The Dutch HackInfo

Information about Hacking, Security & Tweaking

1 1 1 1 1 1 1 1 1 1 Rating 5.00 (7 Votes)

I know what you did...Nog niet zo lang geleden was er een rel over een uitspraak van Peter Brabeck, topman van Nestlé, die veel stof deed opwaaien: het recht op schoon drinkwater was volgens hem niet zo vanzelfsprekend als iedereen denkt, en er moest betaald gaan worden. Veel mensen zagen dit als een poging om het recht van de allerarmsten op schoon drinkwater aan de kant te schuiven, maar waarschijnlijker is, dat hij bedoelde dat drinkwater zo schaars is geworden, dat er anders mee moet worden omgegaan. 

Dit artikel gaat over de waarde van privacy. Met elke online toepassing voor de massa neemt de waarde ervan toe. Dat geldt voor Facebook, Twitter, en andere sociale netwerken, maar ook voor bijvoorbeeld het DigId en Electronisch Patiëntendossier -ben ik nou de enige die dat een ongelofelijk oubollige naam vindt?- en dus moet er anders mee worden omgegaan.

Mensen die nu al roepen: 'privacy, niet belangrijk, ik heb niks te verbergen.' mogen nu ophouden met lezen. Zonde van je tijd. Over je persoonlijke waardering van privacy wil ik het niet hebben, er valt namelijk, net als bij smaak, niet over te twisten: je hebt het, of je hebt het niet. Feit is dat er steeds meer data worden verzameld op persoonlijk vlak, voor commerciële doeleinden, medische doeleinden, overheidsdoeleinden en gewoon, omdat het kan. 

Al die data wordt minder of meer beveiligd en versleuteld opgeslagen. Er wordt de laatste jaren op dat gebied een flinke inhaalslag gemaakt met deze beveiliging door de beheerders van deze data, en dat is niet zo gek: nog maar een tiental jaren geleden was het voor bedrijven normaal om je netwerk ofwel totaal gescheiden van de digitale buitenwereld te hebben, met een PC in een achterafkamertje met een modemverbinding naar de digitale buitenwereld, of, als je heel hip was, een webserver, maar wel met een dikke vuurmuur eromheen om de rest van je netwerk te beschermen. Vandaag de dag wil iedereen op het werk met z'n eigen apparaat wireless op het netwerk en willen klanten en relaties toegang tot gedeelten van je netwerk via bijvoorbeeld een extranet. Om over de Cloud maar niet te spreken. Het is vaak onmogelijk te weten welke data zich waar bevindt. 

flick

Er zijn een paar flinke uitglijders gemaakt (Diginotar!) en net toen de boel beter op orde leek, kwam het NSA schandaal naar buiten, met als belangrijke boodschap: 'het maakt allemaal niks uit, de NSA kijkt toch wel mee.'

Nou is het feit dat geheime diensten blijkbaar overal backdoors hebben misschien schokkend, maar voor de gewone burger waarschijnlijk niet zo heel erg bedreigend, zolang de betreffende overheid er niet op gespitst is bij afwijkend gedrag je in een opvoedkamp te stoppen. (of erger) Veel bedreigender zijn autorisaties en het beheer ervan. Het bedrijf dat je creditcard gegevens opslaat kan wel bona fide zijn, maar er hoeft maar één rotte appel tussen de werknemers met database toegang te zitten en je gegevens worden aan de hoogste bieder verkocht, met alle gevolgen van dien. En bedrijven gaan ook nog wel eens failliet. Dan is er al helemaal geen zicht meer op waar je gegevens blijven. Los daarvan wordt er steeds meer data verwerkt in the 'internet of things', tussen apparaten onderling dus. Het mag dan de natte droom van elke systeembeheerder zijn; apparaten die data uitwisselen, updaten, aanpassen zonder tussenkomst van de mens, de snelheid waarmee dit gedaan kan worden heeft wel tot gevolg dat bij een verkeerde autorisatie zo maar een enorme lap data in de verkeerde handen kan komen. 

Is er wat aan te doen? Ja, en nee, imho. Ja, bijvoorbeeld door de wet aan te passen. Het internet mag dan grensoverschrijdend zijn, misdadig gedrag tegen burgers van een land kan natuurlijk gewoon aangepakt worden, juist door de toenemende globalisatie: je verstoppen wordt steeds moeilijker. Daarbij moet de overheid als overtreder trouwens vooral niet worden ontzien. Hackers zouden ingezet kunnen worden als bountyhunters; bedrijven en instellingen die niet aan vastgelegde veiligheidsprocedures voldoen en daardoor gehacked kunnen worden, zouden gemeld kunnen worden bij een instantie, van de boete die wordt geïnd gaat een gedeelte naar de melder. Dat zal de kwaliteit van databescherming met grote sprongen vooruit helpen. Nu ligt het maar aan het bedrijf of ze wat doen met een melding van een hacker en bovendien is het toch absurd dat ze ook nog eens in de slachtofferrol gaan zitten: 'don't roll the dice if you can't pay the price', je bent niet verplicht om het internet op te gaan. 

Aan de andere kant is beveiliging altijd een strijd tussen optimalisatie en kosten. Dat merk ik al als ik een slot voor m'n stadsfiets koop. Ik koop namelijk een slot dat -hopelijk- net goed genoeg is om een potentiële dief te doen besluiten voor een slechter slot of een duurdere fiets te gaan, en bespaar zo een paar tientjes. Hetzelfde geldt voor bedrijven die omgaan met versleutelde data van gebruikers, maar ook voor gebruikers zelf. De meeste sociale netwerk gebruikers zijn maar al te bereid om een stuk privacy weg te geven in ruil voor een on-line dienst. Nog niet zo lang geleden heb ik er wat onderzoek naar gedaan, en het blijkt dat maar een heel klein gedeelte van de sociale netwerk gebruikers op dit moment bereid is te betalen in ruil voor meer controle over uitgewisselde data. Er zijn dus oplossingen, maar (bijna) niemand is bereid ervoor te betalen. Daarnaast liggen de informatieverzamelaars ook flink dwars als er een poging gedaan wordt om dataverzameling te beheersen: denk aan de cookie wetgeving die op een zeperd is uitgedraaid. 

Neeeeee!

Ik verwacht echter dat dat gaat veranderen: ik ken best veel mensen die spijt hadden van hun indertijd in jeugdige onbezonnenheid aangemaakte Hyves account, dat nog steeds benaderbaar was en waarvan ze geen idee hadden hoe ze er vanaf kwamen. Gelukkig heeft Hyves zelf dat voor ze opgelost door de stekker eruit te trekken, maar zo hoeft het niet altijd te gaan. Bovendien zal al die userdata ongetwijfeld nog ergens opgeslagen liggen bij de Telegraaf Media Groep, dus die foto's waar je kotsend in de struiken hangt, kunnen zomaar weer opduiken. Ik heb ook zo mijn momenten gekend (de meeste tussen mijn 16e en 30e jaar) waar ik van hoop dat iedereen ze is vergeten. Maar toen had nog niet iedereen een mobieltje met internettoegang bij de hand gelukkig. Het grote probleem is dat tegenwoordig bijna alles ergens bewaard blijft, en op kan duiken op een moment dat jou dat absoluut niet uitkomt. Ik neem sociale netwerken nu als voorbeeld, maar elke keer dat je een persoonlijke klantenkaart krijgt in een winkel, geef je weer iets waardevols weg. Als je geld stort op de giro van een goed doel, word je direct overspoeld met bedelbrieven. Als dank wordt je data doorgegeven aan de andere bedelaars. Enzovoort. 

En nu zijn dan we gearriveerd bij een voorspelling: met de tijd zal er een steeds grotere groep 30+ers met een onbehaaglijk gevoel ontstaan, voortkomend uit een generatie die opgegroeid is met digitale informatievoorziening en niet meer zonder kan, maar beseft dat ze geen controle meer hebben over de datastroom naar buiten. Het is een groep die meer te besteden heeft, en meer politieke invloed kan uitoefenen dan tieners. Het is te verwachten dat de behoefte aan controle over persoonlijke gegevens dan gaat toenemen, en dat niet vindbaarheid, maar ónvindbaarheid op het internet de mate van succes zal bepalen. 

Er zal behoefte zijn aan omgevingen waar je je sociaal netwerk kunt onderhouden en combineren met realtime activiteiten, maar waar de uitgewisselde informatie vertrouwelijk blijft. Er zal behoefte zijn aan tussenpersonen, die garanderen dat bij zakelijke uitwisselingen op integere manier met elkaars data wordt omgesprongen en er zal een digitale ombudsman komen om opslag en gebruik van data door de overheid en bedrijven te controleren. Het moet duidelijk zijn welke gegevens overheid en bedrijven verzamelen en waarvoor. Bedrijven en overheid zullen, geconfronteerd met civiel rechterlijke procedures en strafvervolging, hun protocollen aanscherpen. En dat alles gaat geld kosten en er zal behoefte zijn aan expertise op dit gebied. 

Dat maakt jouw privacy een goede investering voor de toekomst. Delete nu je Facebook, Whatsapp en Twitter account en verwijder forum posts. Stop met e-mail en ga weer brieven versturen. (er zit hopelijk op elk bedrijf nog steeds een oud mannetje of vrouwtje dat weet wat een envelop is en wat je ermee moet doen) Verscheur of verbrand al je klantenkaarten. Maak geen foto's meer met je mobieltje, een overjarig familielid heeft nog wel ergens een analoge camera liggen, en een paar oude filmpjes. Ontwikkelen wordt misschien wat lastig, maar Instragram heb je daarna niet meer nodig. En ouderwets plakken in fotoboeken zou zomaar eens een trend kunnen worden. Op deze manier garandeer je je eigen onvindbaarheid, het visitekaartje voor de privacy expert van de toekomst. Het zal je geen windeieren leggen.

Add comment


Security code
Refresh


Copyright © 2019. All Rights Reserved.