Inleiding

Hebben alleen terroristen recht op privacy? Het is natuurlijk een harde uitspraak, maar het effect dat ik ermee wil bereiken is dit keer niet alleen dat u dit artikel verder leest, maar ook dat u eens kritisch naar de huidige tendens kijkt. Ik wil niet te veel terugkijken, maar een aantal vergelijkingen trekken tussen de fysieke wereld en de huidige stand van zaken op ICT beveiligingsgebied. Dit artikel zal wat verder naar de toekomst kijken en wat kritische noten plaatsen bij de stappen die nu in elk westers land door de overheden worden genomen.

Risico's, beveiliging, detectie en reactie

11 september 2001 zal de geschiedenisboeken ingaan als de dag waarop de US erop werd gewezen dat de zogenaamde "fortress mentality" niet meer werkt. Opnieuw is duidelijk geworden dat het inrichten van beveiliging door het bouwen van muren rondom een beveiligde omgeving niet langer voldoende is. Amerika heeft zich in de laatste decennia verdedigd door een sterke controle uit te voeren aan de grenzen (denk aan de verschillende formulieren die in het vliegtuig of daarvoor zelfs al ingevuld moeten worden, de lange wachtrijen bij het vliegveld voor "immigrations" en de vragen die de strenge persoon in het hokje stelt voordat de juiste stempels weer in het paspoort gezet worden), terwijl binnen de grenzen van het land vrijheid als het hoogste goed werd gezien (afgezien van financiele welstand -- ja, ik ben me bewust dat het bovenstaande bepaalde misstanden achterwege laat, ik ben den ook geen historicus, noch wil ik hier een essay schrijven over de sociale aspecten van de Amerikaanse cultuur). Amerika zag de risico's dus vooral van buiten de eigen grenzen komen. Dus daarop concentreerde zich de beveiliging ook.

Die vrijheid binnen de grenzen van het land worden op dit moment aangewezen als een van de belangrijkste oorzaken van het niet kunnen voorkomen van terroristische aanslagen zoals die op het Pentagon en het WTC. De werkelijke oorzaak is natuurlijk niet het gebrek aan controle, maar valt waarschijnlijk terug te voeren tot de externe politiek die de US in het verleden heeft gevoerd, met name de politiek richting het midden oosten. Maar laten we ons concentreren op de effecten en niet op de politiek, hoewel politiek ook in onze dagelijkse ICT (beveiligings) projecten natuurlijk een belangrijke rol kan spelen. Toch is het een wijze les die aan elke security officer de valide vraag stelt "wat gebeurt er met mijn ICT omgeving als de perimeter beveiliging (meestal de firewall) wegvalt?". In veel gevallen zal toegegeven moeten worden dat op dat moment de volledige omgeving toegankelijk wordt voor derden. Een situatie die, mild uitgedrukt, niet wenselijk is.

Het falen van de verschillende inlichtingendiensten is natuurlijk ook een aspect dat regelmatig aan de orde is geweest. Ook hier kan een parallel getrokken worden met de beveiliging van ICT. Een inlichtingendienst is verantwoordelijk voor het tijdig opsporen en elimineren van ongewenste praktijken uit de samenleving, waardoor die omgeving "veilig" blijft. Als zodanig kunnen ze worden vergeleken met virusscanners en Intrusion Detection Systems (IDS), gekoppeld aan een effectief reactie mechanisme. Indien een inlichtendienst naar behoren werkt zal de omgeving nooit geconfronteerd worden met die praktijken waartegen deze beveiligd is. Natuurlijk moet vooraf duidelijk worden vastgelegd door die samenleving (in een democratisch stelsel) waartegen de inlichtingendienst bescherming moet bieden, hoe afwijkingen geelimineerd mogen worden, en zal de betreffende dienst ook door die samenleving gecontroleerd moeten kunnen worden zodat nagegaan kan worden of de dienst volgens specificaties functioneert. De amerikaanse inlichtingendiensten blijken informatie te hebben ontvangen van andere bronnen die aangaven dat er een grote aanslag op handen was. Deze informatie is onvoldoende opgevolgd met alle gevolgen van dien. De ICT beveiligingsles die geleerd kan worden is tweezijdig. Alleen het inrichten van een IDS of virusscanner is onvoldoende. Deze systemen zullen up-to-date moeten worden gehouden en regelmatig zal gecontroleerd moeten worden of zij nog steeds voldoen. Verder is detectie zonder enige vorm van reactie natuurlijk nutteloos. Maar over reactie (het gebrek eraan, of de mogelijke invulling ervan) kan ik een volledig nieuw artikel schrijven en het zou te ver gaan om dit hier nog bij te proppen.

Privacy

Een ander aspect dat nu meer en meer in de media verschijnt is het gebruik van cryptografische en steganografische technieken door terroristische organisaties. De communicatie tussen de verschillende personen die betrokken waren bij de recente aanslagen werd gevoerd door het versturen van plaatjes waarin boodschappen waren verborgen door gebruik te maken van steganografie. Blijkbaar een zwakke vorm van beveiliging als dat nadien door de veiligheidsdiensten kan worden aangetoond. Toch zal vooral dit laatste aspect nogal wat invloed hebben op de privacy van burgers in de westerse wereld. Iets waar we ons wellicht wat meer zorgen over moeten maken dan op dit moment gebeurt.

Welke berichtgeving hebben we in de tussenliggende periode al gehoord? Key escrow en andere manieren waarop gecodeerde berichten eenvoudig gedecodeerd kunnen worden door overheidsinstellingen worden meer en meer als voorwaarde gesteld. In sommige berichtgeving werd zelfs het verbod op cryptografie weer aangehaald. Overheden willen meer toezicht kunnen houden op bevolking. De mooiste reactie hoorde in zelfs bij een actualiteiten televisie uitzending, die de bovenstaande maatregelen liet volgen door "natuurlijk heeft dit invloed op de privacy van de bevolking, maar die moet dit maar voor lief nemen".

Maar wil die bevolking dat wel voor lief nemen? Als we zoals gewoonlijk beveiliging koppelen aan risico's, dan levert dit natuurlijk wel een heel erg groot risico voor de bevolking op. Nachtmerries in de vorm van Big Brother uit 1984 komen erg snel naar boven. En wat zou ervoor zorgen dat onze terroristische vijanden zich ook onderwerpen aan deze regels? Eigenlijk niets. Zolang je de wet volgt krijgt de overheid alle toegang tot je gegevens, maar als je die wet en andere wetten overtreedt dan ziet diezelfde overheid hoogstens met welke andere partijen gecommuniceerd wordt en zelfs dat kan gemaskeerd worden. Hebben dan alleen terroristen en andere wetsovertreders dus recht op privacy? Of wordt hier het kind met het badwater weggegooid? Privacy is een van de rechten van de mens. Door het invoeren van dit soort wetgeving gaan westerse overheden een direkt conflict aan met dit recht. Ik ben van mening dat geen enkele terroristische organisatie deze overwinning op de vrijheid van de mens mag kunnen claimen. Misschien lijkt het bovenstaande op de uitspraken van een Don Quichotte en vecht ik tegen windmolens. Zelf hoop ik meer dat het bovenstaande gezien wordt als een kritische kijk op de maatschappij en de ICT omgevingen die in de huidige westerse maatschappij nog maar moeilijk los daarvan gezien kunnen worden. Lees Tijl Uylenspieghel er nog maar eens op na.