informatiebeveiliging

Book: Information security for journalists - V1.1

With journalist Silkie Carlo I have co-authored a 'handbook' on practical information security for journalists commissioned by the UK Centre for Investigative Journalism. The CIJ handbook 'Information Security for Journalists' was launched at the CIJ Summer School 2014 in London. The book will be forever freely available in a range of electronic formats - see download links below. In the four months after the initial publication in we have rewritten certain parts based on feedback from the initial readers and updated other parts to stay current with the latest software changes. Many thanks to all who gave us valuable feedback.

Altough this book was originally written for investigative journalists most of the described concepts and technical solutions are just as usable by lawyers or advisors protecting communications with their clients, doctors protecting medical privacy and of course politicians, activists or anyone else who engages powerful state and corporate organisations. Really, we're all journalists now. Inside the book is a mailadres for getting in touch, please let us know how your are using it and what we can do better.

If you have reasons to suspect your online movements are already under some form of surveilance you should not download this book using a computer or netwpork associated with your identity (such as your home or work systems).

Several participants of journalist training programs have written articles: Information security for journalists: staying secure online by Alastair Reid (from journalism.co.uk) - A day with the surveillance expert by Jason Murdock, Offtherecord.in - Valentina Novak wrote this interview after a lecture & workshop in Slovenia last November.

On Tuesday July 8th 2014 I was once more a guest on Max Keiser's programme 'The Keiser Report' to discuss the book. Video here on my blog, here on RT site and here on Youtube.

From the 'backflap' of the book:

Book: Information security for journalists

With journalist Silkie Carlo I have co-authored a 'handbook' on practical information security for journalists commissioned by the UK Centre for Investigative Journalism. The CIJ handbook 'Information Security for Journalists' was launched at the CIJ Summer School 2014 last weekend in London. The book will be freely available in electronic format and in print after the summer. Just like last year I gave lectures (slides) and ran a hands-on workshop to get journalists 'tooled-up' so they can better protect their sources, themselves and their stories in a post-Snowden world.

From the 'backflap' of the book:

This handbook is a very important practical tool for journalists. And it is of particular importance to investigative reporters. For the first time journalists are now aware that virtually every electronic communication we make or receive is being recorded, stored and subject to analysis and action. As this surveillance is being conducted in secret, without scrutiny, transparency or any realistic form of accountability, our sources, our stories and our professional work itself is under threat.

After Snowden’s disclosures we know that there are real safeguards and real counter measures available. The CIJ’s latest handbook, Information Security for Journalists, lays out the most effective means of keeping your work private and safe from spying. It explains how to write safely, how to think about security and how to safely receive, store and send information that a government or powerful corporation may be keen for you not to know, to have or to share. To ensure your privacy and the safety of your sources, Information Security for Journalists will help you to make your communications indecipherable, untraceable and anonymous.

Although this handbook is largely about how to use your computer, you don’t need to have a computer science degree to use it. Its authors, and the experts advising the project are ensuring its practical accuracy and usability, and work with the latest technology.

Gavin MacFadyen,
Director of the Centre for Investigative Journalism

This handbook is being translated into Arabic, Chinese, French, German, Portugese, Spanish, and other languages

On Tuesday July 8th 2014 I was once more a guest on Max Keiser's programme 'The Keiser Report' to discuss the book. Video here on my blog, here on RT site and here on Youtube.

Sidekick BNR digitaal

Op woensdag 4 juni was ik de sidekick bij BNR digitaal en mocht ik Herbert Blankenstein ondersteunen.

We spraken over HHB-tv, een nieuwe methode van TV-uitzendingen met allerlei additioneel oproepbare informatie/content stromen waar de NOS meer aan het expertimenteren is. Verder over het eenvoudig inbreken en overnemen van de computernetwerken die de meeste moderne auto's besturen met mogelijk specaculaire gevolgen. Als laatste over Nederlands bedrijf Selphee de makers van een nieuwe app die foto's en korter video's tot een enkel media-object maakt dat eenvoudig via social media te delen is. Ben zelf geen smartphone gebruiker maar nieuwe mediavormen leiden altijd tot onverwachte nieuwe toepassinge en kunstvormen. Ben beniewd wat er de komende maanden gemaakt gaar worden.

Luister hier de BNR stream of de MP3.

De volledige video van Motherboard over slecht beveiligde auto's hier:

BNR interview bijdrage aan ICT Commissie

Op woensdag 21mei gaf ik op BNR Radio commentaar op mijn brief aan de Commissie ICT van 5 mei.

In het gesprek gaan we vooral in op de vraag of inzet van opensource software, waarvan de specificaties voor controle openbaar beschikbaar zijn. Dit in tegenstelling tot z.g. proprietary software die als blackbox wordt geleverd en waarbij alleen de leverancier enige idee heeft wat de software echt doet. Dit laatste was altijd al in theorie een vrij serieus bezwaar voor het toepassen van dergelijke ontransparante software in de kritische functies van de overheid. Maar de theoretische bezwaren zijn door de onthullingen van Edward Snowden over het laatste jaar zeer concreet geworden. Amerikaanse inlichtingen diensten maken gebruik van ongedocumenteerde fouten in software of dwingen Amerikaanse bedrijven zelfs actief om geheime achterdeurtjes aan hun producten toe te voegen. Onder de Patriot Act kan een Amerikaans bedrijf medewerking niet weigeren en mag ze er ook geen melding van maken. De klant van zo'n bedrijf heeft dus geen flauw idee dat deze software van haar computer een afluister apparaat maakt. En in Nederland is er geen grotere klant dan onze overheid.

Verder blijft het gewoon jammer dat we inmiddels 12 jaar nadat de Tweedekamer om een koerswijziging vroeg nog steeds jaarlijks voor miljarden aan buitenlandse software blackbox kopen terwijl er gratis en transparante alternatieven bestaan. Een klein deel van die miljarden in Nederland uitgeven om die te verbeteren zo goedkoper zijn en het geld dat we uitgeven veel meer in de lokale economie houden.

Luister hier de BNR stream of de MP3.

Europol niet langer achter cybercriminelen aan

Op woensdag 30 april gaf ik op BNR Radio commentaar op het nieuws dat Europol niet langer actief poogt cybercriminelen te arresteren. In plaats daarvan wil de politie organisatie digitale dieven 'lastig gaan vallen; bij hun werkzaamheden. Hoe men dat gaat aanpakken is volstrekt onduidelijk aangezien Europol zelf aangeeft dat het gebruik van privacy-technologiën als TOR het vrijwel onmogelijk maakt daders te identificeren.

In al het 'hang-em-high'-achtige wapengekletter van wetshandhavers is er al jaren geen aandacht voor preventie en voorlichting van burgers die door hun onwetendheid onnodig slachtoffer worden. De combinatie van ontbrekend computeronderwijs (een cursus tekstverwerken telt niet) en het actief creëren van software monopolies op desktops en laptops door de overheid zijn de meeste burgers volledig onbeschermd tegen sluwe criminelen die hun bankrekening leeghalen of met hun identiteit aan de haal gaan. Zowel de Nederlandse als de Europese overheid wordt al sinds het begin van deze eeuw verteld wat men wel zou moeten doen maar wil, kan of snapt dat niet. Burgers moeten zelf bescherming regelen door zich te verdiepen in basisvaardigheden van veilig computergebruik.

Luister hier de BNR stream of de MP3.

Rapport Commissie elektronische stemmen in stemlokaal

Van 26 april tot 18 december 2013 was ik, samen met diverse andere experts, lid van de Commissie elektronisch stemmen in het stemlokaal.

In het verleden (2008, 2012) heb ik mij zeer kritisch uitgelaten over de fundamentele bezwaren tegen elektronisch stemmen zoals dat tot 2007 in Nederland was gerealiseerd met ontransparante en oncontroleerbare systemen.

De commissie adviseert het papieren stembiljet centraal te houden en met zeer streng te selecteren apparatuur de twee bezwaren van het huidige proces te verbeteren. Ten eerste is er de beperkte toegankelijkheid voor mensen met lichamelijke (visueel, motorisch, enz..) of verstandelijke beperkingen of z.g. 'laaggeletterden': door de stem te printen kan het zelfstandig uitbrengen van de stem voor deze groepen vergroot worden. Ten tweede de 'late' uitslag: door het fysieke format van het stembiljet te reduceren tot A4 of kleiner en deze te tellen met een optische scanner kan ieder stemlokaal binnen een uur na sluiting de uitslag aanleveren aan de centrale stembureau's. Of deze voordelen de geschatte kosten van 250 miljoen Euro (elke 8 jaar) plus 10 miljoen per jaar waard zijn is een vraag die Kabinet en Tweede Kamer moeten uitvechten.

Hier links naar het eindrapport, de bijlagen, de perspresentatie en het persbericht. Documenten staan ook bij MinBzK.

Iinterview op BNR nieuwsradio hier op BNR.nl en hier als mp3. Artikel en video van interview op nu.nl.

VVD Kamerlid Joost Taverne op NOS radio met opmerkelijke uitspraken - Rop Gongrijp's NOS radio interview met wat stevige kritiek en terechte zorgen over de uitvoering - In 'Met het ook op morgen' Kamerlid Joost Taverne en IT-student Ruud Verbij die allen duidelijk nog geen tijd hadden gehad de volledige 400 pagina's rapport + bijlagen te lezen. In een toekomstige blogpost zal ik nog eens ingaan op geschiedenis van stemcomputers en de technische waarborgen die de Commissie voorstelt om vertrouwen in techniek of de overheid overbodig te maken. De Commissie wil geen technieken of processen voorstellen die macht verder centraliseren of het kiesgeheim ter discussie kunnen stellen.

Andere pers: Webwereld - Tweakers - NRC - NU.nl - Computerworld - Volkskrant - NOS - Omroep Gelderland - RTL - Automatiseringsgids - Joop.nl - Binnenlands Bestuur - Security.nl - Opinie NRC Herbert Blankenstein - meer video's na de break...

Update 28-01-2014: Het rapport van VKA "Internetstemmen voor kiezers in het buitenland" staat hier. Nu.nl vat het rapport samen als 'Riskant en duur'.

Privacy 'howto' artikel voor Geenstijl

<geschreven op uitnodiging van Geenstijl.nl en dus in een wat andere stijl dan mijn gebruikelijke. Niet dat Geenstijl dus geen stijl heeft maar wel anders dus. Dat dan weer wel.>

Je kan je boos maken over je overheid die je mail wil lezen, je kan ook wat doen om te zorgen dat dat heel moeilijk wordt. Hieronder een stoomcursus email-beveiliging voor iedereen die niet wil wachten tot BOF en Brenno de glorieuze eindoverwinning behalen. Artikel 12 van de Universele Verklaring voor de Rechten van de Mens is tenslotte er niet alleen om je pr0n-habits te verbergen. Tenzij je blank, man, Europees en nazaat-van-een-adelijke-familie-met-grondbezit bent zijn jou burgerrechten bevochten door mensen die dat konden doen omdat ze niet in een stasi-achtige 'uberwachungs staat' leefden. Zonder privacy geen vrijheid van meningsuiting of zelfs maar meningsvorming en dus geen maatschappelijke verandering (zoals afschaffing van de slavernij, kinderarbeid of invoeren algemeen kiesrecht). Maar geloof mij niet, deze ex CIA/NSA/FBI/DoJ/MI5 medewerkers legden het afgelopen zomer nog even uit.

Als je privacy minder belangrijk vindt dat de hoeveelheid tijd die je per weekend TV reclames kijkt dan is dit stuk niet voor jou. Want het kost een beetje moeite, intelligentie en een aandachtsspanne groter dan die van een Gordonoudvis. OK, inmiddels zijn we 60% van de lezers kwijt. Da's jammer maar niet iedereen is te helpen. En als je echt niks te verbergen hebt laat je dan eens 15 min door Hans Teeuwen op live TV interviewen over je seksleven. Afschrikwekkende voorbeelden hebben tenslotte ook nut en het houdt de dumpert vol.

Tips hoe je Big Brother kunt omzeilen

<ook op Sargasso.nl>

Op 6 juli 2013 publiceerde de Britse krant The Guardian het eerste interview met Edward Snowden, tot dat moment systeembeheerder voor het Amerikaanse National Security Agency. Snowden kreeg door zijn werkzaamheden een gedetailleerd beeld van de mate waarin de NSA een wereldwijde Big Brother-staat in het inrichten was. Vrijwel alle elektronische communicatie wereldwijd werd realtime getapt, telefoons, laptops en servers werden gekraakt en softwarebedrijven werden gedwongen hun systemen met lekken op te leveren om dit mogelijk te maken.

Vermoedens van dergelijke activiteiten door onder meer Amerikaanse veiligheidsdiensten bestonden al decennia (zie dit artikel uit 1999) maar de schaal van de onthullingen die Snowden naar buiten brengt doet zelfs de meest paranoia-experts de rillingen over de rug lopen. Een korte opsomming en wat je er als burger aan kan doen.

Installatie Commissie onderzoek elektronisch stemmen

Op 26 april 2013 is Arjen Kamphuis is samen met andere experts door Minister Plasterk (BzK) geïnstalleerd als lid van de Commissie onderzoek elektronisch stemmen (persbericht BzK). Deze commissie gaat onderzoeken of het mogelijk is het stemmen op papier te vervangen door een electronisch proces zonder dat daarbij de essentie van de democratie en de kieswet in gevaar komt. Zowel lokale bestuurders als belangenorganisaties van mensen met lichamelijke beperkingen dringen er op aan een alternatief te ontwikkelen voor het huidige papieren proces dat bij elke verkiezing in hun ogen voor veel problemen zorgt.

Tussen 1997 en 2007 was electronisch stemmen toegestaan maar deze toestemming werk teruggetrokken nadat uit onderzoek bleek dat de gebruikte systemen niet voldeden aan de essentie van de kieswet (stemgeheim en transparantie van het kiesproces).

Op Tweakers.nl en Webwereld.nl is de discussie over het onderwerp meteen losgebastern na publicatie van het bovenstaande persbericht. In de meer dan 175 reacties komen veel van de gebruikelijke misverstanden over de fundamentele problemen met electronisch stemmen weer langs. Ook naar IT-ers en computersliefhebbers is meer voorlichting over de complexiteit van het onderwerp nog noodzakelijk.

Interview op BNR radio op 1 mei 2013. Link naar mp3.

Eerdere publicaties over dit thema:
2008: publicatie in Digitaal Bestuur
2012: publicatie op Webwereld

Cyberoorlog: het Westen is begonnen

<Webwereld column>

The War Room, Dr. Strangelove - 1965

Een aantal jaren geleden ontwikkelden Israëlische en Amerikaanse inlichtingendiensten een computervirus met een specifiek militair doel: het beschadigen van Iraanse nucleaire installaties. Stuxnet werd via usb-sticks verspreid en nestelde zich stilletjes op Windows pc's om van daaruit op zoek te gaan naar specifieke industriële centrifuges die via Siemens SCADA-apparatuur worden aangestuurd.

Iran heeft, net als veel andere landen, een nucleair programma voor energieopwekking en de productie van isotopen voor onder meer medische toepassingen. De meeste landen kopen medische isotopen van specialist Nederland, die ze in de reactor in Petten bij ECN maakt. Door de westerse boycot van Iran is het voor dat land echter niet mogelijk isotopen voor medisch gebruik op de wereldmarkt aan te schaffen. Zelf maken is verre van ideaal, maar de enige optie die overblijft als import onmogelijk wordt gemaakt.

Waarom die boycot? Officieel omdat Iran volgens de VS niet voldoende openheid wil geven over zijn wapenprogramma's. Met name militaire toepassingen van het nucleaire programma is een officiële bron van zorg. Deze zorg is echter een vrij recent gegeven die om een of andere reden opnieuw leven is ingeblazen na de aanval op Irak (een aantal van de installaties is geleverd door Amerikaanse en Duitse bedrijven met financiering van de Wereldbank voor de revolutie van 1979). Het meest curieuze aan alle beschuldigingen van westerse overheden aan het adres van Iran is dat het nooit meer dan vage verdachtmakingen zijn. Toen 16 Amerikaanse inlichtingendiensten in 2007 een gezamenlijke studie deden naar de feiten achter deze beschuldigingen was de glasheldere conclusie: Iran is niet bezig met de ontwikkeling van een kernwapen.

EPD, korte geschiedenis van een nationale ramp

<Webwereld column>

Heeft u wel eens 'De grote beurt' gezien? Dit is een auto-programma kloon van MTV's 'pimp my ride' waar oude auto's een makeover krijgen om ze weer hip&cool te maken. Probleem bij al het opleuken dat in deze programma's wordt gedaan is dat onder de nieuwe lak en glimmende velgen het een oude auto blijft die z'n beste tijd gehad heeft. Zo is het ook met het EPD.

Ruim 12 jaar geleden werd onder leiding van Minister Els Borst het plan opgevat een nationaal elektronisch patiënten dossier te realiseren. Een dergelijk dossier zou medicatie- en andere fouten door informatieachterstand bij zorgverleners voorkomen en zo vele mensenlevens redden. Het waren tenslotte de jaren '90 en er was niets dat IT niet leek te kunnen oplossen.

In 2002 werd stichting Nictiz opgericht. Deze, door het ministerie van VWS gefinancierde non-profit-zonder-formele-macht, zou het nationaal EPD gaan realiseren. Al vrij snel werd besloten dat er geen echt nationaal EPD zou komen maar een soort zoekmachine die data uit alle systemen brokjes data over een specifieke patiënt trekt. Zo'n zoekmachine-oplossing is veel complexer dan een centraal systeem.

Privacy, 10 jaar later

<Webwereld column>

Op 11 juli 2001 publiceerde het Europees Parlement een rapport over het spionagenetwerk Echelon en de implicaties voor Europese burgers en bedrijven. Er werd al jarenlang gespeculeerd over het bestaan van dit netwerk van Groot Brittannië-en-haar-voormalig-koloniën maar pas in 1999 kwam er een rapport uit dat het onderwerp voorgoed uit de alu-hoedjessfeer trok. Het rapport van het EU Parlement bevat zeer concrete en zinnige voorstellen die, door gebeurtenissen 2 maanden later na publicatie, nimmer zijn uitgevoerd. Of zelfs maar verder besproken.

Onder het kopje "maatregelen tot bevordering van de zelfbescherming van burgers en ondernemingen" staat een lijst met concrete voorstellen die beveiliging van gegevens en vertrouwelijkheid van communicatie in handen geeft van burgers. Allereerst verzoekt het Parlement burgers te informeren over het bestaan van Echelon en de gevolgen voor hun privacy. Deze voorlichting moet "vergezeld gaan van praktische bijstand bij het ontwerp en de installering van algemene beschermingsvoorzieningen, die ook de veiligheid van informatietechnologie omvatten". Dus niet alleen postbus 51 spotjes maar hands-on aan de slag graag!

Stemcomputer, de zombie die maar niet dood wil

<Webwereld column>

U heeft gestemd - of niet?Terwijl stemcomputers in Nederland al vier jaar verboden zijn, blijken fundamentele misverstanden over de kern van het probleem rond stemcomputers te blijven bestaan. Afgelopen maand deden de VVD en D66 wederom voorstellen om elektronisch stemmen in Nederland weer in te voeren. Eerder dit jaar riep ook het Nederlands Genootschap van Burgemeesters op tot herinvoering (opmerkingen over niet-gekozen bestuurders die zich bemoeien met het kiesproces in de comments graag ;-).

De vele knullige security problemen (video) of de afwezigheid van de broncode van de software (in het geval van Nedap en SDU stemcomputers) zijn weliswaar prima aanleidingen geweest om het onderwerp via de media op de politieke agenda te krijgen, maar deze zaken zijn niet de kern van het probleem. En hoewel het dossier stemcomputer op het Ministerie van Binnenlandse zaken inmiddels een fel fluoriserende 'radioactief, niet aankomen!'-sticker heeft, blijft het risico bestaan dat lagere overheden of leveranciers blijven denken dat stemmen per computer best kan 'als we maar even die bugjes oplossen'.

De werkelijke bezwaren zijn veel fundamenteler en hebben weinig te maken met securitybugs of beschikbare broncode. Het gaat veel verder. Het gebruik van stemcomputers doet fundamentele democratische principes geweld aan. In het eerste jaar van de acties van de werkgroep wijvertrouwenstemcomputersniet.nl werd vaak geroepen door overheid en leveranciers dat men niet zo wantrouwend moest zijn. Nederland was tenslotte een net land en de suggestie dat iemand fraude zou plegen met zo iets fundamenteels als verkiezingen werd als ridicuul van de hand gedaan. Het was simpelweg ondenkbaar en verdere discussie of verantwoording erover was derhalve niet noodzakelijk.

Double Think en Zen

<Webwereld column>

Doublethink is een begrip dat door George Orwell geïntroduceerd is in zijn beroemde roman '1984'. Het is een mentaal mechanisme dat mensen in staat stelt oprecht en tegelijkertijd twee volkomen tegengestelde ideeën te geloven zonder die tegenstelling als problematisch te ervaren.

In de ruim tien jaar dat ik me in Nederland heb beziggehouden met opensource en open standaarden in de publieke sector ben ik heel wat geoefende doublethinkers tegen gekomen. Zo is mij gedurende al die jaren door 'experts' en insiders geduldig uitgelegd dat de migraties naar opensource desktops die de community  wilde onmogelijk waren omdat ambtenaren niet met andere platformen konden werken. Non-techies iets anders geven dan de Windows+Office desktop waarop ze getraind waren in het Nederlands onderwijs zou tot rampen leiden. Het Kon Echt Niet.

De stelligheid waarmee dit (tot op de dag van vandaag) op allerlei plekken als tegeltjeswijsheid gezegd wordt heeft mij altijd verbaasd. Eerder was Nederland namelijk van WP5.2 op DOS naar Word6 op Windows gemigreerd en toen is de Aarde toch ook echt gewoon blijven draaien, gingen kinderen naar school en kwam er water uit de kraan.

De diverse migraties, de meeste buiten Nederland, laten inmiddels ook zien dat gewone eindgebruikers prima hun werk kunnen doen met alternatieve platformen, mits ze daar even wat uitleg en ondersteuning bij krijgen (iets dat men trouwens ook volkomen normaal vindt bij de migratie naar nieuwe releases van de gebruikelijke proprietary systemen).

Dezelfde mensen die jaren lang met grote stelligheid beweerden dat 'Het Echt Niet Kon' zijn inmiddels druk bezig om heel trots iPads uit te rollen naar allerlei managers en directeuren die daar om allerlei redenen om vragen, of ze zelf meenemen. Kennelijk is de adoptie van een totaal ander platform, met een totaal andere interface, helemaal niet zo problematisch als al die jaren is gesteld. Huh?

Wachten op de grote klap

<Webwereld column>

Het stof van Diginotar is netjes opgeveegd bij de bonte verzameling van ICT-fails in de publieke sector, de glazen zijn leeg en de plassen gedaan. Tot nu toe wijst niets erop dat er echt iets gaat veranderen aan de wijze waarop de Nederlandse overheid ICT projecten laat uitvoeren. Tijdens het overleg (mp3) in de Tweede Kamer was het duidelijk dat zowel de OPTA als PwC vinden dat hen niets te verwijten valt, ondanks het feit dat ze als toezichthouders jarenlang het stempel “OK” hebben gezet op Diginotar. De uitspraak van PwC dat de audits uiteraard goed zijn gedaan omdat “deze worden uitgevoerd door professionals met een eigen verantwoordelijkheid” zal hartverwarmend zijn voor Iraanse burgers die hiervan nu de consequenties ondervinden (denk aan iets met knieschijven en elektrisch gereedschap).

Door de chaos bij Diginotar kan nooit meer met zekerheid worden vastgesteld op welke momenten er bij het bedrijf is ingebroken en wat de gevolgen daarvan waren. Iemand die een compleet netwerk overneemt kan namelijk kinderlijk eenvoudig alle logs manipuleren. Het enige wat we dus echt met zekerheid kunnen zeggen is dat er tot nu toe geen reden is om aan te nemen dat de IT-security in het verleden veel beter was dan de recentelijk door FoxIT aangetroffen puinhoop.  Want de audits van PwC zijn overduidelijk niet in staat een dergelijke puinhoop te detecteren en de OPTA kijkt er kennelijk niet eens naar. Mogelijk was Diginotar dus al jaren van onder tot boven gehackt en is dat gewoon nooit iemand opgevallen. Een echte slimme cybercrimineel of spion doet zijn werk zo dat niemand ooit iets door heeft. In allerlei detaildiscussies over de exacte tijdslijn en omvang wordt volledig voorbij gegaan aan dit feit. Socrates glimlacht vanuit zijn graf bij de vaststelling dat we alleen zeker weten dat we niets zeker weten.

Sitting duck

mijn nieuwe column voor NOiV.

het slot is goedDe AIVD waarschuwde voor Chinese spionnen en cybercriminelen, Wikileaks cables ook. Nederland is kwetsbaar maar lijkt liever niets te willen weten van enge dingen uit de boze buitenwereld. Dat het de grote landen in de wereld ernst is blijkt wel uit de aanval op Iraanse nucleaire installaties en Amerikaanse vliegtuigbouwers. Maar met telecom partners als het Israëlische Verint heb je kennelijk helemaal geen vijanden nodig om afgeluisterd te worden.

De Tweede Kamer, horend de beraadslaging, constateerde in 2002 al dat software een cruciale rol speelde in de kennissamenleving en dat de aanbodzijde van de softwaremarkt op dat moment sterk geconcentreerd was. De kamer verzocht de regering dan ook zich maximaal in te zetten om hier verbetering in aan te brengen.

Het zijn de eerste zinnen van de motie Vendrik over de niet functionerende markt voor desktop software die al vrij snel buiten beeld zijn geraakt in alle discussies over PDF/a en welk opensource CMS nou het beste is. Maar het ging dus in eerste instantie om een verstoring van de softwaremarkt, niet de interne bedrijfsvoering van middelbare scholen, gemeentes en agentschappen. Die verstoring oplossen is een veel taaiere klus dan 'iets met open standaarden doen' dus het logisch dat een programma dat resultaten wil laten zien zich met haar beperkte middelen op haalbare projecten richt.

Oma weet waarom

<webwereld column>

Mijn oma is geboren in 1920 en moest op haar twaalfde van school om te werken in haar vaders winkel, zij heeft nooit een computer gebruikt (wel een iPod voor audioboeken). Oma is nu 90 en wil nog steeds graag weten wat ik nu zoal doe.

Meestal stap ik dan vrij snel over de techniek heen, want daar heeft oma niet zo veel mee. Het waarom is veel relevanter. Privacy, burgerrechten en zelf de baas zijn over je spullen/informatie. Dat kan ze prima begrijpen zonder alle technische details van open bron codes en cryptografie te volgen.

Bits of Freedom organiseerde afgelopen zondag in Amsterdam een lezing en discussie met Prof. Eben Moglen, Moglen is een voormalig programmeur die zich tegenwoordig als hoogleraar rechten en advocaat sterk maakt voor free software. Een deel van zijn lezing ging over de risico's van cloudcomputing (zie hier een eerdere lezing in New York over hetzelfde thema).

Als chirurgen en IT-ers samenwerken...

<eerder verschenen in het Tijdschrift voor Heelkunde>

Younass Aboulghit en Arjen Kamphuis

We leven in een periode waarin informatietechnologie ons leven drastisch veranderd. Overal om ons heen is het digitaliseringproces waar te nemen waarbij informatiesystemen processen ondersteunen en onze werkwijzen veranderen. Mensen verwachten snel en altijd bij informatie te kunnen komen en deze ook met elkaar te kunnen delen als dat nut heeft. Ook in de zorg liggen er kansen en heeft een nieuwe generatie patiënten hoge verwachtingen. De vraag is: Hoe omarmen we de mogelijkheden van de informatietechnologie met behoud van kwaliteit en vakmanschap? Hoe voorkomen we dat lukraak informatietechnologie gebruikt wordt die het werk van de vakspecialist eerder moeilijker maakt dan gemakkelijker? Dat het mis kan lopen met projecten in de zorg bewijst het dossier EPD.

Auto-immuunziekte in de varkensstal

<webwereld column>

Computervirussen en de lapmiddelen er tegen worden een steeds grotere bedreiging voor high-tech zorginstellingen. Voor een oud probleem van kwetsbare mono-cultuur bestaat een klassieke oplossing; diversiteit.

Afgelopen maandag gingen op veel IT-afdelingen de alarmbellen af. Wat aanvankelijk een virus infectie op Windows XP computers leek werd veroorzaakt door een anti-virus update van McAfee. Door de update werd een systeembestand gezien als bedreiging en maakte de beschermingssoftware het systeem onbruikbaar, een soort auto-immuun ziekte.

Ambtenaar 2.0 van de week

Ambtenaar 2.0 logoNaar aanleiding van mijn blogpost over de meest recente ontwikkeling rond Goud en de Rijkswerkplek ben ik een discussie begonnen op de community site van Ambtenaar 2.0. Dit werd een gedetailleerde uitwisseling waar ik zelf ook weer van leerde. De redactie van A2.0 heeft mij nu tot Lid van de week gemaakt en dus mag ik nog eens uitleggen wat Gendo is en waarom we doen wat we doen.

Soms wordt er wat verbaasd gereageerd op onze betrokkenheid bij maatschappelijke zaken waar we niet direct zakelijke iets mee te maken hebben. Naast ondernemers zijn wij echter ook burgers en mensen en iedereen binnen Gendo krijgt tijd en middelen om die rol in te vullen met de kennis en kundes die we hebben.

De Oh Nee chipkaart

We reizen bij Gendo veel met het openbaar vervoer. Sterker nog, voor een boel medewerkers is het zo’n beetje de enige manier waarop ze reizen. Nooit in de file, gewoon door kunnen werken in de trein met de laptop op schoot en vaak redelijk in de buurt van de klant uitkomen.

Sinds kort hebben we ook bij Gendo te maken met OV chipkaarten. Nou hielden we dat vanuit onze interesse in security natuurlijk al scherp in de gaten maar als eindgebruiker zijn we, los van de gaten in de beveiliging, ook helemaal niet enthousiast.

Wellicht is het handig om uit te leggen dat we bij Gendo met een team van circa een man of tien voor klanten door het hele land heen werken. Dat maakt het hebben van een abonnement voor een vast traject niet interessant. Verder is het ook niet zo dat we iedere dag in de trein zitten waardoor eenn OV jaarkaart financieel ook niet voordelig is. Verder reizen we graag anoniem, omdat we vinden dat het de vervoerders geen bal aan gaat wie van waar naar waar reist en omdat we niet geloven in het opslaan van reizigers- en reisgegevens voor een periode van zeven jaar.

Security workshop Cascadis Webmasterclass

Op donderdag 17 september heeft Gendo een workshop verzorgt voor de Cascadis Webmasterclass bijeenkomst. Arjen Kamphuis en Menso Heus gaven de aanwezigen een breed overzicht van hoe het security landschap er uit ziet, wat een aantal veel voorkomende bedreigingen zijn en wat de deelnemers daar aan konden doen.

De workshop deelnemers werkten voor gemeenten, waterschappen, de politie en andere overheidsinstellingen en gebruikten een grote diversiteit aan systemen. Door een meer theoretische uitleg over security principes te geven in plaats van zeer systeemgerichte informatie slaagde Gendo er in de workshop voor iedereen interessant te houden.

Interview Madison Gurkha

In de aanloop naar Hacking at Random 2009 werd ik geinterviewd door security bedrijf Madison Gurkha. Klik op de afbeelding of hier voor een PDF op hogere resolutie.

Interview 'Signaal' (Nictiz)

Voor het blad van Stichting Nictiz mochten Anne Jonkman en ik onze mening geven op de stelling: "Hackers zijn de ultieme test voor het EPD". Voor meer info over mijn visie met de problemen op het EPD zoals het momenteel wordt uitgerold in Nederland zie mijn blogpost van vorig jaar: 'Pimp my EPD'.

Haal hackers in huis

Voor Digitaal bestuur werden Menso Heus en ik geïnterviewd over informatiebeveiliging en de overheid.

Hacking At Random

HAR2009.orgIn 1989 hadden veel mensen nog nooit een computer aangeraakt en was Internet iets was wat je op de universiteit deed. Toch organiseerde een groep enthousiastelingen de 'Galactic Hacker Party' waar computer liefhebbers, digitale activisten, en hackers uit heel Europa elkaar konden ontmoeten. De bijeenkomst werd geheel door vrijwilligers georganiseerd om de kosten zo laag mogelijk te houden. Het was zo'n succes dat de formule in de VS werd overgenomen en men twee-jaarlijkse bijeenkomsten ging organiseren. In Duitsland kwam er naast het al bestaande jaarlijkse Chaos Computer Club Congres een twee-jaarlijks zomerkamp.

Pimp my EPD

Heeft u wel eens 'De grote beurt' gezien? Dit is een auto-programma kloon van MTV's 'pimp my ride' waar oude auto's een makeover krijgen om ze weer hip&cool te maken. Probleem bij al het opleuken dat in deze programma's wordt gedaan is dat onder de nieuwe lak en glimmende velgen het een oude auto blijft die z'n beste tijd gehad heeft. Zo is het ook met het EPD.

OV-chip, the nuclear option

Na mijn laatste column over de OV-chipkaart dacht ik dat er niets meer te zeggen zou zijn. Vele experts hadden het ding al naar de prullenbak verwezen en het was dus meer een kwestie van rustig afwachten tot het project zou afsterven (nadat er nog een paar miljoen gemeenschapsgeld over de balk gesmeten zou zijn – maar zo gaan die dingen nu eenmaal).

Zoals bij wel meer beleidsonderwerpen in Nederland hebben feiten en beleid echter steeds minder met elkaar te maken en gaat Staatssecretaris Huizinga voel goede moed verder met het uitrollen van een systeem waarvan iedere onafhankelijke expert al een jaar weet dat het onherstelbaar stuk is.

Statistisch of causaal verband

Het verschil tussen causale- en statistische verbanden blijft een bron van verwarring. Ook voor journalisten kennelijk want zowel Webwereld als de Automatiseringsgids slaan wat mij betreft de plank volledig mis (computerworld en ChannelWeb doen het niet veel beter).

2 jaar geleden zou ik een 'onderzoek' zoals Microsoft dat recentelijk heeft laten uitvoeren door marketing advies bureau The Harrison Group geweldig hebben gevonden. Zo'n document geeft altijd een paar sappige quotes waar je als opensource en open standards advocate jaren plezier van hebt. Het onderzoek claimt dat ongelicenceerde Windows PC's vaker crashen dan gelicenceerde op basis van een serie interviews met IT-ers uit het MKB (24-500 werkplekken). Maar dergelijke zeepbellen worden tegenwoordig snel genoeg doorgeprikt door de weldenkende burger. Met dank aan WC-eend.

Stemcomputers, de bugs zijn niet het probleem

U heeft gestemd - of niet? Terwijl stemcomputers in Nederland al ruim een half jaar verboden zijn en het stemmen per computer voor zelfs waterschaps verkiezingen ook stervende is lijken fundamentele misverstanden over de kern van het probleem rond stemcomputers te blijven bestaan.

De vele knullige securityproblemen (video) of de afwezigheid van de broncode van de software (in het geval van Nedap en SDU stemcomputers) zijn weliswaar een prima aanleiding geweest om het onderwerp via de media op de politieke agenda te krijgen maar deze zaken zijn niet de kern van het probleem. En hoewel het dossier stemcomputer op het Ministerie van Binnenlandse zaken inmiddels een fel fluoriserende 'radioactief, niet aankomen!' sticker heeft blijft het risico bestaan dat lagere overheden of leveranciers blijven denken dat stemmen per computer best kan 'als we maar even die bugjes oplossen'.