Arjen Kamphuis is gecertificeerd IT-auditor en informatiebeveiligingsexpert (CISA, CISM). Sinds 2002 adviseert hij bedrijven en overheden over de gevolgen van technologische innovaties. Daarnaast is hij betrokken bij het nationale IT-beleid op het gebied van open standaarden en open source in het publieke domein. Op de komende VVOJ-conferentie in Kortrijk geeft Arjen Kamphuis twee trainingen over het beveiligen van je laptop. Deel 3 in de VVOJ-interviewserie Op weg naar Kortrijk, het gezicht achter de sprekers.
door Rachel Levy
Vele opleidingen journalistiek hebben als vak datajournalistiek en zoeken in archieven. Anders gezegd: hoe vind informatie in de digitale wereld. Weinig journalistieke opleidingen hebben een vak ‘internet security’ en ‘privacy’ ofwel ‘hoe wordt ik zelf niet gevonden?’ Wat vind u daar van?
Ik denk dat dit een veel te beperkte scope is. Journalisten dienen bekend te zijn met de methoden en technieken die gebruikt kunnen worden voor het beschermen van hun bronnen, henzelf en hun verhaal (in die volgorde).
Bronbescherming is heilig maar door kennisgebrek gaan veel journalisten er nogal los mee om. Resultaat is uiteindelijk dat bronnen uit de meest belangrijke plekken niet willen praten met de meeste journalisten uit angst hun baan (of meer) te verliezen.
Als je als journalist in de toekomst überhaupt een kans wilt hebben dat een significante klokkenluider met jou contact opneemt moet je laten zien dat je je basis-beschermings-technieken en -gedrag hebt eigen gemaakt. Staat je mailcrypto-key bijvoorbeeld op je kaartje en je blog?
U zegt vaak dat als wie gebruik maakt van Apple, Microsoft, Google, Yahoo, Facebook, Skype, AOL or PalTalk, automatisch in de NSA database staat. Wordt het niet tijd dat journalisten een voortrekkersrol nemen in het privacy-debat, en zich hard maken voor hard- en software, waarbij je niet op voorhand je privacy weggeeft?
Eigenlijk zouden overheden hun burgers moeten beschermen tegen privacy-schendingen door vreemde mogendheden. Journalisten moeten in ieder geval vragen blijven stellen waarom ze dat niet doen.
Waarom is ons computeronderwijs gebaseerd op softwareproducten waarvan we weten dat ze opzettelijke achterdeuren bevatten? Waarom gebruikt het de Tweede Kamer iPads die niet te beveiligen zijn?
Daarnaast zijn journalisten als geen ander in een positie om kennis over de gevaren van privacy-schendingen en wat burgers er aan kunnen doen, te verspreiden. Ze moeten bekend zijn met de argumenten en tegenargumenten die in debatten hierover gebruikt worden.
Zij moeten het machtige establishment van spionerende overheden en bedrijven niet zozeer het vuur aan de schenen leggen. Nee, ze moeten de quasi-neutrale (maar eigenlijk ongeïnformeerde) houding te voorkomen die dit machtige establishment alle ruimte geeft.
Er wordt veel geklaagd over de NSA. Maar Nederland schijnt al decennia een ongeëvenaard aantal telefoons af te tappen, meer dan elk ander land ter wereld. Is er reden om aan te nemen dat de Nederlandse veiligheidsdienst beter met de privacy van burgers omgaat, dan de Amerikaanse NSA?
Nee, maar hun capaciteiten zijn minder geavanceerd. Dus kunnen Nederlandse burgers zich er beter tegen verdedigen.
De NSA dwingt bijvoorbeeld Amerikaanse IT-leveranciers om achterdeurtjes in hun producten en diensten in te bouwen. Producten en diensten waar Nederlanders elke minuut van elke dag gebruik van maken.
Bovendien kan een Nederlandse veiligheidsdienst (in ieder geval in theorie) aangesproken worden door een Nederlands parlement. Een buitenlandse veiligheidsdienst staat per definitie volledig buiten onze invloedssfeer.
Volgens u waarborgt Tails de privacy beter dan bijvoorbeeld Windows of iOS. Wat is de reden dat Apple en iOS onze privacy schenden? Levert het hun iets op dat ze niet krijgen als ze onze privacy zouden respecteren?
Bedrijven als Microsoft, Apple en Google schenden wellicht onze privacy om zakelijke redenen zoals het verzamelen van commerciële informatie over het gebruik van hun producten/diensten.
Daarnaast dwingt de Amerikaanse overheid en de Amerikaanse inlichtingendiensten (de NSA en vijftien andere diensten deze bedrijven om via ingebouwde achterdeurtjes of expres verzwakte encryptie toegang te geven tot producten en diensten.
Als de NSA met zo’n ‘verzoek’ aanklopt bij een Amerikaans bedrijf (of een bedrijf met een Amerikaanse vestiging) kan zo’n bedrijf niet weigeren. Doet het bedrijf dat wel, dan riskeert het levenslange opsluiting van management en medewerkers, onder de Patriot Act.
Interessant genoeg mag zo’n bedrijf niemand laten weten dat de overheid het desbetreffende bedrijf met zo’n ‘verzoek’ benadert.
Als klant van Microsoft, Apple. Google, Oracle of IBM moet je er dus van uit gaan dat de producten/diensten van deze bedrijven door de NSA onvindbare achterdeurtjes hebben.
De Duitse overheid is bezig contracten met Amerikaanse IT en telecom leveranciers af te bouwen. In Nederland heeft de overheid sinds, sinds Eduard Snowden de pers opzocht met zijn informatie over de NSA, voor anderhalf miljard aan nieuwe Amerikaanse software gekocht. En er zijn geen plannen om dit in de toekomst te verminderen.
U pleit voor passphrases (wachtzinnen) in plaats voor passwords (wachtwoorden). Meer veiligheid en makkelijker te onthouden dan een ingewikkeld wachtwoord. Maar ziet u dit ook daadwerkelijk gaan gebeuren op korte termijn? Met andere woorden: hoe flexibel en progressief is de ICT-industrie?
De meeste IT producten/diensten staan sterke wachtwoorden/zinnen toe. Het ontbreekt de meeste burgers echter aan bewustzijn, technische kennis en discipline om goed met wachtwoorden om te gaan.
Dat dit anno 2014 nog steeds zo is, duidt op een diep falen van IT onderwijs beleid. De techniek is niet de beperking (op een enkele slecht gebouwde website na).
Deze week gaf het Nationaal Cyber Security Center een aantal tips naar aanleiding van een serie grootschalige inbraken op websites.
Een van deze aanbevelingen had betrekking op het gebruik van sterke wachtwoorden. Het NCSC vergat hier echter te melden dat er zeer goede hulpmiddelen bestaan voor het veilig beheren van grote hoeveelheden verschillende wachtwoorden voor de tientallen of honderden online diensten en software applicaties.
Vroeg of later worden veel Nederlanders slachtoffer van hun eigen onwetendheid. En dat gebrek aan kennis is het gevolg van slecht IT-onderwijs, slechte voorlichting en een overheid die zelf zo onkundig is dat ze haar burgers min of meer dwingt onveilige producten/diensten te gebruiken.
De overheid faalt hierin al vijfentwintig jaar en maakt evenmin aanstalten om hier iets aan te verbeteren. Daarom moeten burgers het zelf met elkaar gaan doen.
Journalisten kunnen non-experts de weg wijzen naar de deskundigen die graag hun kennis delen.