Honderd miljoen identiteiten

Door Niels Huijbregts, 18 December 2006

In de Verenigde Staten is een droeve mijlpaal bereikt: op 13 december meldde privacyrights.org het hondermiljoenste geval van inbreuk op privacy door slordigheid. In Amerika zijn ze zo mogelijk nog gekker op het opslaan van persoonsgegevens dan bij ons; werkelijk overal moeten consumenten, patienten, studenten hun naam, adres en sofinummer opgeven. Zo vaak zelfs dat de meeste Amerikanen hun Social Security Number uit hun hoofd kennen. Telkens wanneer die gegevens moeten worden opgegeven, komen ze terecht in een database op een computer. En al die verschillende databases worden met zeer verschillende mate van zorgvuldigheid beheerd.

Diefstal van identiteit is in Nederland iets waar we heel af en toe iets van horen, wanneer bijvoorbeeld iemands creditcard gebruikt is door een boef. Maar veel gewicht heeft de term hier niet; in Nederland is je identiteit namelijk niet gelijk aan je credit card nummer. In Amerika is identity theft echter een veelvoorkomend probleem. Jaarlijks wordt op deze manier in de VS voor ruim 50 miljard gefraudeerd, wordt geschat.

Het Amerikaanse systeem vertrouwt steeds sterker op contactless technology, waardoor je steeds meer diensten en producten kunt verkrijgen zonder dat je daarvoor iemand hoeft te spreken. Het wordt daarom steeds lucratiever om iemands identiteit te stelen. En behalve lucratief is het ook behoorlijk gemakkelijk. Met identiteit wordt hier namelijk niks filosofisch bedoeld; wanneer je de combinatie van naam, adres, geboortedatum, sofinummer en credit card nummer kunt bemachtigen, heb je alles in huis om je voor te doen als een ander. En het verkrijgen van die gegevens valt reuze mee: er zijn zo ontzettend veel databases waar al die gegevens in opgeslagen zijn, dat het niet moeilijk is er een te vinden die niet zo heel goed beschermd wordt. Privacyrights.org houdt sinds februari 2005 een lijst bij van incidenten waarbij beschermde persoonsgegevens openbaar worden door slechte computerbeveiliging, social engineering en gestolen laptops.

Altijd weer die gestolen laptops. Ook in Nederland duiken berichten over gestolen laptops telkens weer op in de media. Niet omdat laptops Heel Erg Bijzonder zijn. Een laptop kost 1000 euro en is meestal gewoon verzekerd, dus de nieuwswaarde van zulke incidenten zou niet erg hoog moeten zijn. Ze vallen in de categorie gestolen fietsen en brommers. De reden dat er toch over geschreven wordt, is natuurlijk dat niet de hardware, maar de informatie op die hardware gestolen is. Dossiers van belangrijke strafzaken, terrorisme-onderzoeken, pensioensgegevens en strategische militaire zaken zijn in Nederland op deze manier openbaar geworden.

Gek genoeg wordt in deze nieuwsberichten vooral benadrukt hoe erg het is dat er zo slordig wordt omgesprongen met computers. Iemand heeft zijn laptop laten liggen in de trein, ooh! Een vergeten memorystick in een huurauto, aah! Een computer die zomaar bij het grof vuil langs de weg is gezet, oeh! Wat een onzin! Iedereen vergeet wel eens iets, dat is het probleem niet.

Wat wel het probleem is: al die geheime en privacygevoelige informatie is onbeschermd opgeslagen. Had de eigenaar van de laptop gezorgd voor beveiliging van de gegevens op de computer, dan was er niets aan de hand geweest. De versleutelingsmethodes die tegenwoordig algemeen beschikbaar zijn voor de encryptie van computergegevens, zijn zo sterk dat het decennia zou kosten om de code te kraken. Het verhaal ziet er dan heel anders uit: Een laptop met voor de dief volkomen onbruikbare informatie is gestolen; da’s vervelend, maar simpel op te lossen door een nieuwe laptop te kopen. Het hoeft in ieder geval niet in de krant.

Versleuteling van de harde schijven van laptops en andere computers is bij sommige bedrijven gewoon standaardbeleid. Gevoelige informatie moet immers niet in handen van derden komen. De boekhouding, plannen voor nieuwe producten, marketingstrategieën, het zijn allemaal zaken die concurrenten best eens interessant zouden kunnen vinden. In een organisatie die winst wil maken is de waarde van zulke gegevens duidelijk: verlies ervan levert schade op. Je kunt die informatie, je eigen kostbare informatie, dus maar beter beschermen.

Heel anders werkt het vaak bij persoonsgegevens. Persoonsgegevens zijn niet het eigendom van de organisatie die ze opslaat, maar van de mensen over wie ze gaan. De waarde van die gegevens is veel moeilijker in geld uit te drukken dan bijvoorbeeld nieuwe marketingplannen, waardoor die waarde minder evident is. Het komt daardoor voor dat zulke gegevens niet bijzonder goed beschermd worden. De lijst van privacyrights.org geeft een goed beeld van dit probleem in Amerika. Het zijn allemaal incidenten die voorkomen hadden kunnen worden met gewone computerbeveiliging.

Maar dus ook in Nederland moeten we oppassen. In haar boek Medische Geheimen toonde Karin Spaink aan dat het goed mogelijk is, elektronische dossiers van duizenden patiënten te bemachtigen. Die bevatten geen gegevens waarmee je de identiteit van die patiënten kan stelen, maar het zijn toch bepaald geen gegevens die zomaar op straat moeten komen te liggen. Ook hier zou computerbeveiliging vanzelfsprekend moeten zijn.

Databescherming op computersystemen van organisaties aan wie we onze persoonlijke gegevens toevertrouwen, is iets dat we als samenleving mogen verwachten en zouden moeten eisen. De Wet Bescherming Persoonsgegevens zegt er in artikel 13 het volgende over:

De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen.

Een organisatie die mijn persoonsgegevens opslaat, moet dus zorgen voor een technische beveiliging volgens de actuele norm. De actuele norm is volgens mij 256-bits encryptie. Op de naleving van deze verplichting zou van mij een stuk strenger gecontroleerd mogen worden.

Voor iedereen die nu bang is dat het leven hierdoor een stuk ingewikkelder gaat worden: het valt allemaal behoorlijk mee, de software staat misschien zelfs al op je computer en je merkt er niks van. Apple computers kunnen al jaren gebruikmaken van een encryptieprogramma dat standaard in het OS X besturingssysteem zit, waarmee de volledige hard schijf kan worden versleuteld. Windows kan bestanden en mappen versleutelen, maar voor een echte oplossing om de hele harde schijf te beschermen moeten gebruikers nog even wachten op Vista, de nieuwe versie van Windows die met BitLocker dezelfde functionaliteit zal bieden als Apple’s FileVault. Gebruik die mogelijkheden! Een goed veiligheidsbeleid voor computers en informatie is een vanzelfsprekende oplossing die honderd miljoen gênante situaties kan voorkomen.

Een bijdrage van Niels Huijbregts

Niels werkt op de afdeling Public Affairs van XS4ALL als woordvoerder.

Reacties

Commentaar is gesloten

  1. Folkert van Heusden 18 December, 2006 12:56:52

    Zorg wel voor niet-ge-encrypte backups die dan wel weer op een beveiligde locatie zijn opgeslagen (een kluis bijvoorbeeld). Het zou namelijk best naar zijn als om wat voor reden dan ook je ge-encrypte data onbereikbaar raken. Bijvoorbeeld door een harddisk crash: data-recovery bedrijven kunnen meestal nog wel wat van een gewone harddisk terughalen maar als dat ding ge-encrypt was schiet je daar niet veel mee op.

  2. rob willemsen 19 December, 2006 11:41:21

    hoi niels,je moet er niet aan denken wat jan en alleman van je weten, laat staan wat ze van je gebruiken! Gelukkig zitten we nog niet in amerika. Ik vond het een heel lezenswaardig stuk, duidelijk, ook voor lieden zoals ik, die niet veel bezig zijn met deze materie. Wellicht kun je er nog aan toevoegen welke genereuse oplossing jouw bedrijf heeft voor dit probleem, zou ik wel leuk vinden dat te weten. groet, rob

  3. jos de jong 20 December, 2006 10:56:36

    Beste Niels, dat Amerikanen niet alleen maar aan de andere kant van de grote oceaan leven is bekend. Het is gewoon een ander volk met andere voor ons niet altijd even duidelijke maatstaven, normen en waarden. Toen ik jaren geleden veelvuldig met Amerikanen samenwerkte in een toenmalig vooralsnog tamelijk non-digi-wereld heb ik me al veelvuldig geërgerd aan de wijze waarop er daar met informatie wordt omgegaan. Inmiddels ben ik al een halve digibeet die de onderliggende essenties van de informatica niet echt begrijpt maar er wel redelijk mee uit de voeten kan. Je bijzonder duidelijke stuk bewijst eens te meer dat men (vaak) niet echt nadenkt over de kwalijke consequenties van, vaak mede in achterkamertjes van de overheid, bepaalde strategieën. Van de ene kant ben ik dan ook niet verbaasd met deze in de US bijzonder kwalijke afgang van niet geprotectioneerde databestanden. Van de andere kant is het natuurlijk te grijs voor woorden dat een natie als de US dit laat gebeuren met alle (m.i. logische) gevolgen vandien. Nu ben ik maar een kleine jongen, maar heb op mijn eigen manier toch wat beveiligende maatregelen toegepast zeker omdat ik altijd bang ben dat mijn informatie verloren gaat . Wachtwoorden e.d. zijn er om gekraakt te worden en dus heb ik het idee dat ik mijn bedrijfsgegevens niet echt optimaal heb afgeschermd voor iemand die daar de moeite voor neemt.. Als Xs4all daar een passende oplossing voor me heeft, houd ik me van harte aanbevolen. Groetjes en bedankt voor dit waardevolle artikel.
    Jos

  4. Leenhout 21 December, 2006 10:32:30

    Wat een gevaarlijke nonsens. Denkt u dat u james Bond bent?! U probeert gewone mensen encrytie aan te smeren terwijl dat nergens voor nodig is. Computer encryptie is een techniek die voor militaire doeleinden is ontwikkeld en dus voor die doeleinden gebruikt moet worden. De staat heeft een monopolie op wapens zodat hij zijn burgers kan beschermen. Zo moet de staat ook het monopolie houden op militaire computertechnieken. Anders is bescherming van de burgers steeds moeilijker. Als de AIVD reden heeft om iemand te verdenken van bijvoorbeeld terroristische plannen dat moet het mogelijk zijn om de computers van die verdachte in beslag te nemen en te onderzoeken op gevaarlijke inhoud. Als iedereen zijn computer gaat encrypten dan kan dat niet meer, wat de veiligheid ernstig kan benadelen.

    XS4all stookt graag onrust en beschermt met zijn zogenaamde privacy idealen zijn radicale linkse vriendjes en ander gespuis wat maar beter zijn mond kan houden.

  5. Niels Huijbregts 21 December, 2006 11:23:41

    @ rob, @ jos:
    Wat voor rol zou XS4ALL hierin moeten spelen, denken jullie? XS is geen softwareleverancier, maar als jullie concrete wensen hebben voor een encryptiedienst voor XS4ALL klanten, dan ben ik benieuwd wat jullie voor ogen hebben.

    Maar eigenlijk is de boodschap toch duidelijk: koop een Mac! Zelfs Microsoft is het daarmee eens: zie dit bericht op Planet.

    @ Leenhout:
    Ik denk niet dat ik James Bond ben, maar ik sluit het ook niet uit.

  6. Wimbo 27 December, 2006 22:03:04

    OSX heeft geen software in zich waarmee de hele harde schijf versleuteld kan worden. FileVault wat aangehaald wordt is een container. Hierin worden alle gebruikers zaken (documenten, alle gebruiker afhankelijke instellingen, etc) in opgeslagen en middel AES128 (of AES192, maar dat weet ik niet zeker) versleuteld. De applicaties en systeemzaken staan gewoon unencrypted op de harde schijf.

  7. Wimbo 27 December, 2006 22:18:28

    @Niels Huijbregts
    Gesponsorde software zou een mogelijk kunnen zijn. Aangezien de software relatief duur is (tussen de 100 en 150 euro al snel) zie ik het niet gebeuren dat dit standaard bij een abbo komt. Het zou een idee kunnen zijn om dit als extra abbo/service aan te bieden naast de normale diensten. De klant betaald dan maandelijks een extra fee om de software te mogen gebruiken (ik zou die dienst wel afnemen)

    Leveranciers als SecurStar, Utimaco en Safeboot (en zo zijn er waarschijnlijk nog velen) leveren degelijke full disk encryptie software voor Windows PC’s.

    Het nadeel van container based encryptie (PGP, TrueCrypt, BestCrypt) is dat de gebruiker zelf de discipline moet hebben om de bestanden ook daadwerkelijk in die container te plaatsen. Mijn ervaring is dat dit in het begin netjes gedaan wordt en dat men al snel de data gewoon weer op de harde schijf neerzet (unencrypted).

    Sommige software pakketten bieden wel full disk encryptie, maar dat is dan een data schijf, of partitie, dus niet de system/boot schijf of partitie. Hierbij moet de gebruiker de Windows defaults (My Documents, etc.) dus eerst wijzigen richting de encrypte dataschijf/partitie. En dat zie ik een toekomstige Tonino nog niet doen :)

  8. Niels Huijbregts 9 January, 2007 18:25:32

    Zie ook dit artikeltje op de blog van Marie-Jose Klaver.

  9. Michael 9 January, 2007 19:25:44

    Ik ben zelf een tevreden gebruiker van truecrypt, dat gratis en open source is. Zoals Wimbo al zegt encrypt het niet de systeempartitie. Maar voor het beveiligen van data werkt het prima. Jammer dat die full disk encryptie programma’s niet gratis zijn.

  10. Wimbo 17 January, 2007 23:31:47

    @Michiel
    Wat is nu 150 euro voor een stukje software dat er voor zorgt dat je prive info niet op straat komt te liggen als ze er met je laptop vandoor gaan? Niet veel volgens mij.

  11. Cezar 27 January, 2007 18:51:24

    @Leenhout:

    Dus we moeten alemaal maar onze privacy te grabbel gooien omdat louche, zogenaamde “veiligheidsdiensten” die grotendeels buiten de wet, zonder enige democratische controle, opereren hun “werk” anders niet goed zouden kunnen doen?

    Het word tijd dat deze zogenaamde veiligheidsdiensten zelf eens hun “privacy” verliezen en gewoon openheid van zaken geven. Dan word vanzelf duidelijk dat al die zaken aleen maar geheim zijn omdat ze niet door de beugel kunnen. Bescherming van de burger? Vertel dat maar tegen Louis, Theo en Pim. Ik heb zo het idee dat ze er heel anders over (zouden) denken.

    En een verbod, of “monopolie” zoals u dat zo mooi noemt, weerhoud de echte criminelen toch niet van het toepassen van deze technologie. Ze zijn immers criminelen, dat doen die mensen voor hun brood, daar zitten ze helemaal niet mee. De gewone burger en het bedrijfsleven daarintegen word de mogelijkheid ontzegd zich te beschermen tegen criminelen die uit zijn op het bemachtigen van gevoelige informatie. Een geheel averechts effect van wat u beweert te willen bewerkstelligen.

    Mooie afsluiting die oproep tot censuur.

  12. Sylvanito 10 September, 2008 13:39:15

    geef me een identiteit over me zelf.

  13. Privacy 25 January, 2009 19:55:48

    Veelal wordt de privacy niet beschermt omdat het bedrijf niet voldoende weet, hoe zij dit moeten doen en verwachten dat dit hen toch niet zal overkomen. De cijfers geven ons echter het tegendeel, dat de privacy regelmatig wordt geschonden ipv beschermt.