vrijdag 4 november 2011

Als data informatie is, is de cloud onveilig

Als data informatie is, is de cloud onveilig
De 'onbegrensde' vrijheid van het internet

Ongeacht tijd en plaats kennis en informatie delen en ontwikkelen. Creativiteit stimuleren. Nieuwe sociale mogelijkheden. Het internet biedt het allemaal. Een enorme bron aan inkomsten. Een enorm middel om boodschappen over te brengen. De gebruikers produceren en consumeren informatie.  De informatie zelf kan heel waardevol zijn. Zo waardevol dat er iemand grof geld voor betaalt of criminele activiteiten hier voor over heeft. Zolang onzeker is van wie de informatie is, is de producent niet vanzelfsprekend ook degene die hieraan verdient. Als die informatie niet waardevol is, dan is het gedrag van de gebruikers dat des te meer. Zo kan op mondiale schaal informatie aangeboden worden, bepaalt door iemand anders. Het grote vraagstuk over bijvoorbeeld autoriteit, het juridische systeem en internationale uniforme afspraken krijgt steeds grotere vorm. Wij gebruikers worden gebruikt door de mooie belofte van de onbegrensde vrijheid van het internet.

In de middeleeuwen mochten we het land bewerken van de leenheer. Wat we produceerde maakte hem rijk. Het was niet de bedoeling dat onderdanen 'slim' werden, dan werden ze mondig. We zijn toch wel wat opgeschoten sinds die tijd, want nadat we de 'autoriteit' naar de guillotine hadden gebracht, kreeg het volk meer inspraak. Zover is het in de digitale wereld nog niet. Er wordt nog schromelijk misbruik gemaakt van onze onwetendheid. Ja tuurlijk, in de middeleeuwen waren ze heus heel vaardig met het bewerken van het land. Gebruikers zijn ook heel vaardig online. Maar we zijn absolute digibeten als het gaat om wat er 'echt' gebeurt in onze virtuele wereld. Die informatie wordt wijselijk bij ons vandaan gehouden. Weer. Hebben we dan niets geleerd sinds de middeleeuwen? Dat we door ons te bundelen een veel betere situatie krijgen?

Het grote gevaar is dan ook, dat als we op dit moment nog leven in het Parijs van 500 jaar geleden wat de digitale samenleving betreft,  dat we nog te maken krijgen met twee wereldoorlogen.  Waarbij in de laatste op ingenieuze wijze van communicatiemiddelen gebruik werd gemaakt om ons ras tot een mensonterend niveau te verlagen. Want wij gebruikers volgen iedereen die ons interessant lijkt. En door informatie te manipuleren wordt voor ons bepaald wie interessant is. Het is altijd al zo gegaan. Alleen nog nooit op de schaal waarop dit mogelijk gemaakt zou kunnen worden door het internet.

Maar die les hebben we al geleerd. We moeten hem alleen in de context van vandaag plaatsen. En met diezelfde middelen kunnen we de ontwikkelingen sturen. Maar dan moeten we onze kennis wel ontwikkelen op dit gebied. En moeten we wel actie ondernemen. In de geschiedenis is het telkens zo geweest dat in het begin van een nieuw tijdperk er een overheersende macht was, die op dictatoriale wijze invulling gaf aan het 'managen' van mensen, tijd en ruimte. Mensen hebben zich er tegen verzet, om vervolgens zelf invulling te geven aan hoe dat 'managen' voor zoveel mogelijk een zo'n goed mogelijke situatie bewerkstelligde (Magna Carta in UK werd in 1200 getekend). Dat moeten we nu ook doen. De macht van de giganten is groot, maar de les om ons te bundelen voor een betere kwaliteit van leven, die hebben we al geleerd. We zijn geen novices meer. We kunnen data produceren en consumeren, maar moeten dat op dusdanige wijze doen dat dit geen monetaire waarde meer heeft. Dat zou betekenen dat ons economisch stelsel, helemaal achterhaald maar bij gebrek aan beter nog steeds het 'allerbelangrijkste' middel om te krijgen wat je wil, en de drijfveer van allerlei korte termijnontwikkelingen die niet allemaal evenveel bijdragen aan gezonde en veilige leefomgeving waar ieder mens recht op heeft,  plaats moet maken voor een alternatief dat waarde bijvoorbeeld toekent aan iedere activiteit die de kwaliteit van leven in het algemeen verhoogd. Maar zover zijn we nog niet. Zoals in de ontwikkeling van digitale oplossingen maar eigenlijk in elke situatie, begint het met het definieren van de elementaire zaken. Data zijn gegevens, zonder duidelijk verband. Daar heb je dus niets aan. Dus moeten we van de informatie die wij produceren en communiceren data maken. 

Hoe we dat doen is ten eerste zorgen dat je weet hoe jij 'onzichtbaar' (www.anonimyzer.com) wordt, oftewel jouw informatie kan niet zomaar meer gebruikt worden door anderen. Een mooi voorbeeld haalt Eli Pariser http://www.ted.com/talks/eli_pariser_beware_online_filter_bubbles.html aan met hoe Google onze informatie toestroomt zonder dat we het weten manipuleert. Maar er zijn middelen die ons bijstaan. Informatie die ons leert goed om te gaan met het internet, instellingen http://www.thefilterbubble.com/10-things-you-can-do die onze privacy beschermen, technische middelen die onze vrijheid beschermen. Samen, want daar ligt onze kracht. 

Als informatie data wordt, is de cloud veilig.

vrijdag 16 september 2011

Make believe

Make believe
Cloud. Geen hype. Geen cult. Maar als we 'ze' moeten geloven, een goedkopere en betere digitale toekomst. Wie zijn  'ze'? Google? De autoriteiten? De gebruikers? In april lagen er diverse bedrijven plat vanwege de storing bij Google en vandaag nog bij Microsoft. Gelukkig wordt uitgebreid uit de doeken gedaan hoe je dit soort storingen kunt overleven en dus toch gewoon 'volledig' kunt vertrouwen op de wolk. Niet dat je normaal gesproken een wolk vertrouwt; behalve als je een engel bent. Zoals Google. Hoewel de meningen erg verdeeld zijn over de betrouwbaarheid van onze engelen die cloud aanbieden. De engelen hebben vaak een soort onbegrijpelijke 'bewaarzucht'. 
Google verzamelt bijvoorbeeld locatie en unieke nummers van wifi-routers en tevens al jaren als bijvangst de payload data van onversleutelde draadloze netwerken. Hieronder vallen e-mails, medische gegevens en financiële data. Volgens Google is dit per abuis gebeurd en is deze data reeds vernietigd. In Amerika is Google al verwikkeld in een rechtszaak over het oogsten van payload data. 

Mijn data is niet meer mijn data
Licht en luchtig dachten we bij cloud; weinig kosten  en lekker buiten de deur. Beetje verdelen,  het komt allemaal best goed. Maar we weten toch dat voor niets de zon op gaat, of zijn we dat alweer vergeten? Telkens als er iets nieuws komt, geloven we het weer. They make us believe it, of: we like to believe in make believe. Ik geloof in de cloud. Ik geloof ook dat we gebruik moeten maken van de digitale ontwikkelingen, zeker als dit positieve invloed op het energieverbruik heeft.   En kostenbesparend is,  wat voor bedrijven in de huidige economische situaties in veel landen voor continuïteit zorgt. Maar ik vertrouw het niet als onze data en onze privacy hierdoor niet langer 'veilig' zijn. Als men mij niet kan garanderen dat anderen geen toegang hebben tot mijn data, geef ik mijn data dus in feite over aan onbekenden. Data die cruciaal is voor de continuïteit. Data die de core is van competenties. Data van mijn klanten. De cloud zoals deze nu wordt aangeboden, is make believe. Mijn data is niet meer mijn data, maar ik ben er wel verantwoordelijk voor en dus aansprakelijk als data van mijn klanten op straat ligt. Want ik moet zelf controleren dat de providers er goede beveiliging op na houden. Succes iedereen…
Misschien moet ik straks wel abonnementskosten betalen voor het gebruik van mijn eigen data. Dan krijgen we een nieuw specialisme; datageneratoren die data in de cloud zetten en datagebruikers die in de fysieke wereld de data omzetten in acties. En dan heeft de aanbieder de touwtjes in handen; zij geleiden de data via hun netwerk en bepalen dus wat er mee wordt gedaan en waar het staat.
Ik zie het zo voor me:
Handen met touwtjes
Wolk
Poppetjes aan touwtjes

Rommelen
Dat vinden de autoriteiten natuurlijk weer niet leuk. Die gaan dan rommelen in de data (Patriot wet van de US), want zij staan natuurlijk boven Google. Denken ze. Maar als Google zijn gewicht in de strijd gooit, zucht en kreunt het recht. Want Google is al veel verder dan de jurisprudentie. Die staat nog in de kinderschoenen, zoals blijkt in de praktijk (Wet van 1995 Directief Databescherming 95/46/EC). En ook het aanpassen van gebruikersvoorwaarden geeft aanbieders rechten om met jouw data te doen wat ze willen. En die wijzigingen hoor je pas als ze al zijn doorgevoerd, zoals onlangs bij één van de grootste social network aanbieders gebeurde. Maar wat een opluchting, zij hebben het teruggedraaid…
Daarnaast komt dat ik zelf moet weten waar het mijn data staat, want het is tegen de wet dat de data buiten Europa wordt bewaard. Hoe kom ik daarachter dan als providers niet willen/kunnen zeggen waar mijn data is? Of als er een overname is door een Amerikaans bedrijf? Of als mijn data wel in Europa staat, maar beheerd wordt door een op de Amerikaanse beurs genoteerde organisatie?
Gelukkig dat ook Google ergens op kantoor een bordje heeft hangen met de woorden: we don't do anything evil.  Of iets in die trend. Maar wat als degene die aan de macht zijn, andere waarden en normen hebben… wat dan?

Wat als zij een bordje ophangen met: de wereld zal geschokt zijn, met wat ik ze ga laten zien. Als soort van evil promise na acties waarbij de wet overtreden is. 
Dat is geen wereld van make believe. Dat was  onlangs nog in het nieuws. Data kan in de cloud, zolang je de cruciale data maar bij je houdt en de vaardigheden om je onafhankelijkheid en continuïteit te waarborgen. Stay in control. In our world only the sun comes up for free. Gemak heeft altijd een prijs en dat is prima. Maar weeg af wat de 'kosten' zijn, niet alleen de financiële. De virtuele wereld lijkt op een wereld van 'make believe', van onbegrensde mogelijkheden en de meest fantastische ontwikkelingen. Maar het is geen 'make believe'.  Het is een echte wereld.



maandag 28 februari 2011

De driehoeksverhouding tussen eindgebruikers, overheid en beveiligingsexperts

De cybercriminelen lachen het hardst, schrijf ik in november. De een na de andere spamronde zgn. van de ING ziet het licht. De een nog vernuftiger dan de ander. Zo is er een ronde waarbij de eindgebruiker eerst een mailtje krijgt, dat ze ergens hun gegevens moeten invoeren. De meesten snappen wel dat dit overduidelijk spam is. Dan volgt een mailtje van de ING (zgn.) dat er spamberichten de ronde gaan die de gegevens van ING klanten proberen te ontfutselen en men wordt aangeraden op een link te klikken om naar hun account te gaan en vervolgens komt men alsnog op een foute website. Of b.v. Stuxnet, een geavanceerd staaltje software dat volop in het nieuws staat vorig jaar. Volgens bronnen gemaakt om de uranium productie te verijdelen. Of het door overheden of cybercriminelen gemaakt is, is onduidelijk. Deze vraag stel ik ook al in mijn blog van eind november. Want wanneer is iets cybercriminaliteit?

Afhankelijk van de doelstelling en/of wie de autoriteit heeft, wordt software ingezet t.b.v het realiseren van eigen belangen en doelstellingen. Webwereld meldt in februari van dit jaar dat Anonymous (mede opgericht door een Nederlander) code van Stuxnet heeft gekaapt om haar eigen doelstellingen te verwezenlijken, namelijk overheden en bedrijven aanvallen die Wikileaks blokkeren. Belangrijk is dus dat privacy gerespecteerd wordt zodat overheden die misbruik maken van hun macht, niet onbeperkt hun macht kunnen uitbreiden ten koste van het volk. En iedereen die gebruikt maakt van de digitale wereld moet zich bewust zijn van de mogelijkheden en vrijheden die belemmerd kunnen worden door anderen, zoals cybercriminelen, maar ook overheden, bedrijven etc als zij software inzetten voor hun eigen doelstellingen. Hier stelde Peters van Groenlinks al eerder vragen over aan Ivo Opstelten van het Ministerie van veiligheid en Justitie, aangezien de focus van het ministerie de komende jaren is het waarborgen van de digitale veiligheid en de grens tussen beveiligen en privacy een grijs gebied zijn.

En het is zeker niet voor niets dat de politie een steeds proactivere houding ten opzicht evan Cybercrime moet hebben en er meer van hen wordt verwacht. Cybercrime zoals Stuxnet kan rampen veroorzaken van het format tsjernobyl, zoals Webwereld onlangs meldt.  Na de Ddos aanvallen op de Rabobank en het aantal botnets die het licht zien, wordt de noodzaak van beveiliging steeds belangrijker. Hergebruik van code zoals Fast flux (wordt gebruikt door cybercriminelen om zich te verstoppen) in nieuwe botnets, die op kortetermijn door experts ontmaskerd zijn, de cybercriminelen hebben vrij spel. Begin dit jaar bericht Security.nl dat er een nieuw botnet Storm Signal ondekt is door ESET, dat Fast Flux gebruikt en Automatisering Gids meldt in februari dat er opnieuw een nieuw botnet ontdekt is, Wibimo. En in 2007 schreef Tweakers al over deze toepassing van Fast Flux! En dat is nog lang niet alles…Cybercriminaliteit groeit exponentieel concludeert Nu.nl in augustus 2010.

Dus hoe gaat de overheid dit dan aanpakken? Het lid Recourt van de PvdA stelt deze vraag aan Opstelten van het ministerie van Veiligheid en Justitie. Maar het antwoord om cybercriminaliteit effectief aan te pakken is niet eens zo moeilijk. Beveiligingsleveranciers volgen de activiteiten van de cybercrimineel al jaren. Ze analyseren hun code continue. Zij hebben meer informatie dan wie ook over de malware en de makers hiervan.  Novomesky  van ESET is hier zeer duidelijk over. Dus de eerste en simpelste stap is de focus op een goed samenwerkingsverband tussen overhead en experts, zodat niet langer de cybercrimineel aan het kortste eind trekt, maar onze veiligheid door goede informatievoorziening op basis van kennis van experts, goede communicatie tussen experts en mensen belast met het opsporen van criminelen t.b.v. onzeveiligheid en het verhogen van onze eigen deskundigheid en bewustzijn van onze verantwoordelijkheid t.o.v. de vrijheid die de digitale wereld ons biedt. Vandaar uit kunnen we onze informatie en kennis vrijelijk delen en onze mogelijkheden onplooien.