informatiebeveiliging

<eerder verschenen in het Tijdschrift voor Heelkunde>

Younass Aboulghit en Arjen Kamphuis

We leven in een periode waarin informatietechnologie ons leven drastisch veranderd. Overal om ons heen is het digitaliseringproces waar te nemen waarbij informatiesystemen processen ondersteunen en onze werkwijzen veranderen. Mensen verwachten snel en altijd bij informatie te kunnen komen en deze ook met elkaar te kunnen delen als dat nut heeft. Ook in de zorg liggen er kansen en heeft een nieuwe generatie patiënten hoge verwachtingen. De vraag is: Hoe omarmen we de mogelijkheden van de informatietechnologie met behoud van kwaliteit en vakmanschap? Hoe voorkomen we dat lukraak informatietechnologie gebruikt wordt die het werk van de vakspecialist eerder moeilijker maakt dan gemakkelijker? Dat het mis kan lopen met projecten in de zorg bewijst het dossier EPD.

<webwereld column>

Computervirussen en de lapmiddelen er tegen worden een steeds grotere bedreiging voor high-tech zorginstellingen. Voor een oud probleem van kwetsbare mono-cultuur bestaat een klassieke oplossing; diversiteit.

Afgelopen maandag gingen op veel IT-afdelingen de alarmbellen af. Wat aanvankelijk een virus infectie op Windows XP computers leek werd veroorzaakt door een anti-virus update van McAfee. Door de update werd een systeembestand gezien als bedreiging en maakte de beschermingssoftware het systeem onbruikbaar, een soort auto-immuun ziekte.

Naar aanleiding van mijn blogpost over de meest recente ontwikkeling rond Goud en de Rijkswerkplek ben ik een discussie begonnen op de community site van Ambtenaar 2.0. Dit werd een gedetailleerde uitwisseling waar ik zelf ook weer van leerde. De redactie van A2.0 heeft mij nu tot Lid van de week gemaakt en dus mag ik nog eens uitleggen wat Gendo is en waarom we doen wat we doen.

Soms wordt er wat verbaasd gereageerd op onze betrokkenheid bij maatschappelijke zaken waar we niet direct zakelijke iets mee te maken hebben. Naast ondernemers zijn wij echter ook burgers en mensen en iedereen binnen Gendo krijgt tijd en middelen om die rol in te vullen met de kennis en kundes die we hebben.

We reizen bij Gendo veel met het openbaar vervoer. Sterker nog, voor een boel medewerkers is het zo’n beetje de enige manier waarop ze reizen. Nooit in de file, gewoon door kunnen werken in de trein met de laptop op schoot en vaak redelijk in de buurt van de klant uitkomen.

Sinds kort hebben we ook bij Gendo te maken met OV chipkaarten. Nou hielden we dat vanuit onze interesse in security natuurlijk al scherp in de gaten maar als eindgebruiker zijn we, los van de gaten in de beveiliging, ook helemaal niet enthousiast.

Wellicht is het handig om uit te leggen dat we bij Gendo met een team van circa een man of tien voor klanten door het hele land heen werken. Dat maakt het hebben van een abonnement voor een vast traject niet interessant. Verder is het ook niet zo dat we iedere dag in de trein zitten waardoor eenn OV jaarkaart financieel ook niet voordelig is. Verder reizen we graag anoniem, omdat we vinden dat het de vervoerders geen bal aan gaat wie van waar naar waar reist en omdat we niet geloven in het opslaan van reizigers- en reisgegevens voor een periode van zeven jaar.

Op donderdag 17 september heeft Gendo een workshop verzorgt voor de Cascadis Webmasterclass bijeenkomst. Arjen Kamphuis en Menso Heus gaven de aanwezigen een breed overzicht van hoe het security landschap er uit ziet, wat een aantal veel voorkomende bedreigingen zijn en wat de deelnemers daar aan konden doen.

De workshop deelnemers werkten voor gemeenten, waterschappen, de politie en andere overheidsinstellingen en gebruikten een grote diversiteit aan systemen. Door een meer theoretische uitleg over security principes te geven in plaats van zeer systeemgerichte informatie slaagde Gendo er in de workshop voor iedereen interessant te houden.

In de aanloop naar Hacking at Random 2009 werd ik geinterviewd door security bedrijf Madison Gurkha. Klik op de afbeelding of hier voor een PDF op hogere resolutie.

Voor het blad van Stichting Nictiz mochten Anne Jonkman en ik onze mening geven op de stelling: "Hackers zijn de ultieme test voor het EPD". Voor meer info over mijn visie met de problemen op het EPD zoals het momenteel wordt uitgerold in Nederland zie mijn blogpost van vorig jaar: 'Pimp my EPD'.

Voor Digitaal bestuur werden Menso Heus en ik geïnterviewd over informatiebeveiliging en de overheid.

In 1989 hadden veel mensen nog nooit een computer aangeraakt en was Internet iets was wat je op de universiteit deed. Toch organiseerde een groep enthousiastelingen de 'Galactic Hacker Party' waar computer liefhebbers, digitale activisten, en hackers uit heel Europa elkaar konden ontmoeten. De bijeenkomst werd geheel door vrijwilligers georganiseerd om de kosten zo laag mogelijk te houden. Het was zo'n succes dat de formule in de VS werd overgenomen en men twee-jaarlijkse bijeenkomsten ging organiseren. In Duitsland kwam er naast het al bestaande jaarlijkse Chaos Computer Club Congres een twee-jaarlijks zomerkamp.

Heeft u wel eens 'De grote beurt' gezien? Dit is een auto-programma kloon van MTV's 'pimp my ride' waar oude auto's een makeover krijgen om ze weer hip&cool te maken. Probleem bij al het opleuken dat in deze programma's wordt gedaan is dat onder de nieuwe lak en glimmende velgen het een oude auto blijft die z'n beste tijd gehad heeft. Zo is het ook met het EPD.

Na mijn laatste column over de OV-chipkaart dacht ik dat er niets meer te zeggen zou zijn. Vele experts hadden het ding al naar de prullenbak verwezen en het was dus meer een kwestie van rustig afwachten tot het project zou afsterven (nadat er nog een paar miljoen gemeenschapsgeld over de balk gesmeten zou zijn – maar zo gaan die dingen nu eenmaal).

Het verschil tussen causale- en statistische verbanden blijft een bron van verwarring. Ook voor journalisten kennelijk want zowel Webwereld als de Automatiseringsgids slaan wat mij betreft de plank volledig mis (computerworld en ChannelWeb doen het niet veel beter).

2 jaar geleden zou ik een 'onderzoek' zoals Microsoft dat recentelijk heeft laten uitvoeren door marketing advies bureau The Harrison Group geweldig hebben gevonden. Zo'n document geeft altijd een paar sappige quotes waar je als opensource en open standards advocate jaren plezier van hebt. Het onderzoek claimt dat ongelicenceerde Windows PC's vaker crashen dan gelicenceerde op basis van een serie interviews met IT-ers uit het MKB (24-500 werkplekken). Maar dergelijke zeepbellen worden tegenwoordig snel genoeg doorgeprikt door de weldenkende burger. Met dank aan WC-eend.

Terwijl stemcomputers in Nederland al ruim een half jaar verboden zijn en het stemmen per computer voor zelfs waterschaps verkiezingen ook stervende is lijken fundamentele misverstanden over de kern van het probleem rond stemcomputers te blijven bestaan.

De vele knullige securityproblemen (video) of de afwezigheid van de broncode van de software (in het geval van Nedap en SDU stemcomputers) zijn weliswaar een prima aanleiding geweest om het onderwerp via de media op de politieke agenda te krijgen maar deze zaken zijn niet de kern van het probleem. En hoewel het dossier stemcomputer op het Ministerie van Binnenlandse zaken inmiddels een fel fluoriserende 'radioactief, niet aankomen!' sticker heeft blijft het risico bestaan dat lagere overheden of leveranciers blijven denken dat stemmen per computer best kan 'als we maar even die bugjes oplossen'.

Een paar weken geleden schreef ik hier al over de OV-chip farce als 'een geloof in de platte Aarde'. De werkelijkheid is echter nog erger dan een 21ste-eeuwse staatssecretaris die Middeleeuwse denkbeelden aanhangt. De OV-chipkaart is net een zombie in een low-budget film. Iedere keer als je denkt dat hij nu écht dood is omdat het niet meer lachwekkender en ongeloofwaardiger kan, staat de bloederige vleesklomp toch weer op om grommend nog een wannabe-acteur te lijf te gaan.

Voor Livre heb ik de soap rond de OV-chipkaart en andere RFID toepassingen samengevat. De kapotte beveiliging van de OV-chipkaart en de wijze waarop de verantwoordelijke bestuurders hiermee omgaan, neemt lachwekkende vormen aan. Desperaat blijft de staatssecretaris zelfs nu nog vasthouden aan het idee 'dat het allemaal wel meevalt' en dat bedachte deadlines in principe gewoon gehaald kunnen worden. Het is alsof beleidsmakers niet willen geloven dat de aarde rond is omdat er nu eenmaal diepteinvesteringen in landkaarten gedaan zijn die uitgaan van een platte aarde.

Veel acuter dan de nog niet ingevoerde OV-chipkaart is de gekraakte beveiliging van 2 miljoen RFID deurpassen zo staat in het Parool en andere nieuwsbronnen Het idee dat de problemen met de Mifare Classic RFID chip zich zouden beperken tot het toepassingsgebied van de OV kaart, of tot het Nederlands grondgebied zijn een beetje naief. Alle toepassingen van de chip waar informatiebeveiliging een rol speelt staan op de helling.

Wat TNO vorige week nog voor onmogelijk hield maar waar experts het al over eens waren is nu werkelijkheid: De OV chipkaart is definitief gehacked door Duitse experts. De huidige technologie van de OV-chipkaart is daarmee definitief afgeschreven en ongeschikt om ingezet te worden voor toepassingen die enige vorm van bescherming van de gegevens vereisen. Maar wat ik het meest interesante aan de hele sage blijf vinden is dat iedereen maar TNO vervolg opdrachten blijft geven terwijl dit instituut, om wat voor reden dan ook, keer op keer volkomen de plank misslaat.

Bruce Schneier just posted a really good explanation about "the difference between feeling and reality in security". It is one of those articles I wish I'd written. Not because there is a great new nugget of insight in it but because it explains some very basic problems in thinking about security so very well.

The gist of the article is that as people living in modern environments we can have a hard time accurately estimating realistic trade offs between risks and reward. When the world was closely resembling the world we had developed in as a species we were better at it. Our brains were supported by millions of years of evolution in correctly estimating the risk versus rewards of certain actions. There's food here and a lion, should I stay or run? The specimens who made bad trade-off calls died of hunger or lions. The ones making good calls had many babies.

Het is toch wat met die stemcomputers, nu lekken ze weer de uitslag van de Amerikaanse presidentsverkiezingen van dit najaar. Op die manier is het volgen van zo'n TV-show natuurlijk helemaal niet leuk meer. Het is triest gesteld met de wereld als we niet eens meer kunnen vertrouwen op een goed georganiseerde fake-verkiezing.

Het pijnlijke van de parodiesite the Onion is hoe dicht bij de werkelijkheid hun berichten zijn. Iedereen die zicht bezighoudt met onderzoek naar stemcomputers weet dat ze volkomen ongeschikt zijn om op een tranparante en integere manier een verkiezing mee te organiseren. In steeds meer landen (of gedeelten ervan) worden ze dan ook afgeschaft. Maar ondanks de sterke indicaties van stemfraude in de verkiezingen van 2000, 2004, 2006 en in de voorverkiezingen van de afgelopen maanden houden bedrijven als Diebold het nog droog.

Gelukkig mogen we in Nederland na een kleine 2 decennia gewoon weer op papier stemmen. Of we die moeite ook nemen is een heel andere vraag.

Volgens IT en andere media gaat de Staatssecretaris onder de vlag van een aanvalsplan door met de OV chipkaart. Dit ondanks de zorgen van diverse experts. De instelling die vorig jaar nog riep dat het prima zat met die kaart (TNO) heeft het nu nog een keer onderzocht en zegt eigelijk nog steeds dat het prima zit. Hoewel hun rapport start met een uitgebreide beschrijving van wat ze niet hebben onderzocht. Ook wekt de filenaam "TNO_ICT_-_Security_Analysis_OV-Chipkaart_-_public_report.pdf" de suggestie dat er ook nog een niet publieke versie is. Wat zou daar in staan?

Voor het blad van de Nederlandse Reuma bond 'in Beweging' werd ik geinterviewed over de problemen met de beveliging van electronische patienten dossiers en de implicaties voor de veiligheid en privacy van patienten. Voor het artikel werd een mooie foto gemaakt in het datacenter van XS4all. Klik op de afbeelding voor een hogere resolutie.

Onderstaand interview werd eind 2006 afgenomen door de Nederlandse Patienten Consumenten Federatie (NPCF). Aanleiding was het rapport dat ik met Karin Spaink schreef over digitale patienten privacy en veiligheid. (Klik op de afbeelding voor een hogere resolutie).