Maak alle ict-beveiliging openbaar

(verschenen in NRC, zaterdag 8 oktober, 2011 in Opinie & Debat pagina 10)

Door Guido van Diepen en Ad Lagendijk

Het fiasco met DigiNotar, waarbij voor de zoveelste keer burgers het slachtoffer zijn van internetcriminelen, is geen incident. De ict-blunders bij de overheid volgen elkaar op. De projecten zijn grootschalig, duur en roepen veel ergernis op. Het C2000-communicatiesysteem voor politie, brandweer en ambulancepersoneel, dat in noodsituaties regelmatig tekortschiet, zoals bij de ongeregeldheden op het strand van Hoek van Holland, is een flop. De digitalisering van de WAO-administratie, het afgeblazen elektronisch patiëntendossier, DigiD-fraude, ict-mislukkingen bij de gemeente Amsterdam en gelekte overheidsnota’s zijn andere voorbeelden uit de afgelopen jaren.

De oplossing die in alle media en door politici wordt voorgedragen, is om meer ict-experts bij de overheid aan te stellen. Deze oproep doet echter vreemd aan in een tijd waarin de overheid zich terugtrekt en de burgers geacht worden problemen zelf op te lossen. In plaats van blikken dure experts open te trekken, komen wij met een andere – uiteindelijk veel goedkopere – aanpak, geheel in stijl van de slogan ‘De overheid, dat zijn wij’. Wij pleiten voor een cultuuromslag: maak ict onderdeel van de cultuur. De maatschappij is gebaat bij meer ict-kennis bij de doorsneeburger.

De recente hack bij DigiNotar heeft geleid tot heftige kritiek op de overheid, hoewel het overgrote deel van de Nederlanders geen idee heeft wat een websitecertificaat (X.509v3) is. De burger die de overheid al haar ict-blunders kwalijk neemt, is als de pot die de ketel verwijt dat hij zwart ziet.

Elke dag groeit het aantal handelingen dat via de digitale snelweg gaat: het invullen van de meterstand, betalen van een boete, het bestellen van een nieuwe wasmachine of gewoon bellen. Alles gebeurt steeds meer via het internet. De kennis van de werking ervan is echter nihil. Wat moet je met eentjes en nulletjes als je weet hoe je een foto kunt uploaden naar Facebook? Nog nooit heeft een technologie zich zo diep in onze samenleving genesteld, zonder dat we – op enkele nerds na – weten hoe zij werkt. Dit blinde vertrouwen in de techniek is gevaarlijk. Internetveiligheid ligt niet alleen in goede software, het ligt net zo goed in menselijk gedrag.

Een rijbewijs voor de digitale snelweg verplichten gaat misschien te ver, maar het zou mooi zijn als zo’n rijbewijs net zo vanzelfsprekend wordt als een zwemdiploma. Aangezien basisschoolleerlingen zich al op het internet begeven, is het zaak om het belang van ict-kennis terug te zien in het onderwijs. Wachtwoordles of surfles zouden daarom geen overbodige luxe zijn. Ook is het verstandig om ict-experts wat vaker in het zonnetje te zetten.

Het ontbreken van wettelijke aansprakelijkheid in de ict-sector is niet te vergeten ook een oorzaak van veel problemen. Bij de meeste industriële sectoren is de leverancier verantwoordelijk voor de kwaliteit en veiligheid van zijn product. Auto’s met mankementen worden teruggeroepen. Het risico van schade te moeten vergoeden aan gedupeerde klanten dwingt de fabrikanten de veiligheidsaspecten van hun producten hoog op de agenda te zetten.

Maar de makers van software lopen geen enkel risico. De wetgever heeft toegelaten dat de aansprakelijkheid geheel bij de gebruiker is komen te liggen. Nieuwe wetgeving kan deze onbalans herstellen. Wij verwachten dat de toename van kennis bij de burger op termijn zal leiden tot de nodige hervormingen.

Amateurs – met inbegrip van alle Nederlandse banken en het bedrijf Trans Link Systems dat verantwoordelijk is voor de ov-chipkaart – denken dat het geheim houden van de beveiligingsmethode boeven buiten de deur houdt. In werkelijkheid vermindert deze ‘security through obscurity’ de veiligheid, omdat zwakheden pas naar buiten komen als het systeem is gekraakt en veel onheil al is geschied.

In een beter systeem, genaamd ‘security through openness’, worden niet de methodes geheim gehouden, maar slechts de sleutels. Aanvallen op het systeem worden gestimuleerd, omdat zwakheden in het ontwerp hierdoor naar boven komen en gerepareerd kunnen worden. De hacker die het lek vindt in het open systeem, wordt beloond. Wij denken dat beter geïnformeerde burgers deze open strategie zullen eisen van hun banken en andere leveranciers van digitale diensten.

De voorgestelde verbeteringen nemen de onveiligheid in het digitale verkeer niet geheel weg. Het blijft ook hier een voortdurende wapenwedloop tussen de enkele kwaden en de vele goeden. Maar op dit moment wordt het de criminelen wel heel makkelijk gemaakt.

Hoe eenvoudig het kan zijn om met enige kennis digitale rampen te voorkomen, zullen we demonstreren aan de hand van DigiNotar. Een websitecertificaat bestaat uit een paar korte regels tekst met het internetadres van de organisatie – bijvoorbeeld ‘bankieren.rabobank.nl’ – en het postadres. De certificaatautoriteit ondertekent de korte tekst met een geheime sleutel, wat een certificaat oplevert voor de website-eigenaar – in dit geval Rabobank. Als u naar de betreffende site surft, leest uw browser het websitecertificaat en als deze browser de certificaatautoriteit vertrouwt, ziet u dat terug in het linkerdeel van de adresbalk dat groen kleurt of een slotje weergeeft. U logt dan met een veilig gevoel in, omdat u weet dat ‘bankieren.rabobank.nl’ van een organisatie is die in Utrecht zit, ‘Rabobank Nederland’ heet en niet toebehoort aan een stelletje struikrovers in Nigeria.

Er zijn honderden commerciële partijen, allen met zelfverklaarde betrouwbaarheid, die dergelijke certificaten uitgeven. Wie zou u het meest vertrouwen? (a) het Amerikaanse VeriSign, de wereldmarktleider, die bij verlies van zijn geheime sleutel vele miljarden euro’s kwijt is of (b) het piepkleine DigiNotar. Bij beide organisaties worden de certificaten binnen 24 uur geleverd en kosten ze een paar honderd euro per stuk.

De mondige digitale burger zou versteld zijn geweest om te vernemen dat de overheid, voor haar paar honderd benodigde certificaten, de voorkeur gaf aan DigiNotar. De schade die burgers hebben geleden door DigiNotar zal niet worden vergoed, want multinationaleigenaar Vasco heeft onmiddellijk zijn handen afgetrokken van zijn dochteronderneming en faillissement aangevraagd. Van het aanvaarden van wettelijke aansprakelijkheid voor het geblunder is blijkbaar geen sprake. Vasco is trouwens het bedrijf dat verantwoordelijk is voor de veiligheid van het internetbankieren bij de Rabobank.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s