Digitale kidnapping - Hoofdinhoud
Terwijl 'cybersecurity' een buzzword is rust de veiligheid van de digitale samenleving op los zand. Dat wisten we eigenlijk al, maar die conclusie wordt na de inzet van de criminele ‘WannaCry’ worm dubbel onderstreept. Meer dan 300.000 computers in 150 landen werden aangetast door een digitale worm die de data van gebruikers gijzelde, versleutelde en pas vrijliet na betaling. Dokters moesten patiënten weigeren en operaties uitstellen in het Verenigd Koninkrijk, studenten in China konden niet meer online aan hun scripties werken en de productie van autobouwers Nissan en Renault lag stil. De economische impact is enorm. Veel slachtoffers van ransomware kiezen eieren voor hun geld en betalen liever, zeker als ze geen backups gemaakt hebben. Maar daardoor stimuleren ze onbedoeld cybercriminelen om steeds vaker aan digitale kidnapping te gaan doen
Is de schuldige voor deze vicieuze cirkel de NSA, die Microsoft niets liet weten toen het een lek vond in hun software? Is de schuldige de gebruiker, die geen beveiligingsupdate doorvoerde toen Microsoft dit lek een twee maanden geleden dichtte? Of is Microsoft de schuldige, omdat het standaard geen beveiligingsupdates aanbiedt voor oude software? En dan hebben we het nog niet over een schimmige groep hackers die de digitale wapens van de NSA online smeet waardoor ze toegankelijk werden voor iedereen.
Belangrijker dan een rondje te zwartepieten is het zoeken naar oplossingen. Net zoals bij een grote griepepidemie kan iedereen acties ondernemen om erger te voorkomen. We kunnen zelf voorzorgen nemen om anderen niet verder te besmetten. Maar er moeten ook genoeg vaccins beschikbaar zijn om de zieken te genezen.
Met de Global Commission on the Stability of Cyberspacedenk ik samen met anderen na over de regels waaraan overheden moeten voldoen om de veiligheid van het internet te garanderen. Wat kunnen we doen? Overheden en andere publieke instellingen moeten meer geld beschikbaar maken om software te updaten en te investeren in kritieke infrastructuur. Gebruikers moeten keer op keer herinnerd worden aan de gevaren van het openen van attachments, zeker van gebruikers die ze niet kennen. Software ontwikkelaars moeten verantwoordelijk gehouden kunnen worden voor de veiligheid van de producten die ze maken, of voor nalatigheid.
Meteen wordt ook weer duidelijk dat het met opzet creëren van achterdeurtjes in software om het werk van politie en inlichtingendiensten makkelijker te maken als een boomerang tegen ons kan gebruikt worden. Als de MIVD of de NSA zelf op een onbedoeld lek stuit dan kan het twee dingen doen: het stiekem houden en zelf offensief gebruiken tegen bedreigingen voor de nationale veiligheid, bijvoorbeeld om een terreurverdachte te bespioneren. Of het kan de ontwikkelaar melden dat er een lek is, waarna die het lek kan dichten en de veiligheid van alle internetgebruikers verbetert. Er moet dan ook meer toezicht komen over hoe inlichtingendiensten deze afweging maken. Anders lopen we het risico dat de open samenleving zelf gegijzeld wordt.