Go to Attachment page

We beseffen niet wat onze digitale levens waard zijn

Wie niet maalt om privacy, begrijpt niet wat er op het spel staat.

Het idee dat privacy dood is, is baarlijke nonsens. Sterker nog, met datalek op datalek is het duidelijker dan ooit geworden dat we een beter besef ontwikkelen over privégegevens. Wat zijn ze waard voor een bedrijf of crimineel? En wat betekent dat voor de manier waarop we zulke data beschermen?

Wat is data waard? Lastig. “Hoe verbind je een bedrag aan intellectueel eigendom?” vraagt McAfee-CTO Samani zich af. “Wat is de waarde van je creditcardnummer? Ja, je bent verzekerd tegen bankfraude en een gestolen kaart wordt geblokkeerd, maar hoe gebruiken criminelen die informatie verder?” Dat is geen zuiver hypothetische vraag: gegevens liggen op straat en worden misbruikt. Laten we eens kijken naar een paar voorbeelden.

Autorisatie via statische gegevens

Securityjournalist Brian Krebs laat eerder op de MPOWER-conferentie van McAfee waar we deze week aanwezig zijn bijvoorbeeld zien dat een geboortedatum en het BSN genoeg zijn om een woonadres te achterhalen. Hij tovert zijn eigen adres tevoorschijn via database SSNDOB.CC. Hij gebruikt het als illustratie van het grote probleem dat we statische informatie gebruiken voor autorisatie.

“Bel de bank, geef deze twee gegevens en je bent binnen.” Identiteiten baseren op statische gegevens (denkt iemand anders ook meteen aan vingerafdrukken?) is eigenlijk krankzinnig. Vooral sinds de ellende met Equifax, waar onder meer BSN’s en geboortedata met honderden miljoenen de straat op zijn gevlogen. Dat moet ons met de neus op dit feit drukken: informatie als een burgerservicenummer is absoluut onbruikbaar als verificatiegegeven voor een identiteit.

Wie heeft jouw BSN?

In Nederland is dit ook een probleem dat veel te weinig onderkend wordt. Hoeveel organisaties hebben jouw BSN in een database? De Auroriteit Persoonsgegevens heeft richtsnoeren waarin omschreven gaat in welke gevallen een ‘kopietje paspoort’ niet door de beugel kan (PDF), maar veel te weinig mensen malen erom. Je sportschool, de speelgoedwinkel waar je een bestelling afhaalde voor sinterkerst vorig jaar, de tandartspraktijk, je huiseigenaar – de meesten hiervan mogen het niet eens vragen, maar iedereen doet het. Erger: we geven het ook vaak op simpelweg omdat er naar wordt gevraagd.

Collega Donovan heeft ooit ettelijke weken met een zekere organisatie in de clinch gelegen omdat die zijn BSN wilde hebben, geheel tegen de regels in. Hij kreeg uiteindelijk zijn zin, maar simpel was het niet. Hij heeft veel stennis moeten maken om zijn gelijk te halen, terwijl dat eigenlijk een gegeven zou moeten zijn.

Ik vraag me af of ik zoveel ophef gemaakt zou hebben. Zou ik uit pragmatische overwegingen – er was een deadline en geen uitwijkmogelijkheden – niet gewoon overstag zijn gegaan? Dat terwijl ik beter zou moeten weten. Als bij mij zulke principes wellicht flexibel zijn bij een crisis, hoe staat het dan met mijn familie en vrienden, die al helemaal geen idee hebben van de consequenties van datalekken. Komt het überhaupt in mensen op om hier stennis over te schoppen?

Kruimelspoor

Het is pure waanzin dat een identiteit gekoppeld is aan één statisch gegeven, dat elke overheidsorganisatie gebruikt en overal rondslingert. In poststukken, in databases van particulieren, in overheidsbronnen – ik ben zelfs ooit bij een kapper geweest die erom vroeg. In dat geval maakte ik wél ophef, want er zijn tientallen kappers in de stad. Maar bij een leverancier met een behoorlijke monopoliepositie, zoals in het geval van mijn IDG-collega, zijn de persoonlijke kosten van weigering al snel onacceptabel.

Het gaat nu al een paar alinea’s over BSN’s – en dat is een vrij duidelijk probleem – maar hoe zit het met verouderde gegevens of accounts die je niet meer gebruikt? Dat Adobe-account die al zes jaar op straat ligt. Wat kunnen we daarmee? De LinkedIn-gegevens? Yahoo? Kickstarter? Deloitte? Badoo? Disqus? Brazzers? MySpace? Experian? Bitly? Dropbox? LiteBit? BTC-E? DailyMotion? Gawker? Forbes? BitTorrent?

Dit zijn maar een paar voorbeelden. De lijst van bedrijven die persoonsgegevens hebben gelekt is verontrustend lang (en ook Troy Hunt’s lijst is verre van uitputtend).

We kennen als IT’ers waarschijnlijk allemaal de voorbeelden van social engineers die zich een weg door helpdesks kletsen met kruimels informatie om uiteindelijk de slag te slaan. Wired-journalist Mat Honan ondervond dit een paar jaar geleden ten lijve toen zijn iCloud werd gekaapt door mensen die zich via Amazon-gegevens hadden binnengekletst bij de telefonische helpdesk van Apple.

Hierna: Het is een mythe dat privacy niet leeft.

“Het is een mythe dat mensen niet malen om privacy”, zegt Samani. “Dat doen ze wel, ze begrijpen alleen de implicaties niet.” Hij heeft zeker een punt. Ik vermijd het p-woord bijvoorbeeld in de kop van dit artikel, omdat ik weet dat dan maar weinig mensen dit stuk gaan lezen. Dat terwijl ik weet dat mensen zich wél druk maken over organisaties als Deloitte en Equifax die persoonlijke gegevens verliezen.

Besef begint te komen

Jaren geleden, toen RSA Europe nog bestond en in Amsterdam werd gehouden, sprak ik Trend Micro’s Rik Ferguson naar aanleiding van het 2020-project van het bedrijf, dat toen nog toekomstmuziek was. Hoe zou de wereld er qua beveiliging uitzien over pakweg tien jaar?

Hij voorspelde dat we in de toekomst ons beter bewust zouden worden van wat onze data waard is. Generaties na ons zouden het als betaalmiddel gaan behandelen en heel bewust omgaan met op welke momenten ze privacygevoelige gegevens afstaan en tegen welke beloning, zo verwachtte hij.

Daar moest ik aan denken toen McAfee’s Vincent Weafer een voorbeeld aanhaalde van jongere generaties die twee profielen op social media hanteren: eentje voor persoonlijk gebruik en een openbare.

Los van het feit dat al die gegevens nog steeds op dezelfde plek liggen, lijkt dat een stap in de goede richting vergeleken met het tijdperk waarin mensen zonder na te denken hun baas afkraakten op Facebook en vervolgens ontslagen werden. Niet dat dit niet meer gebeurt overigens, maar er kruipt wel een stukje bewustzijn in bij de maatschappij over de grenzen aan het delen van informatie.

Privacy en beveiliging

Waar ik altijd een beetje moe van word is de vermeede tegenstelling van privacy en beveiliging, zoals de politiek het vaak framet. Alsof je privacy moet opgeven om de illusie van veiligheid te vergroten. Pertinente nonsens! Privacy en beveiliging zijn hetzelfde ding, zoals je al jaren hebt kunnen zien in de praktijk. Privacy in de IT draait er in feite om dat het beter is om data obscuur te houden, want je weet niet wat de schade is als het wordt gestolen.

Het probleem is in de kern dat we privacy onvoldoende begrijpen. We hebben hier op Computerworld al eens voorbeelden aangehaald zoals het Zwarte Piet-kostuum op Facebook, wat je over 20 jaar wellicht niet meer kunt uitleggen (“toen was dat heel gewoon, hoor”), het geval van de moeder die de kinderbescherming op haar dak kreeg omdat een drugsverslaafde vrouw haar identiteit had gestolen, de vrachtwagenchauffeur wiens rijbewijs werd ingetrokken omdat de gemeente een postzak met paspoorten had verloren – en meer van dat soort schrijnende randgevallen.

Schaalvergroting en de positieve noot

Maar het blijven geen randgevallen. Dat waren incidenten en we krijgen – gegarandeerd – te maken met een structureel probleem. In een tijd waarin niemand meer schrikt van 150 miljoen records privacygevoelige gegevens die op straat komen te liggen, zijn we murw geworden voor het issue over de gegevens die openbare informatie worden, laat staan de beveiligingsproblematiek zelf. Die schaalvergroting is onvermijdelijk als je ziet hoe criminelen zich op automatisering hebben gestort.

Misschien is het niet eens een slechte zaak. Als nu je identiteit wordt misbruikt, heb je een fors probleem, vooral omdat er weinig procedures zijn. Er wordt onvoldoende rekening gehouden met deze nieuwe realiteit waarin databanken met alle gegevens over jou en de jouwen online te vinden zijn. Als we op een privacydystopie afstevenen, móét dat wel gebeuren. Als straks elke dag 10.000 Nederlanders aankloppen bij de gemeente over identiteitsfraude, wordt er vast wel iemand ergens wakker. Toch?


Comments are closed.