In mijn boek “Digitale stormvloed” sta ik uitgebreid stil bij tussen de parallel die er is tussen fysieke veiligheid en digitale veiligheid. Het kantelpunt bij fysieke veiligheid in vooral de logistiek is evident de ondergang van de Titanic. In de digitale veiligheid is dat kantelpunt nog niet geweest. De passage uit het boek treft u hieronder aan.
Wat de samenleving veiliger kan maken, hebben we in vergelijkbare situaties al geleerd. Na een groot veiligheidsincident in de scheepvaart, met een trein of in de luchtvaart volgt steevast een publiek rapport. We trekken lessen die vaak uitmonden in duidelijke regels. Na het verdwijnen van de MH370 wordt overwogen om gebruik te gaan maken van het Inmarsat-satellietsysteem dat momenteel ook in de zeevaart in moeilijk te volgen gebieden een rol speelt. Na de crash van het vliegtuig van Turkish Airlines bij Schiphol zijn bijvoorbeeld verbeteringen in de hulpverlening doorgevoerd. Na het neerschieten van de MH17 is afgesproken dat een aantal inlichtingendiensten beter waarschuwen voor gevaarlijke gebieden en is besloten om niet langer over conflictgebieden te vliegen als dat niet echt noodzakelijk is. Maar in de informatiebeveiliging is het nog niet gebruikelijk om na een groot incident breed lessen te trekken en bindend regels op te leggen. Het lijkt erop alsof de wereld wacht op de digitale ondergang van een Titanic voor er echt iets verandert.
Als een bedrijf bij een presentatie wil laten zien dat juist zij een goede partner zijn voor informatiebeveiliging, dan begint het verhaal doorgaans met statistieken: hoeveel records er elke minuut worden gelekt, wat een gemiddeld incident kost, hoeveel incidenten er zijn, wat de maatschappelijke schade is, hoeveel meldingen er van datalekken zijn gedaan en ga zo maar door. Cijfertjes, cijfertjes en nog meer cijfertjes met als onderliggende boodschap: het is allemaal heel erg slecht gesteld met beveiliging. Deze zorgelijkheid is als sneeuw voor de zon verdwenen, wanneer een hack in het nieuws komt. Dan nemen we het incident voor kennisgeving aan. We vragen niet door hoe het komt en nog belangrijker: wat we kunnen leren om de hack te voorkomen.
Dat verschijnsel is niet nieuw en valt te vergelijken met veiligheidsincidenten. In 1120 loopt het Engelse White Ship aan de grond: 300 mensen komen om het leven. Ook de troonopvolger voor het Britse koningshuis vergaat met het schip en daardoor start een periode van twintig jaar ruzie om de troon. Kamikazes – oorspronkelijke betekenis: ‘goddelijke wind’ – redden Japan tot twee keer aan toe van een Mongoolse invasie. In deze hevige stormen vergaan in 1274 en 1281 diverse Mongolische schepen met meer dan 100.000 doden als gevolg. In 1647 loopt het Nederlandse schip de Prinses Amelia aan de grond met 86 doden als gevolg. In 1694 komen 498 mensen om het leven toen HMS Sussex in een storm vergaat en in 1703 kwamen meer dan 1.500 mensen om het leven als dertien Engelse schepen in het kanaal vergaan. Het is zomaar een greep uit een grote reeks incidenten in de zeevaart. De ernst dringt wel door, er zijn cijfers, mensen zien het probleem wel, mensen zijn getroffen, maar fundamenteel verandert er niets.
In de ICT meten we niet in omgekomen mensen, maar in vooral in datarecords die gelekt zijn. Inmiddels komen met enige regelmaat aantallen van miljoenen inloggegevens of honderden miljoenen creditcardnummers langs, met Yahoo! als voorlopig dieptepunt met naar schatting meer dan een miljard records. Soms kost een datalek daadwerkelijk mensenlevens. Dat kan bijvoorbeeld als een zelfrijdende auto niet functioneert, beveiligingssystemen niet aanslaan of bijvoorbeeld medische apparatuur het laat afweten. Maar ook die incidenten blijven een nieuwsfeit. Er is zelfs een zeer toonaangevende lijst met de top-10 van het vrijwilligersproject OWASP met meest prominente technische oorzaken voor hacks. De oorzaken van de hacks wisselen eens in de drie jaar van positie. Er komt er eentje bij of gaat er eentje af, maar de fundamentele oorzaken worden niet aangepakt, uitgebannen of fors verminderd. Dat is op zijn minst merkwaardig, aangezien een aantal zaken uit deze lijst zeer simpel te voorkomen zijn.
Bindende regelgeving
In de zeevaart volgt een breed gedragen besef dat er iets fundamenteel moet veranderen als de stoomschepen hun intrede doen. Deze boten varen sneller en door een gebrek aan verkeersregels gaat het weleens mis. Het aantal incidenten groeit hand over hand toe en het vertrouwen dreigt te worden ondermijnd. Daarom volgt in 1889 volgt een conferentie in Washington waar vooral verkeersregels op zee een belangrijk onderwerp zijn. De regels worden opgesteld, maar onder andere de Britten zien van deelname aan een verdrag af. De grote angst bij het bedrijfsleven is dat commerciële vrijheid in het geding zou komen als er regels aan de zeevaart zouden worden opgelegd. Verschillende landen maken, soms in samenwerking met andere landen, eigen regels. Het ontbreekt aan een algemene lijn en uniformiteit. Deze besluiteloosheid komt abrupt ten einde als de Titanic in 1912 na vijf dagen varen op haar eerste tocht zinkt na een aanvaring met een ijsberg. Het schip dat door de media was bestempeld als ‘onzinkbaar’ blijkt toch te kunnen vergaan. Onder de 1522 doden zitten veel prominenten en daardoor is er opeens een enorme ophef over de boot. De ramp spreekt enorm tot de verbeelding.
Het maatschappelijk debat dat volgt op de ramp is voor die tijd ongekend fel. Er is veel kritiek op de SS Californian een schip dat zich in de buurt van de Titanic bevindt en geen tijdige hulp biedt. Het schip heeft uren voor de ramp de Titanic gewaarschuwd voor drie grote ijsbergen, maar omdat er veel privéberichten worden gestuurd komt deze boodschap van de marconist pas uren later op de brug aan. Ook een bericht van de Californian dat zij omgeven zijn door pakijs komt niet door. Minuten voor de ramp gaat de marconist van het schip slapen en is er geen nachtdienst. Er worden lichtsignalen opgepikt, maar verkeerd geïnterpreteerd. Als uiteindelijk de Titanic zinkt, komt het langzaam verdwijnen van de lichten over als het wegvaren van het schip. Door alle misverstanden en miscommunicatie komt de SS Californian pas om 08:30 op de rampplek aan. Die hulp is dan te laat.
Ook het ontbreken van dwingende, uniforme regelgeving blijkt problematisch. De reder van dit onheilsschip blijkt er om esthetische redenen voor te kiezen het aantal reddingssloepen te halveren. Dat voorkomt volgens het bedrijf ook onnodige onrust bij de reizigers dat het varen op het schip gevaarlijk zou zijn. Een installatie voor morsecode is wel aan boord, al is ook dat niet verplicht. Dat betekent dat niet alle schepen over een dergelijke installatie beschikken. Wie een dergelijke installatie heeft, hoeft niet te voldoen aan een uitluisterplicht. Daarom kon de marconist van de SS Californian naar bed gaan en hoefde niemand het werk over te nemen. Dat niet ieder schip alert reageert op een mogelijke ramp is ook een manco in de regelgeving. Het bieden van die hulp is dan namelijk niet verplicht. De desastreuze gevolgen van deze keten aan gebrekkige regelgeving is bekend. In totaal komen bij deze ramp 1522 mensen om het leven. De zaak maakt door de omstandigheden zoveel indruk dat er nu iets verandert. In 1914 komt er voor het eerst een internationaal verdrag kwam (Safety of Life at Sea), waarin minimale eisen vast kwamen te liggen, zoals een plaats in een sloep voor iedereen, gebruik van radio, radiowacht, onderzoek naar rampen, de plicht om te helpen, het in kaart brengen van ijsbergen en meer. Veiligheidsregels worden de norm. Met enige regelmaat worden de regels herzien en aangescherpt.
In de ICT-industrie leven we overduidelijk in de periode die zich laat vergelijken met de tijd tussen de eerste Internationale Maritieme Conferentie van Washington in 1889 en de ondergang van de Titanic. We zien en onderkennen de problemen, willen we er best wel iets aan doen, maar komen niet tot harde minimale eisen die wereldwijd geaccepteerd worden. Software hoeft niet aan minimale kwaliteitseisen te voldoen. Ieder object mag hoe kwetsbaar ook op internet worden aangesloten, hoe gegevens worden opgeslagen is niet breed aan regelgeving onderworpen. Er bestaat geen plicht tot het monitoren of er daadwerkelijk een aanval plaatsvindt en er bestaat geen plicht om na een incident in openheid van de casus te leren. Daardoor is het beeld weinig hoopgevend. Miljarden apparaten worden aan internet gekoppeld, waarbij een deel wordt gekraakt en ingezet bij grote aanvallen. Bij simpele hacks is data vaak niet versleuteld en lekken nog veel persoonsgegevens naar criminelen met identiteitsdiefstal, fraude en andere criminaliteit als gevolg. Onderzoek leert dat veel beveiligingsincidenten pas na maanden of jaren worden ontdekt. Als de hacks ontdekt worden dan houden bedrijven dit vaak nog stil, waardoor de mensen – als echte slachtoffer – niet op de hoogte van de risico’s zijn. Ook blijft het vaak onduidelijk wat de echte oorzaak van incidenten is, waardoor we als industrie nauwelijks wijzer worden van de rampen die nu al hebben plaatsgevonden.
Er bestaat dan weliswaar enige regelgeving, maar die is – net als in de periode voor de ondergang van de Titanic – erg regionaal gebonden. Veel van die regelgeving is weinig expliciet, maar meer rond principes gebaseerd. Hierdoor ontbreekt het bij dienstverleners aan houvast van een minimale ondergrens waaraan ze moeten voldoen. Er is geen wereldwijde standaard die wordt omhelst. Ook is niet inzichtelijk voor mensen welke digitale dienstverlener betrouwbaar is, zaken goed heeft geregeld en verantwoord met persoonsgegevens omgaan. Meestal is onduidelijk wat er nu wel of niet aan beveiliging wordt gedaan. Ondertussen klaagt het bedrijfsleven via brancheverenigingen dat privacywetgeving en vooral hun databescherming direct marketing en big data hinderen. Meer regels, zoals de Europese privacy verordening, zouden dan ook schadelijk kunnen zijn voor de commercie. En sommige bedrijven wagen het zelfs te stellen dat het wijzen op privacyrechten en informatiebeveiliging onrust bij de gebruikers zouden veroorzaken net zoals de reder bang was voor onrust bij de onzinkbare Titanic. Of wat vaak ook wordt geroepen: de onrust omdat de gebruikersvriendelijkheid te veel te leiden krijgt, waarbij snel wordt geroepen dat er een strijd tussen gebruikersvriendelijkheid en veiligheid is. Wat nog altijd minder indruk lijkt te maken, is dat gehackte computers van bedrijven een zinkend schip kunnen maken. Slechte beveiliging en het ontbreken van internationale heldere afspraken en werkwijzen zijn net zo funest voor het bedrijfsleven en raken het imago van hele industrieën.
Helaas valt er in dit kader weinig positiefs over de politiek te melden. Er komen wel ‘cybercrimeverdragen’ of in normaal Nederlands verdragen voor criminaliteit die via internet wordt gepleegd, maar die gaan vooral over opsporing van binnendringers en de straffen die zij tegemoet zien. Maar zoals gesteld, is dat slechts een klein deel van de oplossing, omdat daders vaak niet gepakt zijn en daders ook vaak overheden zijn. Nergens rept men over verantwoordelijkheden van organisaties die andermans gegevens beheren, een minimale norm waar ze aan zouden moeten voldoen, zelfs niet over consequenties of sancties bij uitlokking. Nog altijd ontbreekt het aan een minimale set aan beveiligingseisen, waarvan we als gezamenlijke industrie zeggen: als je dat niet geregeld hebt, word je op zijn minst aangemerkt als nalatig. Ook voor de makers van de boten – de softwareontwikkelaars – gelden niet eens minimale beveiligingseisen waar de producten aan moeten voldoen. Er bestaat geen lijst met zaken die minimaal geregeld moeten zijn om het leeuwendeel van de aanvallen te voorkomen. Voor de hand liggende punten, die door autoriteiten snel controleerbaar zijn. In de zeevaart worden de eisen na andere incidenten uitgebreid met maatregelen die de veiligheid verder kunnen vergroten. Dat daarenboven nog meer specifieke eisen voor een toepassing of een risicoprofiel kunnen gelden, spreekt voor zich.
Ondertussen tekenen de scenario’s voor digitale rampen zich talrijker en nadrukkelijker af. Het massaal op straat liggen van persoonsgegevens, het platgaan van bedrijfsprocessen in een ziekenhuis of een haven door gijzelsoftware, het platleggen van systemen door honderdduizenden of miljoenen Internet of Things-apparaten of het bewust infecteren van nucleaire installaties, zoals in Iran zijn daar duidelijke voorbeelden van.
Maar ook vormen van misbruik die we nog niet hebben gezien. Wie gebruikt maakt van een Tesla-auto (model S, X60 of 60D) heeft wel een accu met 75 kWh aan boord, maar kan standaard 60 kWh gebruiken. Om de laatste 15 kWh te kunnen gebruiken om daarmee een grotere actieradius te krijgen moet daarvoor een licentie verkrijgen. Deze kost tussen de 4500 en 9000 dollar. Na de verwoestende werking van de orkaan Irma in het Caraïbisch gebied verzoekt een klant in Florida het bedrijf deze capaciteit beschikbaar te maken om de storm te ontvluchten. Het bedrijf besluit daarop alle auto’s in ontruimingsgebied tijdelijk van een groter bereik te voorzien door automatisch een update te geven. Ook andere automerken werken meer en meer naar een licentiemodel toe.
Zulke mogelijkheden in verkeerde handen maken sommige doemscenario’s niet zo denkbeeldig. Want een avondspits kan vervallen in totale chaos als auto’s opeens niet meer functioneren of een dramatisch kleinere actieradius hebben. Het op afstand toegang krijgen tot auto’s leidt vaker ook tot hacks. Chinese onderzoekers toonden in 2016 en in 2017 aan in staat te zijn een Tesla op zo’n 20 kilometer afstand te kunnen laten stoppen.
Digitaal gezien blijven wij, vooral om esthetische redenen, varen met krakkemikkige boten met te weinig sloepen, die noodsignalen negeren. De software van veel producten is vanuit beveiligingsoptiek van ronduit slecht en wordt door meerdere experts aangeduid als ‘brandhout’. De basis is daarom onveilig. We blijven doodleuk weigeren cryptografie in te zetten, ‘omdat het de verwerking zo vertraagt’. We negeren de update-adviezen ‘omdat het de operatie mogelijk verstoort’. We blijven werken met zwakke toegangsbeveiliging ‘omdat inloggen anders zo’n gedoe is’. En we hebben nog steeds geen harde eisen voor een continue radiowacht; iemand die waaks blijft kijken of er een beveiligingsincident optreedt. Niet zo gek dat meer dan 80 procent van de hacks pas na weken of maanden wordt ontdekt. Om veilig over de digitale oceanen te kunnen varen met anderen, is studie nodig. De rampen die er al zijn geweest moeten goed worden onderzocht. Bij incidenten wordt nog wel gezocht naar een technische oorzaak en het achterhalen van een mogelijke dader. Maar de stap verder die herhaling echt voorkomt, blijft buiten beeld. Zo missen we cruciaal inzicht in alle factoren die in opmaat naar een gebeurtenis een belangrijke rol hebben gespeeld. Daardoor kijken we niet verder dan alleen de technologie. We zien de ernst van de situatie wel in, maar passen deze logica als samenleving en als industrie niet breed toe. Nog niet. Kennelijk moet daarvoor eerst onze eigen ramp zich nog voltrekken, onze eigen Titanic. De ijsberg is in zicht. En dat is alleen nog maar het puntje.
