Een 16-jarige jongen lukt het 4 grote providers in Nederland in de hoogste staat van paraatheid te krijgen. Een flauwe grap blijkt later. De jongen wordt op zijn vingers getikt en moet netjes zijn spijt betuigen. Maar wat als anonymous hier nu echt achter had gezeten en alle gegevens die beschikbaar zijn bij deze providers op straat zouden komen te liggen?
Security is hot!
Webwereld start in 2011 hun ‘lektober‘ actie en legt in oktober elke dag een beveiligingslek bloot in een website of overheidsdienst. Ze verdedigen hierin het aansporen tot hacken als hun morele plicht om de wereld veiliger te maken. Het Nederlands Genootschap van Hackende Huisvrouwen is geregeld in het nieuws en zorgt er een aantal weken geleden bijna voor dat de directie van het Groene Hart ziekenhuis wordt ontslagen voor het onzorgvuldig omgaan met persoonsgegevens. Door al die lekken in de beveiliging van gegevens en netwerken, kan het Delftse bedrijf Fox-IT de vraag niet meer aan! Iemand die paranoïde is, zou ze kunnen verdenken van banden met deze hackers :-) Wat uit dit alles in ieder geval blijkt: security is hot!
De vrije hand
De gemiddelde systeembeheerder bij een kleine gemeente of minder bedeeld ziekenhuis kan natuurlijk nooit tegen opboksen tegen die whizzkids die elk lekje weten te vinden, hoe minuscuul ook. Nu zijn er natuurlijk oplossingen te bedenken, ook voor kleinere organisaties, om goed beveiligde omgevingen op te zetten. Denk aan cloudoplossingen waarbij centraal aangeschafte software (door meerdere partijen gefinancierd en dus met meer budget) goed beveiligd kan worden. Met name in overheidsland wordt dit soort clouddiensten geschuwd. Afgeboekte investeringen, vendor locking, ego’s en angst voor het onbekende zijn hier de oorzaak van. En de politiek helpt daar natuurlijk vrolijk aan mee. SP-Kamerlid Van Bommel die angst en onzekerheid gaat zaaien over het gebruik van de (i)Cloud! Dan weet je in ieder geval zeker dat we nooit de handen ineen gaan slaan en dat hackers de komende decennia gewoon vrij spel krijgen.
Heal the world…
Veel hackers verschuilen zich achter een soort morele plicht om een wereld te creëren waarin al onze gegevens veilig bewaard worden. De gemiddelde werkwijze van een hacker is het zwakke schaapje uit de kudde kiezen en dit dan op brute wijze om zeep helpen. Negatieve media-aandacht voor het bedrijf: “hebben die sukkels zomaar onze gegevens op straat gegooid!”. En de hacker? Die krijgt een schouderklopje en een box, omdat hij het bedrijf heeft behoed voor een aanval van een ‘echte’ hacker.
Er klopt iets niet
Ik weet nog goed dat het bedrijf waar ik ben begonnen, overwoog een hacker aan te nemen die een site van ons had gekraakt. De argumenten waren dat deze jongen erg slim was en ons kon helpen met het beveiligen van onze oplossingen. Daarnaast wilde we hem natuurlijk niet tegen de haren instrijken, dus hebben we ook nog maar een fles whisky voor hem gekocht in de hoop dat hij ons maar weer met rust liet. Als je er over nadenkt is dit natuurlijk te gek voor woorden. In het Midden-Oosten zijn er landen waar ze je handen afhakken als je iets pikt. Als je een juwelier overvalt en je gooit de buit op straat voor iedereen om op te pakken, dan ga je gewoon de nor in. Ik heb nog nooit iemand horen roepen dat die juwelier zich maar beter had moeten beveiligen, of dat de groenteboer ook maar niet zo stom had moeten zijn om zijn sinaasappelen buiten neer te zetten.
Een oproep
Nu lijkt het misschien dat alleen de gehackte bedrijven gedupeerd zijn. Maar in feite zijn die hackers uit op wat van jou en van mij is. Vandaar dat ik een persoonlijke oproep zou willen doen…
Lieve hacker,
Wat ben je toch slim. Jouw kennis en kunde ten aanzien van security is weergaloos. Zoals jij op eenvoudige wijze toegang kunt krijgen tot mijn gegevens is met alle superlatieven van de wereld niet te prijzen. Je bent de koning van de buffer-overflow en van de script injection. Hoe jij een firewall kunt blussen is ongekend en doet kaken op de grond vallen van bewondering. Hoe jij zonder enig eigenbelang de strijd aangaat (voor mij!) tegen al die onkundige bedrijven maakt me stil van ontroering. Hoe jij jezelf (met name sociaal) opoffert voor een beter beveiligde wereld, zou genoeg moeten zijn voor een nominatie voor de hoogst mogelijke onderscheiding. Al die bedrijven die je het licht hebt laten zien, zouden je dankbaar moeten zijn! Die onkundige directeuren en IT managers die zijn ontslagen door jouw briljante schijnbewegingen hebben het gewoon verdient! Wat ben je toch een held!
Nu heb ik een aantal organisaties gevraagd mijn gegevens te bewaren voor mij. Gewoon omdat ik er zelf even geen plek voor had. Ook lukte het me niet om al mijn gegevens zo beschikbaar te stellen dat diegene die erbij mogen en moeten dat ook kunnen. Ik zou je daarom toch één klein dingetje willen vragen. Wil je alsjeblieft met je fikken van mijn gegevens afblijven!
Met vriendelijke groeten,
Arvid Smit
1 comment
Het ondoordacht doorvoeren van nieuwe technieken hebben we de afgelopen 25 jaar veelvuldig gedaan en de gevolgen (slechte beveiliging) zijn bekend. DNB en NL Overheid (bv de WBP) zijn niet voor niets erg terughoudend met Cloud en dat is terecht want Amerika (enige echt Cloud leveranciers) staat wel op de lijst waar NL overheid geen persoonsgegevens neer mag zetten. Laat staan medische gegevens…..
Het is een beetje kort door de bocht om de hackers de schuld te geven van iets wat ze eigenlijk niet gedaan, hebben en dat is onveilige systemen programmeren. Een beetje onderzoek naar de bron van het probleem (onveilige systemen) zou zeker goed zijn.
Comments are closed.