arjen's blog

The missed opportunity of avoiding PRISM

<originally a column for Consortium News>

On July 11th 2001 the European Parliament published a report on the Echelon spy network and the implications for European citizens and businesses. Speculations about the existence of this network of Great Britain-and-her-former-colonies had been going on for years but it took until 1999 for a journalist to publish a report that moved the subject out of the tinfoil-hat- zone. The report of the EU Parliament contains very practical and sensible proposals, but because of events two months later across the Atlantic, they have never been implemented. Or even discussed further.

Under the heading "Measures to encourage self-protection by citizens and enterprises" lists several concrete proposals for improving data security and confidentiality of communications for EU citizens. The document calls on Parliament to inform citizens about the existence of Echelon and the implications for their privacy. This information must be "accompanied by practical assistance in designing and implementing comprehensive protection measures, including the security of information technology".

Other gems are the requests to "take appropriate measures to promote, develop and manufacture European encryption technology and software and, above all, to support projects aimed at developing user encryption technology, which are open-source" and "promote software projects whose source text is published, thereby guaranteeing that the software has no "back doors" built in (the so-called "open source software")”. The document also mentions explicitly the unreliability of security and encryption technologies whose source code is not published. This is an issue that is a strict taboo in Dutch and UK discussions on IT strategy for governments (probably because certain major NATO partners might be offended).

Also, governments must set a good example to each other and their citizens by "systematic use of encryption of e-mails, so that in the longer term this will be normal practice." This should in practice be realised by "ensuring the training and publication of their staff with new encryption technologies and techniques by means of the necessary practical training and courses." Even candidate countries of the EU should be helped "if they cannot provide the necessary protection by a lack of technological independence".

That one paragraph from the summer of 2001, when rational security policies had not yet been completely destroyed by 9/11, describes the basis for a solid IT policy that ensures security and privacy of citizens against threats from both foreign actors and the government itself (historically always the greatest threat to its citizens and the reason why we have constitutions).

Had these policies been implemented over the last decade then the PRISM revelations of the last week would have been met mostly with indifference. European citizens, governments and companies would be performing most of their computing and communications on systems controlled by European organisations, running software co-developed in Europe and physically located on European soil. An American problem with an overreaching spy apparatus would have been just that, an American problem - like teenagers with machine guns or lack of universal healthcare, just one more of those crazy things they do in the colonies to have 'freedom'.

OHM and other Three-Letter-Agencies

<originally a column for OHM2013.org - also on HuffPo UK> - video of The Great Spook Panel below this post

“Whatever you do will be insignificant, but it is very important that you do it.” - Mahatma Gandhi

This summer the Dutch hacker community, with help from friends all over the world, will organise the seventh hacker festival in a series that started in 1989 with the Galactic Hacker Party. The world has changed massively since then (we'll get to that) but the goal of these gatherings remains the same: to share knowledge and ideas about technology and its implications for our world, have heated discussions on what we should do about the problems we see (sometimes well before many others see them), generally have fun in communicating without keyboards, and being excellent to each other.

Four years ago a somewhat unknown Australian hacker with some new ideas about the future of journalism gave the opening keynote at HAR2009. His site was called Wikileaks and some of us had a hunch that this concept might be going places. We had no idea just how far that would be...

Not long after the first gathering in the Netherlands in 1989, the Berlin Wall came down. While we can claim no connection, the interminable Cold War had finally ended and many of us felt, with the optimism so typical of youth, that world peace might just be possible in our lifetimes. We would go back to making rockets that went up instead of straight-and-level and other great things would follow.

Installatie Commissie onderzoek elektronisch stemmen

Op 26 april 2013 is Arjen Kamphuis is samen met andere experts door Minister Plasterk (BzK) geïnstalleerd als lid van de Commissie onderzoek elektronisch stemmen (persbericht BzK). Deze commissie gaat onderzoeken of het mogelijk is het stemmen op papier te vervangen door een electronisch proces zonder dat daarbij de essentie van de democratie en de kieswet in gevaar komt. Zowel lokale bestuurders als belangenorganisaties van mensen met lichamelijke beperkingen dringen er op aan een alternatief te ontwikkelen voor het huidige papieren proces dat bij elke verkiezing in hun ogen voor veel problemen zorgt.

Tussen 1997 en 2007 was electronisch stemmen toegestaan maar deze toestemming werk teruggetrokken nadat uit onderzoek bleek dat de gebruikte systemen niet voldeden aan de essentie van de kieswet (stemgeheim en transparantie van het kiesproces).

Op Tweakers.nl en Webwereld.nl is de discussie over het onderwerp meteen losgebastern na publicatie van het bovenstaande persbericht. In de meer dan 175 reacties komen veel van de gebruikelijke misverstanden over de fundamentele problemen met electronisch stemmen weer langs. Ook naar IT-ers en computersliefhebbers is meer voorlichting over de complexiteit van het onderwerp nog noodzakelijk.

Interview op BNR radio op 1 mei 2013. Link naar mp3.

Eerdere publicaties over dit thema:
2008: publicatie in Digitaal Bestuur
2012: publicatie op Webwereld

IJslands pornofilter schiet doel voorbij

<Webwereld column>

Op IJsland woedt een heftig politiek debat over het idee een nationaal internet filter te bouwen dat kinderen moet beschermen tegen gewelddadige porno. Hoewel cijfers over de schaal van het probleem ontbreken zijn er binnen de regering van IJsland grote zorgen over de wijze waarop de porno-industrie haar producten aan de man (meestal mannen) probeert te brengen. Het idee is dat de industrie zich actief richt op het 'werven' van jongeren en kinderen in het klassieke model van de sigarettenindustrie; 'get them while they're young'.

Afgelopen week was ik op IJsland en mocht ik aanschuiven bij een aantal overleggen rond IT en internet strategie met ministers en beleidsmakers. Het hele debat vindt plaats in de aanloop naar verkiezingen die de verhoudingen in IJsland flink kunnen veranderen dus de lokale media zitten er bovenop. Het specifieke idee om een nationaal filter op het hele land te zetten (naar Chinees model) trekt wereldwijde aandacht omdat dit een unicum zou zijn in de westerse wereld. Het past ook niet bij het beeld van het anders zo liberale en progressieve IJsland (het enige land dat zijn bankiers veroordeelde voor hun aandeel in de crisis).

Toen ik vorige week aankwam werd ik op de eerste bijeenkomst meteen door Smari McCarthy van het Icelandic Modern Media Initiative gevraagd hun open protestbrief te tekenen die vandaag gepubliceerd is.

Tijdens een diner enkele dagen later met de relevante minister en adviseurs om tafel zat ontstond er een heel ander beeld. Er is gelukkig nog geen enkele beslissing genomen ondanks het beeld wat in de media was ontstaan. De minister was erg geïnteresseerd in andere mening over de wenselijkheid en technische haalbaarheid van een nationaal internetfilter. In mijn optiek werden de verschillende doelen en middelen in de discussie nogal door elkaar gehaald en dus deed ik een poging de zaken wat te structureren.

Privacy & Online freedoms - Reykjavik University

On February 26th 2013 I gave a talk at Reykjavik University in Iceland on Privacy & Online freedoms. The whole thing played out in during and Icelandic election season were a proposal to put a national filter on Iceland's internet connection to block violent pornography caused quite an uproar in Iceland and abroad. Slides of this presentation here.

Cyberoorlog: het Westen is begonnen

<Webwereld column>

The War Room, Dr. Strangelove - 1965

Een aantal jaren geleden ontwikkelden Israëlische en Amerikaanse inlichtingendiensten een computervirus met een specifiek militair doel: het beschadigen van Iraanse nucleaire installaties. Stuxnet werd via usb-sticks verspreid en nestelde zich stilletjes op Windows pc's om van daaruit op zoek te gaan naar specifieke industriële centrifuges die via Siemens SCADA-apparatuur worden aangestuurd.

Iran heeft, net als veel andere landen, een nucleair programma voor energieopwekking en de productie van isotopen voor onder meer medische toepassingen. De meeste landen kopen medische isotopen van specialist Nederland, die ze in de reactor in Petten bij ECN maakt. Door de westerse boycot van Iran is het voor dat land echter niet mogelijk isotopen voor medisch gebruik op de wereldmarkt aan te schaffen. Zelf maken is verre van ideaal, maar de enige optie die overblijft als import onmogelijk wordt gemaakt.

Waarom die boycot? Officieel omdat Iran volgens de VS niet voldoende openheid wil geven over zijn wapenprogramma's. Met name militaire toepassingen van het nucleaire programma is een officiële bron van zorg. Deze zorg is echter een vrij recent gegeven die om een of andere reden opnieuw leven is ingeblazen na de aanval op Irak (een aantal van de installaties is geleverd door Amerikaanse en Duitse bedrijven met financiering van de Wereldbank voor de revolutie van 1979). Het meest curieuze aan alle beschuldigingen van westerse overheden aan het adres van Iran is dat het nooit meer dan vage verdachtmakingen zijn. Toen 16 Amerikaanse inlichtingendiensten in 2007 een gezamenlijke studie deden naar de feiten achter deze beschuldigingen was de glasheldere conclusie: Iran is niet bezig met de ontwikkeling van een kernwapen.

Met spionnen en Assange aan tafel

<Webwereld column>

Foto van Israelische plutonium core, gemaakt door klokkenluider

Het Nationaal Cyber Security Centrum gaf deze week op haar conferentie aan dat het meer naar hackers wil gaan luisteren. Het is natuurlijk mooi dat de overheid gaat luisteren naar de mensen die er het meest vanaf weten hoewel de vraag blijft waarom men daar tot 2013 mee heeft gewacht. Als ze daar 5 of 10 jaar eerder mee waren begonnen had het een ongelofelijke hoop ellende en geld bespaard. Ik hoop van harte dat het overleg met de hack(tivist) community over meer gaat dan alleen technische trucs, want er zou juist op beleidsniveau moeten worden gepraat. Voor technische zaken kan men ook gewoon de gebruikelijke bureaus inhuren en hackers gewoon betalen voor hun kennis en advies.

Ondertussen vond een flinke groep hackers het jammer dat zij niet welkom waren en organiseerden een alternatieve bijeenkomst. Als de intenties van het NSCS komend jaar goed worden uitgewerkt is deze de volgende keer wellicht niet nodig. Aan de community-kant moeten deze gesprekken ook goed geregeld worden (wie zit aan tafel en vooral met welke pet op) want als community-bijdragen en commerciële belangen door elkaar gaan lopen ontaarden zaken snel in gekissebis en ruzie. Ik spreek uit ervaring ;-). Niemand is 'vertegenwoordiger' van 'de hacker community'. Het NSCS zal er aan moeten wennen dat wij geen gecentraliseerde organisatie zijn met een hoofdkantoor waar je kunt afspreken met de top-functionaris.

In memoriam: Aaron Schwarz 1986 - 2013

Not sure what to say about the sudden death of Aaron Schwarz, idealist, freedom-fighter-extraordinaire and friend of open access to information for all of humanity. Aaron spend his life fighting for humanity's highest ideals, contributing to technologies most of us use every day (even if we don't know it). It just feels like something is very, very wrong is the so-called 'free world' is killing its best and brightest for living up to its highest ideals. We've got big problems and cannot afford to lose people like Aaron.

Cory Doctorow has written a eulogy here, Prof Lawrence Lessig had an overview of the case the US Department of Justice (ha!) saw fit to launch against Aaron. Glen Greenwald wrote about his heroic work in helping to defeat SOPA over the last years. A digital memorial to Aaron will be here for as long as there is an Internet. The files that started the case can be found here. Spread them around as wisely as possible.

But mostly just watch Aaron's speeches and interviews, as many times as needed before you understand his ideas and ideals fully.

Update 28-06-2014: A documentary on the case Aaron Swartz - The Internet's Own Boy is now available online. Also on Archive.org.

EPD, korte geschiedenis van een nationale ramp

<Webwereld column>

Heeft u wel eens 'De grote beurt' gezien? Dit is een auto-programma kloon van MTV's 'pimp my ride' waar oude auto's een makeover krijgen om ze weer hip&cool te maken. Probleem bij al het opleuken dat in deze programma's wordt gedaan is dat onder de nieuwe lak en glimmende velgen het een oude auto blijft die z'n beste tijd gehad heeft. Zo is het ook met het EPD.

Ruim 12 jaar geleden werd onder leiding van Minister Els Borst het plan opgevat een nationaal elektronisch patiënten dossier te realiseren. Een dergelijk dossier zou medicatie- en andere fouten door informatieachterstand bij zorgverleners voorkomen en zo vele mensenlevens redden. Het waren tenslotte de jaren '90 en er was niets dat IT niet leek te kunnen oplossen.

In 2002 werd stichting Nictiz opgericht. Deze, door het ministerie van VWS gefinancierde non-profit-zonder-formele-macht, zou het nationaal EPD gaan realiseren. Al vrij snel werd besloten dat er geen echt nationaal EPD zou komen maar een soort zoekmachine die data uit alle systemen brokjes data over een specifieke patiënt trekt. Zo'n zoekmachine-oplossing is veel complexer dan een centraal systeem.

Privacy, 10 jaar later

<Webwereld column>

Op 11 juli 2001 publiceerde het Europees Parlement een rapport over het spionagenetwerk Echelon en de implicaties voor Europese burgers en bedrijven. Er werd al jarenlang gespeculeerd over het bestaan van dit netwerk van Groot Brittannië-en-haar-voormalig-koloniën maar pas in 1999 kwam er een rapport uit dat het onderwerp voorgoed uit de alu-hoedjessfeer trok. Het rapport van het EU Parlement bevat zeer concrete en zinnige voorstellen die, door gebeurtenissen 2 maanden later na publicatie, nimmer zijn uitgevoerd. Of zelfs maar verder besproken.

Onder het kopje "maatregelen tot bevordering van de zelfbescherming van burgers en ondernemingen" staat een lijst met concrete voorstellen die beveiliging van gegevens en vertrouwelijkheid van communicatie in handen geeft van burgers. Allereerst verzoekt het Parlement burgers te informeren over het bestaan van Echelon en de gevolgen voor hun privacy. Deze voorlichting moet "vergezeld gaan van praktische bijstand bij het ontwerp en de installering van algemene beschermingsvoorzieningen, die ook de veiligheid van informatietechnologie omvatten". Dus niet alleen postbus 51 spotjes maar hands-on aan de slag graag!

Grondwet buiten spel?

<Webwereld column>

Nederlandse GrondwetEr komt een nieuw grondwettelijk artikel over het briefgeheim (artikel 13) om dit artikel klaar te maken voor de 21ste eeuw en de komende maanden mogen burgers hun visie op deze zaak geven. Het briefgeheim moet garanderen dat burgers erop kunnen rekenen dat de inhoud van brieven-in-enveloppe (geldt niet voor ansichtkaarten) altijd vertrouwelijk blijft en niet zo maar wordt ingezien door de overheid voor bijvoorbeeld opsporingsdoeleinden.

Veel van de juridische discussies over deze voorgestelde grondwetswijziging zullen de komende maanden gebaseerd zijn op een aantal veronderstellingen;
1. Er een relatie is tussen wet en grondwet in Nederland
2. De Staat der Nederlanden houdt zich aan aan haar eigen wetten
3. De Nederlandse wet nog steeds relevant is voor dit vraagstuk

Al deze veronderstellingen zijn op z´n minst twijfelachtig.

Wetten worden in Nederland niet structureel aan de grondwet getoetst zoals dat bijvoorbeeld in Duitsland wel gebeurt. Daarnaast heeft relevante artikel 13 allerlei uitzonderingen ingebouwd: de overheid mag het briefgeheim niet schenden tenzij er een wettelijke uitzondering is die zegt dat dat wel mag, een rechter er toestemming voor geeft of iemand van een veiligheidsdienst besluit dat het nodig is voor het garanderen van de nationale veiligheid. Spannende vraag is dus hoe de nieuwe versie van deze uitzonderingen er uit ziet. Want in de huidige vorm werkt de grondwet dus alleen in het geval van een overheid die oprecht werkt aan het behartigen van de belangen van haar burgers. En in dat geval hebben we de grondwet niet zo hard nodig. Een beetje zoals een regenjas van vloeipapier zeg maar. Of de website crisis.nl.

Privacy debating voor kleuters

Afgelopen maandag werd er in Amsterdam een privacy debat georganiseerd door het Europees Parlement Informatiebureau in Nederland. Ik was die avond in Amsterdam en ben dus gaan luisteren om te zien welke vragen men elkaar dan stelt (en vooral ook welke niet).

Het format van de avond was opgezet als een lagerhuis debat met twee groepen stoelen tegenover elkaar en in het midden een ruimte voor debaters en de showmaster/aan-elkaar-prater. Showmaster is eigenlijk de beste term want het geheel had de diepgang van een Lingo aflevering (sorry Lingo!).

Elk onderdeel werd geïntroduceerd door 2 archetypes van ´bad guys´. Het eerste duo betrof een geheim agent die alles van ons wil weten ´voor uw veiligheid´ en een terrorist die, om niet verder besproken redenen, ons wilde opblazen met zijn handgranaat. De terrorist gebruikte daarvoor hypeprmoderne middelen als ´skype´ en ´watsapp´ (mogelijk wel bekend bij lezers alhier). Daarom had die geheim agent dus ook toegang nodig tot al ons internet verkeer. Om die terrorist tegen te houden.

Daarna mocht de zaal debatteren over de stelling:´de overheid moet meer bevoegdheden krijgen online om Nederland te beschermen´

De aanwezige vertegenvoordiger van de KLPD (in blauw-met-goud-glimmend uniform) legde uit dat zij veel beter misdaden konden oplossen met bepaalde online bevoegdheden. En zo was binnen 30 seconden een ruimte in de discussie die gecreëerd was met ¨!!!TERRORISME!!! dreiging¨ operationeel ingevuld met veel meer reguliere opsporing van bijvoorbeeld economische delicten. Alsof je vanwege het gevaar van neerstortende Boeing 747's driewielers in een vinexwijk gaat verbieden op grond van het feit dat ze beiden wielen hebben. Niemand in het publiek leek dit op te vallen. Het verdere debat ging er van uit dat de overheid altijd het beste met de burger voor heeft en dat het met een beetje toezicht dus best kan. Voor onze veiligheid.

Stemcomputer, de zombie die maar niet dood wil

<Webwereld column>

U heeft gestemd - of niet?Terwijl stemcomputers in Nederland al vier jaar verboden zijn, blijken fundamentele misverstanden over de kern van het probleem rond stemcomputers te blijven bestaan. Afgelopen maand deden de VVD en D66 wederom voorstellen om elektronisch stemmen in Nederland weer in te voeren. Eerder dit jaar riep ook het Nederlands Genootschap van Burgemeesters op tot herinvoering (opmerkingen over niet-gekozen bestuurders die zich bemoeien met het kiesproces in de comments graag ;-).

De vele knullige security problemen (video) of de afwezigheid van de broncode van de software (in het geval van Nedap en SDU stemcomputers) zijn weliswaar prima aanleidingen geweest om het onderwerp via de media op de politieke agenda te krijgen, maar deze zaken zijn niet de kern van het probleem. En hoewel het dossier stemcomputer op het Ministerie van Binnenlandse zaken inmiddels een fel fluoriserende 'radioactief, niet aankomen!'-sticker heeft, blijft het risico bestaan dat lagere overheden of leveranciers blijven denken dat stemmen per computer best kan 'als we maar even die bugjes oplossen'.

De werkelijke bezwaren zijn veel fundamenteler en hebben weinig te maken met securitybugs of beschikbare broncode. Het gaat veel verder. Het gebruik van stemcomputers doet fundamentele democratische principes geweld aan. In het eerste jaar van de acties van de werkgroep wijvertrouwenstemcomputersniet.nl werd vaak geroepen door overheid en leveranciers dat men niet zo wantrouwend moest zijn. Nederland was tenslotte een net land en de suggestie dat iemand fraude zou plegen met zo iets fundamenteels als verkiezingen werd als ridicuul van de hand gedaan. Het was simpelweg ondenkbaar en verdere discussie of verantwoording erover was derhalve niet noodzakelijk.

Windows 8 hoeft geen ramp te zijn

<Webwereld column>

Klik voor grotere afbeelding

Gartner, IT-journalisten en zelfs vele oud medewerkers van Microsoft zijn het er over eens: Windows 8 wordt een ramp. De Metro interface gericht op tablets (een markt die nog vrijwel niet bestaat in relatie tot MS-Windows) is onwerkbaar voor de desktop met verticaal non-touch scherm, toetsenbord en muis. De meeste kantoorwerkplekken zijn daar echter nog op gebaseerd en de meeste legacy applicaties hebben interfaces die uitgaan van een Windows pc met toetsenbord en muis als invoer methode. Het is de doorlopende aanschaf van desktop pc's met de combinatie MS-Windows en MS-Office die Microsoft al ruim 15 jaar financieel draaiend houdt.

De combinatie legacy applicaties (meestal zeer bedrijfsspecifiek) en gewenning aan MS-Office maakt de voortdurende aanschaf van het Windowsplatform voor veel IT-organisaties vanzelfsprekend, ondanks de hoge kosten van licenties en beheer. Allerlei ellende zoals nieuwe interfaces, gebrek aan compatibiliteit en het plotseling stopzetten van de support op kritieke componenten worden als een onontkoombaar noodlot gedragen. IT-beleid wordt om deze problemen heen georganiseerd in plaats van gericht op het duurzaam oplossen ervan. En het oplossen of onder controle houden van deze problemen vraagt zo veel tijd en geld dat er vaak weinig overblijft om wat verder vooruit te kijken. Zo is bij vele organisaties de perfecte vicieuze cirkel ontstaan die al zo lang doorlopen wordt dat veel IT-ers deze niet eens meer kunnen zien.

The Declaration of Independence of Internet

<Webwereld column>

(Orginal from 1776 here. Orginal from 1581 that is the inspiration for the original from 1776 here)

when in the Course of human events it becomes necessary for people to dissolve the commercial, legal and moral bands which have connected them with an industry and to assume among the powers of the earth, the separate and equal station to which their most fundamental principles entitle them, a decent respect to the opinions of mankind requires that they should declare the causes which impel them to the separation.

We hold these truths to be self-evident, that all lives are enriched by the sharing of culture, that citizens are endowed by their democracies with certain unalienable rights, that among these are knowledge, true ownership of their property and the sharing of culture. That to secure these rights, laws are instituted among the people, deriving their just powers from the consent of the governed. That whenever any of these laws become destructive of these ends, it is the right of the people to alter or to abolish them, and to institute new laws, laying their foundations on such principles and organizing their powers in such form, as to them shall seem most likely to effect their safety and happiness.

ICT & Overheid, wat te doen?

<Webwereld column>

Klik voor grotere afbeelding

Afgelopen vrijdag mocht ik met andere 'experts' vragen beantwoorden van de in Parlementaire werkgroep ICT-projecten bij de overheid. Dit is een groep Kamerleden die een Parlementair onderzoek naar de vele ICT fails van de overheid aan het voorbereiden is. Na de zomer (en de verkiezingen) moet het onderzoek van start gaan met een set scherpe onderzoeksvragen. Aan de genodigde experts om voorstellen te doen voor die vragen. Het was opvallend hoe eensgezind de aanwezige IT-ers waren, ook al hadden we allemaal heel verschillende achtergronden (video).

Net als andere columnisten en opinieschrijvers heb ik ook op deze plek de overheid ook wel eens afgebrand over het rijke palet aan verspilling van veiligheid, privacy en algemene middelen. Het gaat, zeker bij de Rijksoverheid, dan ook al snel om gegevens van miljoenen Nederlanders en miljarden Euro's.

Voor columnisten is het dus eigenlijk altijd prijsschieten met zo'n overheid. Daarom is het ook wel mooi om op dit soort gelegenheden een meer constructieve bijdrage te kunnen leveren. Hoewel het eigenlijk jammer is dat dergelijke bijeenkomsten niet veel vaker worden georganiseerd en niet veel beter worden bezocht door de ambtenaren en leveranciers die verantwoordelijk zijn voor al die projecten. Voor de 6 miljard die op jaarbasis door het putje gaat (en dat zijn alleen nog maar de out-of-pocket kosten - de maatschappelijke impact is mogelijk vele malen groter) is het wellicht handig om wat vaker te overleggen. Niet dat ik het idee heb dat het clubje van vorige week kant-en-klare oplossingen heeft voor alle problemen die er zijn. Wel denk ik dat er een redelijke mate van eensgezindheid was over de grondoorzaken van problemen:

Parlementaire werkgroep ICT-projecten

Op 1 juni 2012 kwam de voorloper van de Tijdelijke Commissie ICT bijeen met een groep experts uit academia en bedrijfsleven. Hieronder mijn geschreven bijdrage. Eerst ruwe Opname van de videostream... Hier de bijdragen van Brenno de Winter, Rene Veldwijk, Pascal Hetzscholdt, Chris Verhoef, Ronald Prins en Walter van Holst. Column achteraf hier.

Inleiding – ICT en de Nederlandse Rijksoverheid
Andromeda M31 Universaliteit is een aanname in de astrofysica die zegt dat fenomenen zich overal zo gedragen zoals we ze vanaf de aarde kunnen waarnemen. Ik ga er van uit dat de fenomenen die ik waarneem bij ICT-projecten ook spelen bij ICT-projecten waar ik minder informatie over heb (dat dit zo is heeft vooral te maken met de gebrekkige uitvoering van de Wet Openbaarheid van Bestuur, zie opmerkingen Dhr. de Winter).

De wijze waarop ICT-projecten worden aangestuurd is gebaseerd op een nogal naïef model van de werkelijkheid “slimme ondernemers strijden op een open veld met elkaar om de gunsten van de overheid die met verstand en visie inkoopt”. Dit model heeft als nadeel dat we er de uitkomsten van projecten niet goed mee kunnen voorspellen. Vandaar ook deze werkgroep.

Het model "corrupt moeras met verkeerde incentives, bevolkt door zakkenvullers en incompetente clowns" voorspelt de gang van zaken rond projecten veel beter en geeft ook prima aan waarom het steeds mis gaat.

Why Freedom, Eben Moglen keynote in Berlin

Eben Moglen explains the biggest and most important fight for civil liberties in the next decade. Nothing the Free Software Foundation has not been saying for over 20 years but now more important than ever. Freedom requires freedom of thought and this requires freedom of media and communications. These cannot be guaranteed if private interests, controlling or controlled by governments can interfere with the functioning of the information networks and devices. Freedom requires free technology (where free means free as-in-freedom) where the people using the technology control what is does for them and how it does it. I talked about this in 2010 and many times before and after on this blog.

Tech-politics and the importance of outreach

Cory Doctorow's column in the Guardian about tech-politics and the importance of outreach by the tech community can be found here. Cory makes the point that ensuring your rights through technical skills is great, but not much help to society if the tech is too difficult for most people to use. Outreach activities and the hard work of polishing technical tools for non-techie use are of vital importance.

However, I do think that one important aspect was missing from Cory's argument, so my additional comment on another vital aspect of current tech/internet politics is below:

As nerd-politics is a subset of 'normal' politics, it's not just the nerd-part we need to worry about. The political system itself needs to function - at least some of the time - to get anywhere. If a country has a political system that retains the rituals of a democracy but no longer actually functions as such, then no amount of good nerd-politics (or politics of any other kind) will fix anything. Especially if such a fix threatens established and well-funded business interests.

It is perhaps no coincidence that all the bad tech-policy examples that Cory cites (SOPA, ACTA, TTP, DMCA, attacks on the Piratebay, mass reading of email, etc) orginate in the US and are foisted on other countries from there. While those countries deserve their fair share of blame for allowing a foreign power to bully them into this stuff, it is pretty clear where the problem lies. With or without nerds involved.

Either we fix the completely broken US political system (and good luck with that!) or the rest of the world needs to get better at ignoring absurd US laws and treaties cobbled together by lobbyists of private for-profit organisations. Neither those corporations nor general US politics concern themselves with the interests of the inhabitants of the rest of the planet. And the rest of the planet should respond accordingly.

Nerds (aka the tech community) can provide some tools to help out with that, as the Free Software movement and Wikileaks have shown.

Asbest & IT

<Webwereld column>

Asbest

Decennia lang zijn in de hele westerse wereld huizen gebouwd met asbest. Asbest was een betaalbaar materiaal dat sterk, slijtvast, isolerend was en bovendien uitstekende brandwerende eigenschappen had. Door al dit fijns en de lage prijs was het ideaal spul om overal voor te gebruiken. En dat deden we dan ook.

Zolang dat asbest netjes op z'n plek blijft is er niet zo veel aan de hand. Dan doet het z'n werk en is er dus geen reden om over asbest na te denken. De problemen ontstaan wanneer er iets moet veranderen, een verbouwing bijvoorbeeld. Als bij het neerhalen van een muur de asbest vrijkomt als microscopische vezels vormt het een enorm gevaar voor de gezondheid van iedereen die de pech heeft dichtbij te zijn. Inmiddels is het verwerken van asbest zeer streng gereguleerd. Ondanks die regulering vallen er door alle asbest die decennia lang in allerlei zaken zijn verwerkt nog steeds twee keer zo veel doden als in het verkeer.

Omdat de lange termijn consequenties van het gebruik van asbest zo groot zijn is het gebruik er van verboden. Dit ondanks het feit dat de oorspronkelijke redenen voor het gebruik nog steeds bestaan. Asbest is nog steeds goedkoop, sterk, slijtvast, isolerend en brandwerend. Maar toch gebruiken we het niet meer omdat we de maatschappelijke prijs te hoog vinden. Strategische en maatschappelijke redenen zijn dus belangrijker dan praktische en technische voordelen. Dat betekent niet dat alles dat ooit met asbest is gebouwd nog deze week wordt afgebroken. Wel dat we het probleem niet meer groter laten worden door asbest te blijven gebruiken. Langzaam maar zeker wordt deze erfenis afgebouwd onder streng gecontroleerde omstandigheden.

Als er gesproken wordt over IT die overheden gebruiken voor hun dagelijks functioneren lijkt het maken van onderscheid tussen strategische en operationele argumenten nog vrijwel onmogelijk. Bezwaren over de fundamentele ongeschiktheid van gesloten of in het buitenland geplaatste (en daarmee niet te controleren) systemen worden eenvoudig weggewuifd met de stelling dat 'het toch wel handig is' en 'men er nu eenmaal aan gewend is' of zelfs 'dat verdachtmakingen hierover politiek niet bespreekbaar zijn'. Allemaal citaten die in de jaren '80 ook van toepassing waren op asbest en de leveranciers ervan.

Double Think en Zen

<Webwereld column>

Doublethink is een begrip dat door George Orwell geïntroduceerd is in zijn beroemde roman '1984'. Het is een mentaal mechanisme dat mensen in staat stelt oprecht en tegelijkertijd twee volkomen tegengestelde ideeën te geloven zonder die tegenstelling als problematisch te ervaren.

In de ruim tien jaar dat ik me in Nederland heb beziggehouden met opensource en open standaarden in de publieke sector ben ik heel wat geoefende doublethinkers tegen gekomen. Zo is mij gedurende al die jaren door 'experts' en insiders geduldig uitgelegd dat de migraties naar opensource desktops die de community  wilde onmogelijk waren omdat ambtenaren niet met andere platformen konden werken. Non-techies iets anders geven dan de Windows+Office desktop waarop ze getraind waren in het Nederlands onderwijs zou tot rampen leiden. Het Kon Echt Niet.

De stelligheid waarmee dit (tot op de dag van vandaag) op allerlei plekken als tegeltjeswijsheid gezegd wordt heeft mij altijd verbaasd. Eerder was Nederland namelijk van WP5.2 op DOS naar Word6 op Windows gemigreerd en toen is de Aarde toch ook echt gewoon blijven draaien, gingen kinderen naar school en kwam er water uit de kraan.

De diverse migraties, de meeste buiten Nederland, laten inmiddels ook zien dat gewone eindgebruikers prima hun werk kunnen doen met alternatieve platformen, mits ze daar even wat uitleg en ondersteuning bij krijgen (iets dat men trouwens ook volkomen normaal vindt bij de migratie naar nieuwe releases van de gebruikelijke proprietary systemen).

Dezelfde mensen die jaren lang met grote stelligheid beweerden dat 'Het Echt Niet Kon' zijn inmiddels druk bezig om heel trots iPads uit te rollen naar allerlei managers en directeuren die daar om allerlei redenen om vragen, of ze zelf meenemen. Kennelijk is de adoptie van een totaal ander platform, met een totaal andere interface, helemaal niet zo problematisch als al die jaren is gesteld. Huh?

Cybercrime; preventie vs. repressie

<Webwereld column>

Cybercrime en cyberoorlog zijn op dit moment de hippe termen om als overheid extra middelen en mogelijkheden te verwerven. Als men cybercrime kan combineren met de distributie van afbeeldingen van kindermisbruik (ook wel bekend als kinderporno) is het helemaal prijsschieten. Dan mag bijna alles. Wat daarbij vreemd blijft, is dat al die aandacht gaat naar het distribueren van afbeeldingen, terwijl het toch om die kinderen zou moeten gaan. Ik heb nooit helemaal begrepen hoe die kinderen worden beschermd door het filteren op die afbeeldingen.

Bart Schremer gaf gisteren in zijn opiniestuk een overzicht van de vragen waar opsporingsinstanties mee zitten. Enerzijds verwacht de samenleving (of liever het mediasysteem) van wetshandhavers dat alle misdaad onmiddellijk en perfect wordt opgelost, en dan liefst ook nog voor een bescheiden budget. Anderzijds willen de meeste Nederlanders nog steeds liever geen politie-staat naar Noord-Koreaans of Amerikaans model.

Maar wat in alle discussies over toelaatbare opsporingsmethoden, (cr)(h)ackende KLPD-ers en crime-fightende politici ontbreekt, is de vraag waarom cybercrime zo enorm gegroeid is. Het feit dat we veel meer en complexere IT gebruiken zal daar zeker aan hebben bijgedragen. Maar een belangrijke andere factor is de enorme digitale ongeletterdheid onder verreweg de meeste burgers en een extreme technische mono-cultuur op de desktop. Afgezien van wat slappe voorlichtingscampagnes doet de overheid er weinig aan burgers echte kennis en volwassenheid bij te brengen.

ACTA; war over. We win. Again

<Webwereld column>

Volgens Maxime Verhagen heeft de 'gewone' Nederlander niks van ACTA te vrezen. Dit verdrag is namelijk bedoeld om kinderporno sites uit de lucht te halen. Ga naar de link en luister het nog eens terug want hij zei het echt!

En da's mooi want hoewel ik best graag een downloadje mag draaien beperk ik mij tot films en boeken die in het wat meer geaccepteerde deel van het mediaspectrum vallen. De uitspraak is echter we een boeiende blik in het hoofd van onze Minister-van-alles. Kennelijk maakt deze zich bij distributie van fotografisch bewijs van kindermisbruik in de eerste plaats druk over mogelijk auteursrechtelijke aspecten. Is dit beroepsdeformatie of gewoon sterke taakgerichtheid? Daar zou een journalist eens in moeten duiken. For the lulz.

Maar zelfs uit de surrealistische farce die modern westers copyright is komen mooie dingen. Nee ik heb het niet over meer muziek, films of boeken. Want er is geen enkel bewijs dat er meer cultuur wordt gemaakt als we 14-jarige downloaders harder aanpakken. Wel is de laatste weken weer heel duidelijk is gebleken wat het nut is van een gemeenschappelijke vijand. Dankzij ACTA zijn meer Europeanen dan ooit actief betrokken bij een kritische discussie over modern auteursrecht en de balans met burgerlijke vrijheden. Dat is pure winst. Verder lijkt ACTA stervende nu zelfs Eurocommissaris Viviane Reding terugtrekkende bewegingen maakt (ze ziet de politieke bui al hangen) en het ene na het andere Europese land ondertekening opschort. Burgers hebben na ruim 3 jaar 'crisis' een vrij scherp bullshit filter ontwikkeld voor het soort neo-liberale onzin waar ACTA vol mee staat en men pikt het gewoon niet meer. Net als bij Software Patenten duurt het altijd even voor de protesten op gang komen maar als ze eenmaal los gaan kiezen volksvertegenwoordigers toch voor de mensen die hen weer op een zetel kunnen stemmen over een paar jaar.

SOPA; niet ons probleem

<Webwereld column>

SOPA protestGisteren was de grote SOPA-protest dag. Wikipedia (in het Engels), Boingboing, Reddit en vele andere sites gingen 'op zwart'. Andere sites hadden banners en zelfs google.com had een regeltje onder de zoekbalk dat mij opriep contact op te nemen met het Amerikaanse congres. Onder die link stond: "Millions of Americans oppose SOPA and PIPA because these bills would censor the Internet and slow economic growth in the U.S". Ook een gezongen klassieker roept mij op "mijn congreslid te bellen". Op google.nl stond het regeltje niet, waarmee google duidelijk aangeeft hoe zij tegen de zaak aankijken; het is een intern Amerikaans politiek probleem.

De afgelopen weken zijn er vele oproepen geweest om ook buiten de VS in actie te komen tegen SOPA. Deze oproepen liepen synchroon met allerlei online protesten en verontwaardiging over de door Obama getekende anti-terrorisme wet NDAA. Onder deze wet kan de VS iedereen die 'verdacht' is van betrokkenheid bij 'terrorisme' (beide verder nauwelijks gedefinieerd) onbeperkt opsluiten of zelfs doden zonder vorm van proces of enige andere vorm van rechterlijke toetsing (denk Stalin, jaren '30). De boosheid hierover is op zich terecht maar komt ruim tien jaar te laat. Het enige wat er namelijk nieuw is aan de NDAA is dat de VS nu haar eigen burgers mag aanpakken op manieren die al sinds eind 2001 toegepast (kunnen) worden op de 6,5 miljard mensen in de rest van de wereld.

ACTA en SOPA zijn geweldig!

<Webwereld column>

Maatschappelijke betrokken mensen zijn erg goed in morele verontwaardiging, vaak terecht, maar even zo vaak van een aandoenlijke naïviteit. Zo kijk ik al weken met enige verbazing naar Amerikaanse occupy-activisten die geschokt (geschokt zeg ik u!) zijn als een politieagent (of de rent-a-cop van een universiteit) ze zonder aanleiding slaat met wapenstok of met pepperspray bespuit.

Dat deze ambtenaren zo veel geweld gebruiken is op zich inderdaad niet netjes. Maar wie daar anno 2011 nog van schrikt roept toch de vraag op of men de afgelopen 10 jaar een beetje het nieuws heeft gevolgd. Je dacht toch niet dat je gestolen verkiezingen, illegale aanvalsoorlogen, kleuters beschieten met anti-tank wapens en het martelen van onschuldige burgers jarenlang kon laten gebeuren, zonder dat uiteindelijk de consequenties van zo'n overheid bij jezelf in de straat zouden belanden?

Net zoals de naïve verontwaardiging van sommige occupy-activisten over hun regering en haar gewapende arm heeft de boze verbazing waarmee in de IT-pers over ACTA en SOPA wordt geschreven iets kinderlijks. De copyrightindustrie is al decennia bezig om de lengte van het auteursrecht op te rekken tot het-eind-der-tijden-plus-een-dag-extra.

Privacy rechten niet meer via het het recht.

<oorspronkelijk een Webwereld column> - <ook op Sargasso.nl>

Het lijkt de laatste jaren wel alsof alles wat gecentraliseerd is faalt. Overheden die problemen moeten oplossen (of gewoon een IT-projectje goed afronden), centrale banken die moeten toezien op het gedrag van gewone banken, IT bedrijven die ons oplossingen moeten bieden die veilig zijn en onze privacy enigszins respecteren...

Decentrale dingen doen het wel goed: bittorrent, niet-westerse volksopstanden, opensource software, hacktivisme en wellicht wordt het zelf nog wat met Occupy. Ik ben blij dat Bits of Freedom en internationale tegenhangers als de EFF bestaan want zij zetten onderwerpen op de kaart bij bestuurders en andere 50-plussers die daar anders nooit over zouden nadenken. In Berlijn is de Piratenpartij zelfs met ruim 9% van de zetels het lokale bestuur binnengevlogen en staat in Duitsland landelijk ook op mooie winsten.

Maar helpt dat hameren op 'rechten' ook echt? Want ondanks alle petities, moties, acties en andere ties-en bewegen onze (digitale-)burgerrechten nog steeds de verkeerde kant uit. In Nederland is het nauwelijks nog mogelijk de middelbare school af te maken zonder Microsoft of Apple producten aan te schaffen. Ondanks een lange serie beloften en afspraken op dit gebied van onze overheid. Er zijn zoveel Pc's die door online criminelen worden bestuurd dat Microsoft speciaal voor Nederland een 'grote schoonmaak' op touw zet. Wordt het ook meteen weet eens duidelijk wie er ultimo de controle heeft over al die systemen. Ondertussen grijpt de overheid haar eigen Diginotar falen aan om de online wereld die ze niet begrijpt nog sterker te reguleren.

iTunes voor ebooks

<Webwereld column>

In 1996 kreeg ik mijn eerste MP3's. Opslagcapaciteit was duur, dus bewaren ging op gebrande cd-roms. Er konden 10-12 audio-cd's op een cd-rom. Conversie van een audio-cd naar een serie mp3's duurde uren en ging met een encoder vanaf de commandline. Afspelen kon alleen met een PC (of erg dure laptop) dus op de vraag 'wat heb je daaraan?' van familie en vrienden had ik geen goed antwoord. Behalve dat ik stilletjes inschatte dat harddisks groter zouden worden en laptops met geluid goedkoper en lichter. In 2000 had ik voor het eerst een PDA met audio. Op een geheugenkaart van 256Mb konden een paar albums. Ik ben vergeten wat dat allemaal gekost heeft. Waarschijnlijk maar beter ook.

Een jaar later kwam Apple uit met iTunes om het eenvoudig te maken digitale muziek verzamelingen te beheren. Niet veel later volgde de eerste iPod en dit soort apparaten in combinatie met grafische software maakte mp3's bruikbaar voor een breed publiek. Het gevolg is dat vrijwel alle muziek die bestaat nu eenvoudig ergens te downloaden is. Het is aan het individu of er voor betaald wordt, want downloaden is in veel landen niet illegaal en waar het dat wel is heeft dat nauwelijks effect op het gedrag van mensen. En met Kafkaëske wetgeving is dat m.i. volkomen terecht.

Club of Amsterdam, The Future of the Future

The Future of the future; Utopia versus The End Of The World As We Know It Thursday, November 3, 2011
Registration: 18:30-19:00, Conference: 19:00-21:15
Location: Volkskrantgebouw, Wibautstraat 150, 1091 GR Amsterdam [former building of the Volkskrant]
The conference language is English.

"The trouble with our times is that the future is not what it used to be."  -- Paul Valery, French poet

The Future of the Future is an examination of the various future vision as portrayed by futurists, academics and scenario thinkers.

Wachten op de grote klap

<Webwereld column>

Het stof van Diginotar is netjes opgeveegd bij de bonte verzameling van ICT-fails in de publieke sector, de glazen zijn leeg en de plassen gedaan. Tot nu toe wijst niets erop dat er echt iets gaat veranderen aan de wijze waarop de Nederlandse overheid ICT projecten laat uitvoeren. Tijdens het overleg (mp3) in de Tweede Kamer was het duidelijk dat zowel de OPTA als PwC vinden dat hen niets te verwijten valt, ondanks het feit dat ze als toezichthouders jarenlang het stempel “OK” hebben gezet op Diginotar. De uitspraak van PwC dat de audits uiteraard goed zijn gedaan omdat “deze worden uitgevoerd door professionals met een eigen verantwoordelijkheid” zal hartverwarmend zijn voor Iraanse burgers die hiervan nu de consequenties ondervinden (denk aan iets met knieschijven en elektrisch gereedschap).

Door de chaos bij Diginotar kan nooit meer met zekerheid worden vastgesteld op welke momenten er bij het bedrijf is ingebroken en wat de gevolgen daarvan waren. Iemand die een compleet netwerk overneemt kan namelijk kinderlijk eenvoudig alle logs manipuleren. Het enige wat we dus echt met zekerheid kunnen zeggen is dat er tot nu toe geen reden is om aan te nemen dat de IT-security in het verleden veel beter was dan de recentelijk door FoxIT aangetroffen puinhoop.  Want de audits van PwC zijn overduidelijk niet in staat een dergelijke puinhoop te detecteren en de OPTA kijkt er kennelijk niet eens naar. Mogelijk was Diginotar dus al jaren van onder tot boven gehackt en is dat gewoon nooit iemand opgevallen. Een echte slimme cybercrimineel of spion doet zijn werk zo dat niemand ooit iets door heeft. In allerlei detaildiscussies over de exacte tijdslijn en omvang wordt volledig voorbij gegaan aan dit feit. Socrates glimlacht vanuit zijn graf bij de vaststelling dat we alleen zeker weten dat we niets zeker weten.

It's a trap!

<Webwereld column>

Wat is een document? Het begon ooit als een platgeslagen stuk klei waar met een stokje tekens in werden gekrast. 8.000 jaar later werden deze teruggevonden en na jarenlange studie van archeologen kwam men tot de conclusie dat er stond geschreven: 'Ik krijg nog 3 geiten van jou'.

Via papyrus en perkament-rollen kwamen we in Europa in de 15e eeuw bij papier en massaproductie via boekdrukpersen. Ons besef van wat een document eigenlijk is wordt nog steeds ingegeven door de vorige revolutie in informatievastlegging en -distributie. Toen Pc's gemeengoed werden als instrument om documenten te maken waren de applicaties dan ook sterk gericht op het snel en mooi produceren van papieren documenten. Het creatieproces was digitaal geworden, maar het beoogde eindresultaat was niet fundamenteel anders dan het eerste gedrukte boek uit de 1452.

De meeste tekstverwerkers die vandaag de dag in gebruik zijn, houden vast aan dit concept. Er zijn honderden functies voor paginanummering, voetnoten en lay-out om tot een leesbaar eindresultaat te komen - op papier. Ook veel IT-instrumenten rond het beheren en ontsluiten van documenten zijn nog gericht het concept van een documenten als een digitale stapel papier. Klaar om te printen voor 'echt' gebruik.