De overheid wil u beschermen tegen alle hackers, behalve zichzelf

De overheid wil u beschermen tegen alle hackers, behalve zichzelf

Nadat een leger zombiebots vorige maand het Amerikaanse bedrijf Dyn met een ddos-aanval platgelegde, staat het Internet of Things (IoT) ook in Nederland op de politieke agenda. Kees Verhoeven wil dat alle apparaten die onderdeel uitmaken van het IoT veilig zijn, anders moeten ze worden verboden. Nederland en Europa liggen nu achter met de internetveiligheid. Dat moet snel veranderen. Aldus het persbericht. Dat er meer komt kijken dan ‘gewoon verbieden’ bij een plan waar wereldwijd miljarden apparaten bij betrokken zijn spreekt voor zich.

D66 overweegt een combinatie van een keurmerk en een openbaar register voor IoT-apparaten.

Als consument weet je nu nauwelijks hoe veilig het bedrijf is waar je je apparaat koopt. Wat D66 eigenlijk wil is dat zodra je een apparaat maakt, je ook de specificaties van dat apparaat openbaar maakt in een register. Het keurmerk bepaalt hoe veilig het apparaat zou moeten zijn. Aldus Rejo Zenger van Bits of Freedom.

Veiligheid is dan wel de verantwoordelijkheid van het bedrijf dat het apparaat verkoopt, dat betekent lang niet altijd dat het die verantwoordelijkheid ook neemt. Om bedrijven, naast de enorme kosten en gezichtsverlies van het terugroepen van hun apparaten, nog een extra duwtje te geven het goede te doen voor de klant, mogen ze sinds januari hoge boetes gaan betalen als je data lekt. Rejo: Nu is die boete in Nederland zo'n 5 procent van de winst van een bedrijf. Straks gaan die boetes wereldwijd omhoog naar 10 procent. Dit betekent dat als een bedrijf als Google het goed verknald er een miljardenclaim volgt.

Wie bepaalt wat veiligheid precies betekent?

Hiermee is de dataveiligheid misschien wel dichterbij, maar data is maar een deel van de dingen die er gehacked kunnen worden. Rejo: Als je een camera hebt waardoor iemand constant met je meekijkt is dat geen datalek, maar wel een enorme schending van privacy. Het uitbreiden van de boetes van datalekken naar privacyschendingen is daarom misschien geen slecht idee.

Dit allemaal om te voorkomen dat cyberpiraten toegang krijgen tot je webcam of je pratende Barbie. Toch ziet Rejo een keurmerk niet meteen zitten: Je kunt wel een keurmerk uitschrijven, maar wie gaat dat handhaven? Een bedrijf haalt zo'n keurmerk en hoeft verder niets meer te doen. Het lijkt een beetje een schijnoplossing. Ik zie veel meer in de handhaving van bestaande wetgeving, dan in het invoeren van een keurmerk zoals D66 voorstelt.

Zelfs als een keurmerk op Europees niveau wordt ingevoerd, is het nog steeds alleen van toepassing op de Europese markt. Als China doorgaat met het verkopen van onveilige apparaten heeft een Europees keurmerk weinig zin. Verder is het de vraag wie gaat bepalen wat veiligheid precies betekent. In een gebied waar de ontwikkelingen zo hard gaan is de kans groot dat de definitie sneller verandert dan juristen hem kunnen opschrijven. De veiligheid van miljoenen apparaten die overal ter wereld worden geproduceerd is onmogelijk te handhaven door een land of zelfs de EU.

Ook is onduidelijk hoe lang een bedrijf verantwoordelijk zou moeten blijven voor een apparaat. Rejo: Bedrijven moeten beseffen dat als je een product met software verkoopt je ook verantwoordelijk bent voor de veiligheid van je klant. Maar moet de veiligheidsgarantie van een dynamisch product als een iPhone net zo lang doorlopen als die van bijvoorbeeld een koelkast?

Wat de zaak nog verder compliceert is dat de overheid soms juist belang heeft bij zwakke beveiliging. Toevallig zit Rejo middenin de voorbereiding van een Bits of Freedom-campagne genaamd Stop Het Hackvoorstel. In het voorstel wil de overheid encryptie achterdeuren zodat ze zelf de apparaten van burgers kan hacken. Dat is vreemd, want wil de overheid hacken niet juist moeilijker maken? Waarom ligt er dan een voorstel waarin toestemming wordt gevraagd voor toegang tot allerlei aan het internet verbonden apparaten?

Daar komt bij dat het Nationaal Cyber Security Centrum (NCSC) - waar D66 de verantwoordelijkheid voor het keurmerk aan wil toewijzen - onderdeel is van de Nationaal Coördinator Terrorismebestrijding en Veiligheid. Dit wekt de indruk dat de overheid twee petten op heeft als het gaat om cybersecurity.

Rejo: Dit is natuurlijk niet uit te leggen aan de burger. NCSC is juist opgericht zodat er een overheidsorganisatie is die geen belang heeft bij slechte encryptie. De politie heeft natuurlijk het tegenovergestelde belang en dat is ook waar het hackvoorstel over gaat. Maar het klopt dat het heel raar overkomt dat de overheid tegelijkertijd burgers meer en minder veilig wil maken voor hackers.

In plaats van het verbannen van de wolven, ziet Vitalik meer in het bewapenen van de schapen

In het post-Snowden tijdperk is iedereen met een internetconnectie en een matige nieuwsgierigheid op de hoogte van de NSA. Dit betekent dat de vraag naar, en dus de markt voor, veilige apparaten wereldwijd vanzelf verder zal toenemen, ook zonder Nederlands of Europees keurmerk. Maar is het geen mythe om te denken dat er zoiets bestaat als een werkelijk ‘veilig’, onhackbaar apparaat?

Vitalik Buterin, de bedenker van Ethereum is het fundamenteel oneens met iedere aanpak die zich alleen richt op de apparaten. De IoT-apparaten de schuld geven van de recente botnet aanvallen is precies de verkeerde aanpak. Zodra je gaat proberen een wereld te creëren waarin er geen ‘slechte’ of ‘onveilige’ apparaten zijn - die zo zijn beoordeeld door een nationale overheid - eindig je met een industrie waarin veel minder mogelijkheden tot innovatie zijn en creëer je bovendien een prikkel voor landen om hun controle over de hele wereld uit te breiden, vertelde Vitalik mij over de mail.

Over het wetsvoorstel van D66 is hij kort: Het is onzinnig om in dit vroege stadium van het IoT al bezig te zijn met wetgeving.

In plaats van de hopeloze strijd van het verbannen van de wolven aan te gaan die D66 voorstelt, ziet Vitalik veel meer in het cryptografisch bewapenen van de schapen. Dit bewapenen moet vanuit veiligheidsperspectief cruciaal niet door een centrale overheid gebeuren. Stel dat Google de IoT-cloud van Nederland beheert. Dan geeft dit de Amerikaanse overheid - Trump dus - een hoge mate van indirecte controle.

Volgens Vitalik is de oplossing hiervoor echter niet het Chinese model van internet soevereiniteit waarbij alle Nederlandse infrastructuur fysiek in Nederland moet blijven waar de overheid erbij kan. De oplossing is volgens hem juist om zoveel mogelijk gebruik te maken van gedecentraliseerde en peer-to-peer protocollen. Op die manier kan ieder deel van het systeem direct zijn eigen veiligheid verbeteren, in plaats van eerst te moeten wachten tot iedereen bij de centrale verwerking een keer klaar is.


Een versie van dit artikel verscheen eerder op MotherboardNL
Vier misverstanden over de staatsschuld die ons telkens worden aangepraat

Vier misverstanden over de staatsschuld die ons telkens worden aangepraat

Vrijheid onder vuur

Vrijheid onder vuur