10 jun
De afgelopen week – ik schrijf deze blog op 10 juni – had voor ons en andere cyberveiligheidsexperts een aantal interessante actualiteiten in petto.
Om te beginnen kwam het nieuws naar buiten dat het eenvoudig bleek om op de Infectieradar van het RIVM vertrouwelijke persoonlijke informatie te achterhalen. In de coronahectiek kan er wel eens iets fout gaan, maar deze website misbruiken was echt kinderspel. Daar was duidelijk niet goed naar gekeken bij ontwikkeling en livegang. Een aantal artikelen liet zien dat de site al na 1 dag even uit de lucht werd gehaald omdat hij het verkeer niet aankon en verouderd bleek – vaak zijn er dan dus ook kwetsbaarheden die misbruikt kunnen worden.... Wat zo bleek te zijn. Inmiddels is de site uit de lucht gehaald, terwijl deze nu misschien wel belangrijker is dan in de afgelopen weken. Want de maatregelen zijn versoepeld en daarom is het juist nu zaak om de mogelijke verspreiding van het coronavirus goed te kunnen monitoren.
Verder werd bekend dat de politie gebruik wil gaan maken van de expertise van burgers met veel computerkennis, via Tweakers. Een bijzonder initiatief. Uit de vrijwilligers die zich aanmelden, wordt een kleine groep geselecteerd. De eerste case voor ‘Blueweb’ is het helpen oplossen van factuurfraude onder ondernemers. Wat ons betreft een slimme zet van de politie om gebruik te maken van de kracht en kennis van een platform met 700.000 gebruikers, met daartussen natuurlijk de nodige slimme en creatieve IT-speurneuzen.
Hoewel beide nieuwsitems weinig met elkaar gemeen lijken te hebben, zien wij een duidelijke link: kennis is macht. Als we weten welke mensen in Nederland gezondheidsklachten hebben, kunnen we een inschatting maken van hoe het coronavirus nu rolt. Als we uit een denktank van 700.000 whizzkids kunnen putten, kunnen we cybercrime sneller oplossen en de schadelast beperken.
Kennis is macht, cyberkennis betekent meer macht. Want als bij de ontwikkeling van de Infectieradar een ethisch hacker - of het nieuwe Blueweb van de politie - had meegekeken, had het privacy-probleem zich nooit voorgedaan. Daarmee volgt automatisch de vraag: moeten we whizzkids meer mogelijkheden geven om technische kwetsbaarheden in systemen te vinden en te melden? Hoe ver laat je ze gaan? Hoe bescherm je dan ook weer de anonimiteit/veiligheid van deze whizzkids en hoe zorg je er voor dat ze voldoende beloond worden voor het vinden van datalekken of criminelen? Mogen ze vrijelijk rondspeuren en kwetsbaarhedenscans uitvoeren op systemen? Responsible Disclosure is bekend bij technici, maar weten beleidsbepalers ook wat dit inhoudt en moet dit niet meer verplicht worden gesteld vanuit de overheid (te starten met websites die door de overheid worden gelanceerd)?
Infectieradar, Blueweb: online toepassingen en kennisdeling kunnen ontzettend behulpzaam zijn. Maar ze vallen of staan met aandacht voor veiligheid in de ontwikkeling ervan. Juist bij toepassingen die de veiligheid in ons land moeten bevorderen, zou dit wat ons betreft voorop moeten staan.