkertijd wordt voorzien van de nodige disclaimers. Interessante vraag is natuurlijk of onze huidige minister-president zo rond 2040-2050 ook zijn excuses zal gaan aanbieden? Verwacht het eigenlijk niet, want zijn geheugen is, zoals hijzelf meerdere malen heeft toegegeven, nogal volatiel. In ons vakgebied lijkt deze trend van het aanbieden van excuses nog weinig opvolging te krijgen. Ik heb ze nog niet gezien althans, de excuses van Microsoft, Citrix, F5, Fortinet en VMware om nog maar even in de actualiteit te blijven. En helaas is dit slechts een klein puntje van een hele grote ijsberg. Geen excuus nog gezien van deze bedrijven en ik verwacht ze eerlijk gezegd ook niet. Niet op korte, noch op langere termijn. In de informatiebeveiliging leven we gewoon verder, werken we ons met Kerst een slag in de rondte om zaken ook voor het nieuwe jaar in de lucht te houden. Dit nadat we het hele jaar al patchend zijn doorgekomen.
IT-designs die in het verleden níet goed zijn aangepakt en die dan, zo blijkt later, vérkeerd uitpakken. In onze wereld is het onderhoud ervan een hele industrie geworden. Een verkeerde aanpak in het ontwerp of tijdens de realisatie of in het onderhoud, allemaal ten gevolge van verkeerd inzicht, onzorgvuldigheid of incompetentie. Of, kan het erger, vanwege de eenvoud het ene gat met het andere proberen te dichten. Ik hield mijn studenten altijd voor: “bij elke maatregel moet je bedenken welke kwetsbaarheid je introduceert”. Dan is er wel enige gelijkenis met onze nationale held Hansje Brinkers. Natuurlijk, ook ik begrijp dat honderd procent veilig een utopie is, maar ik zou graag zien dat we de manier waarop we systemen ontwerpen en ontwikkelen nu eens echt gaan aanpakken.
“Security := a functional”. Dus vanaf het eerste begin de security eisen meenemen en tot aan het einde van de levenscyclus aanhouden. Eisen vanuit de wetgever (EU’s Cyber Security Resilience Act) komt eraan, al duurt het nog wel even voor deze er is), eisen vanuit de afnemer (Software Bill of Materials, SBOM), eisen vanuit competenties (security een verplicht onderdeel maken binnen alle IT-gerelateerde opleidingen). Dat zijn de stappen waarvan ik hoop dat we die in 2023 kunnen gaan maken om zo onze werklast terug te kunnen dringen. Ik bezocht onlangs de voorstelling De mens en ik van Tim Fransen. Twee van zijn uitspraken zetten aan tot denken en bieden een goede leidraad om in de toekomst al die excuses te voorkomen en ook onze security lasten te verlichten: “we worden meer bepaald door onze gebreken dan door onze prestaties” en “onze kennis is onze wijsheid voorbijgestreefd”.
Referenties
[1] https://tweakers.net/nieuws/204138/nederland-krijgt-een-paspoort-voor-opinternet-hoe-gaat-datwerken.html?utm_source=nieuwsbrief&utm_medium=email&utm_campaign=twk_nieuwsbrief
[2] https://www.onderzoeksraad.nl/nl/page/21847/aanpak-cybersecurity-heeftversnelling-nodig - 13.12.2022
[3] https://softwareveiligheid.onderzoeksraad.nl/ - december 2021
[4] “Met een SSI behoudt de gebruiker regie over zijn eigen data” IB-4.2020 pagina 46 t/m48 alsook “Volledige controle over je persoonsgegevens met SSI” IB-5.2020 pagina 52 t/m 54
[5] https://tweakers.net/nieuws/204566/edpb-eu-lidstaten-overtreden-europeesrecht-met-verwerkingpassagiersgegevens.html?utm_source=nieuwsbrief&utm_medium=email&utm_campaign=twk_nieuwsbrief
[6] https://tweakers.net/nieuws/204544/microsoft-laat-europeanen-vanaf-januarikiezen-of-ze-data-in-eu-willenopslaan.html?utm_source=nieuwsbrief&utm_medium=email&utm_campaign=twk_nieuwsbrief
[7] Auteur: van Enith Vlooswijk d.d. 16.12.2022 - https://www.nemokennislink.nl/publicaties/bescherming-ofbedreiging/?news_letter=true&utm_medium=email&utm_campaign=NEMO%252
[8] Tweakersnet d.d. 16.12.2022 - https://tweakers.net/nieuws/204604/irma-ontwikkelaar-sidn-neemt-deel-aan-eu-pilot-voor-digitaleidentiteitswallet.html?utm_source=nieuwsbrief&utm_medium=email&utm_cam