Care what you share?
Gepubliceerd op 15/09/2017
Geschreven door Maddalena Garcia Diaz
Terwijl wij enthousiast onze levens delen met onze online vrienden, houden we geen rekening met de risico’s die daaraan kleven. Voormalig Tweede Kamerlid op het gebied van IT, Astrid
Oosenburg, en cybersecurity expert Mischa van Geelen waarschuwen voor die risico’s en hoe wij ons kunnen beschermen.
“Secrets are lies, caring is sharing, privacy is theft.” Een angstaanjagende quote uit het inmiddels beroemde boek van Dave Eggers, “The Circle”, waarin we een sneak preview krijgen van de apocalyptische toekomst die ons mogelijk te wachten staat (voor de meer visueel ingestelden onder ons: er is ook een verfilming). Een toekomst waarin we alles, ten alle tijden, over onszelf delen zodat anderen mee kunnen kijken met onze dagelijkse levens. Misschien voelt dat als de ver-van-je-bed-show, een toekomst waarin iedereen alles over jou weet, van ochtendrituelen tot w.c. bezoeken. Helaas is de apocalyptische toekomst waar het boek van Dave Eggers over gaat, niet zo ver weg als wij zelf vaak aannemen. Technologie ontwikkelt zich in een razendsnel tempo, met allerlei voordelen maar ook risico’s waarvan we nog niet weten wat voor betekenis die over vijf, tien of twintig jaar hebben voor onze levens.
Astrid Oosenburg (49) werd in 2012 Tweede Kamerlid met als portefeuille IT, een uitdagend onderwerp omdat het tegenwoordig in verbinding staat met alle andere onderwerpen zoals bijvoorbeeld zorg en nationale veiligheid. In haar tijd als Tweede Kamerlid stuitte ze vaak op verzet vanuit anderen die de link tussen hun eigen portefeuille en IT niet altijd even natuurlijk legden. Ook het gebrek aan linkse en rechtse politieke standpunten binnen de werking van IT als vakgebied maakte deze portefeuille een wat lastigere, omdat de twee kanten van het politieke spectrum het vooral oneens zijn over de omgang met data en privacy van inwoners. Kortom, het overbelichten van een aspect binnen dit vakgebied heeft vaak als gevolg dat andere factoren minder aandacht krijgen dan nodig zou zijn. Zoals bijvoorbeeld het risico dat je loopt met een Smart tv, waar de gemiddelde hacker en de NSA mooi gebruik van kunnen maken om jou via de camera van jouw televisie in de gaten te houden wanneer zij dat willen. Zonder enige zeggenschap hierover van jouw kant. Of de vooruitgang die geboekt wordt op het gebied van bijvoorbeeld koelkasten, die zelf aan de supermarkt een sein kunnen sturen dat jij melk nodig hebt. Heerlijk dat jouw koelkast dat voor je regelt, maar ook lastig wanneer die koelkast niet goed werkt en de verkeerde producten doorgeeft aan de supermarkt. De koelkast gaat die fout niet voor jouw betalen, dat mag je dan weer wel zelf doen. Of een slimme meter in huis, die compleet autonoom de temperatuur van jouw huis reguleert maar op een warme zomerdag hapert en het vervolgens binnen nog eens 10 graden warmer is dan de 30 graden die het buiten al is. Ook waarschuwt Astrid voor de strafrechtelijke consequenties van complete automatisering, “de zelfrijdende auto waarin je kunt genieten van de ochtendkrant met een kopje koffie terwijl jouw auto je compleet automatisch naar jouw bestemming rijdt. En als er per ongeluk een miscommunicatie is tussen de auto en de server waardoor een ongeluk ontstaat, wie is dan de schuldige? Het bedrijf dat de auto heeft gemaakt of de eigenaar van de auto? Of het bedrijf dat de connectie tussen de auto en de server reguleert?”. In de Tweede Kamer is het, zo geeft Astrid aan uit ervaring, lastig deze onderwerpen te kunnen bespreken omdat veel Kamerleden ook de nodige IT-kennis over het onderwerp niet beschikken. Het maakte dat Astrid vaak gedwongen was om, door middel van vragen te stellen tijdens debatten, helderheid te krijgen over de implicaties van een wetsvoorstel met betrekking tot de IT. Astrid legt uit: “Veel Tweede Kamerleden missen de benodigde specifieke kennis van mijn vakgebied, waardoor ik wel een probleem zie wanneer politici met dit gebrek aan kennis gaan wetgeven op dit gebied.” Ook ziet Astrid het gevaar van bijvoorbeeld een product als de Smartmeter, die behalve de temperatuur reguleert ook het precieze verbruik in huis bijhoudt. Gegevens waar de energieleverancier altijd bij kan, maar ook de overheid, om te weten wie wanneer thuis is. Terwijl de rechtse politici van mening zijn dat de overheid de ruimte moet krijgen om boeven te vangen, maken linkse politici zich zorgen over de gevaren zoals dat jouw gegevens zomaar op straat kunnen komen te liggen dankzij de gemiddelde hacker die het voor een goede prijs doorgeeft aan een inbreker. Astrid: “De belangrijkste vraag om te stellen bij deze discussiepunten is of je uitgaat van vertrouwen of wantrouwen tegenover de inwoners van ons land.” Ook kun je met dit soort controlemiddelen geen veiligheid garanderen, “Je kunt 100 camera’s ophangen, die doen niks tegen iemand die jou wil lastigvallen behalve achteraf (als je al het nodige trauma bent opgelopen) bewijs leveren in het geval dat je aangifte wilt doen. Als reactie besluiten politici dan weer om meer beveiligers rond te laten lopen op stations bijvoorbeeld, meer menselijk beeld geeft een veiliger gevoel dan ontzettend veel camera’s overal.” Een mooi voorbeeld van hoe we nooit de menselijke aspecten van veiligheid zomaar mogen verwaarlozen als belangrijke hoesteen op dit gebied. “Zeker omdat dit schijngevoel van veiligheid toch vooral lijkt te dienen als middel om ongelimiteerde toegang te verkrijgen vanuit de overheid.” Helaas zal de Tweede Kamer deze technologische ontwikkelen nooit in kunnen halen, vooral omdat het “gemiddeld zo’n vijf àtien jaar duurt voordat wetgeving op dit gebied in werking treedt. Zoals het gebruik van drones, waarbij eigenaren jarenlang in staat waren om zonder enige consequentie anderen naakt te filmen met hun drone door bijvoorbeeld boven iemands tuin te vliegen. Tegen de tijd dat de Tweede Kamer wetgeving produceert om mensen hun privacy hiertegen te beschermen, door eigenaren van drones te verplichten zich te registeren wanneer zij een nieuwe drone aanschaffen. Helaas doet dit niets aan de enorme hoeveelheid drones met eigenaren die deze wetgeving voor waren. Deze eigenaren staan niet geregistreerd en de beelden die zij van jou in jouw tuin bezitten, heb jij niets over te zeggen want je weet niet van welke drone het komt wanneer je die, samen met de rest van de wereld, terugziet online ergens.” Of: “Een leuke nieuwe knuffel voor jouw nichtje van 5 jaar oud? Het is heel goed mogelijk dat die leuke knuffel die praat als jouw kleine nichtje hem vastpakt, beelden en geluidsopnames naar een hacker doorstuurt.” Als Tweede Kamerlid kreeg Astrid zelfs te maken met speelgoed dat als voorbeeld was gehackt, want “je hebt organisaties die bijvoorbeeld speelgoed hacken om in plaats van gezellige babbeltjes er jihadistische strijdkreten uit te laten komen om aan de AIVD te tonen wat voor risico’s deze technologische ontwikkelingen met zich meebrengen”. Het heeft Astrid behoorlijk wat felle Kamervragen gekost om dit soort aspecten van ons online bestaan op de kaart te zetten in de Tweede Kamer. Hoewel het een lastige portefeuille blijft, laat Astrid deze wel met een flinke uitbreiding achter. Na het verlaten van de Tweede Kamer, is Astrid onder andere begonnen met het starten van een kamp speciaal voor IT-talenten die moeilijk meekomen in het reguliere onderwijs. Een mooi initiatief dat ze ooit informeel al startte met JS-er Mischa van Geelen.
Als tiener ontmoetten Mischa van Geelen (18) Astrid op een conferentie waar ze beiden als gast van een panel aanwezig waren. Al snel ontstond een hechte band tussen hen waarbij Astrid Mischa hielp om passend onderwijs te vinden, waar hij zijn talenten volop kon benutten. Inmiddels is Mischa van getalenteerde tiener uitgegroeid tot 18-jarige expert op het gebied van o.a. cybersecurity met een prachtige baan bij de nationale recherche waar hij zijn capaciteiten inzet om cybercriminelen op te sporen door zich bezig te houden met ‘digital forensics’. Oftewel, de bewijssporen die cybercriminelen achterlaten. Ook hij waarschuwt voor de risico’s die verbonden zijn aan de wereld waar we ons online in begeven en relatief weinig van begrijpen zelf. Net als Astrid, ziet Mischa het probleem tussen IT-ontwikkelingen en het tempo dat de politiek aanhoudt. Veel 40-plus politici die de benodigde kennis missen, maar wel ontoereikende wetgeving op dit gebied produceren. Niet alleen onder 40-plussers speelt dit probleem, ook binnen onze eigen JS merkt Mischa dat veel van ons slordig omgaan met wat we wel en niet delen online, zeker omdat ook wij, volgens hem, lang niet zoveel kennis hebben over de onlinewereld als we vaak aannemen te hebben als jongeren. Zoals het gebruik van apps als Tinder, waarbij gebaseerd op jouw locatie mogelijke matches verschijnen op jouw telefoon. Een toegankelijke manier van contact leggen, maar niet altijd even veilig. Bijvoorbeeld wanneer er per ongeluk een lek ontstaat en iedereen die actief is jouw exacte locatie kan zien zonder dat jij daar toestemming voor hebt gegeven, een situatie die echt is voorgekomen. Of de 100-plus video’s en foto’s die we elkaar sturen via Snapchat, waarvan velen van ons niet weten dat die allemaal door het bedrijf bewaard worden in een database waar zij op ieder moment van de dag toegang toe hebben. En niet alleen het bedrijf, ook derden kunnen deze data benutten tegen een prijs. Misschien heb je, net als ik, je nooit afgevraagd waarom deze apps gratis zijn. “Het is gratis voor jou, omdat jij het product bent. Het bedrijf is de verkoper en bijvoorbeeld adverteerders zijn de klanten,” geeft Mischa aan. Maar ook overheidsinstellingen zoals de Nationale Security Agency (NSA), de inlichtingendienst van de Verenigde Staten, kunnen deze gegevens bereiken. Het kan zijn dat je, net als ik, niet begrijpt waarom dat zo’n probleem is. Je hebt toch niks te verbergen! Juist hierin ziet Mischa gevaar, “ze kunnen namelijk aan de hand van jouw likes, de artikelen die je leest, de foto’s of video’s die je deelt ook dingen over jou te weten komen als jouw politieke voorkeur zonder dat je wilt dat ze dat weten. Maar het gaat verder dan dat, zoals bij de vrouw die zelf nog niet wist dat zij zwanger was terwijl Google het al uitgevogeld had. Hoe? Aan de hand van de zoektermen die zij intypte, die Google vervolgens met elkaar combineert om tot de conclusie te komen dat iemand zwanger is hoewel diegene nooit ergens het woord ‘zwanger’ heeft gebruikt. Vervolgens verschenen overal waar zij op sociale media kwam, advertenties voor zwangere vrouwen.” Volgens Mischa staan we daardoor tegenover belangrijke ethische vraagstukken, zoals of we willen dat Google zoiets over ons weet voordat wij het zelf weten. Niet alleen deze capaciteit van Google heeft ethische implicaties, ook de filter die de zoekmachine toepast op jouw zoekresultaten, gebaseerd op jouw digitale voetsporen, levert een lastig vraagstuk op. Volgens Mischa “heb je momenteel eigenlijk dus niet de mogelijkheid om jouw mensenrecht tot informatie volledig te benutten, omdat de informatie die je te zien krijgt door Google gefilterd is en dus Google al voor jou heeft bepaald wat je wel en niet mag zien.” Kortom, voorbeelden van het feit dat we als maatschappij de lange termijneffecten van deze razendsnelle ontwikkelingen niet overzien en, sterker nog, dat deze eigenlijk allang geen lange termijn meer zijn maar voor onze deuren staan te stampen al. Waar Mischa ook voor behoedt is dat niet alleen de overheid of ‘tech gigants’ een gevaar kunnen vormen voor onze privacy, maar ook alledaagse hackers met kwade bedoelingen. Zoals de zaak van een vriendin van mijzelf, waarbij Mischa te hulp schoot en dankzij hem zij gelukkig haar online identiteit terug heeft. In haar geval, leidde een onschuldige Tinder date tot een totale overname van haar online identiteit en uiteindelijk zelfs haar offline identiteit. Als gebruiker van Gmail, reguleerde zij via deze e-mail service het aanpassen van wachtwoorden voor bijvoorbeeld Facebook en Instagram. Door het niet instellen van een tweestaps verificatie, waarbij je alleen vanaf een niet eerder gebruikt apparaat kunt inloggen door middel van een code die je per sms ontvangt, was een hacker in staat, na het achterhalen van dat wachtwoord, om al haar andere wachtwoorden te veranderen en haar buiten te sluiten uit haar eigen accounts. Ook was de hacker in staat, dankzij GPS, om haar te volgen wanneer hij wilde. “Het lastige aan deze zaken is,” volgens Mischa, “dat de politie vaak de benodigde IT-kennis om dit soort zaken effectief op te lossen mist waardoor hackers ermee kunnen wegkomen. Ook loopt de wetgeving op dit gebied achter, waardoor er veel gaten ontstaan in aspecten als bewijslast.”
En hoe kunnen we onszelf tegenover al deze gevaren zo goed mogelijk beschermen? Volgens zowel Mischa als Astrid zijn de mogelijkheden hierin beperkt. Je kunt bijvoorbeeld wel gebruik maken van bepaalde pakketten die sommige organisatie aanbieden. Hiermee kan je tot op zekere hoogte veilig gebruik maken van de onlinewereld. Maar, wat vooral belangrijk is, is volgens Mischa dat “we nadenken over wat we delen en met wie, zeker omdat we niet weten waar onze gegevens blijven en of we er zelf over een jaar of 10 nog wel bij kunnen.” Astrid werkt in Brussel hard aan een mogelijke oplossing hiervoor: “The Right to be Forgotten”, waarbij een recht ontstaat om services als Facebook te vragen al jouw data te wissen wanneer jij dat nodig vindt. Ook adviseert Mischa om je gewoon een beetje netjes te gedragen online, oplet waar je in je eigen naam precies commentaar plaatst of foto’s deelt. Daarnaast raadt hij uiteraard aan om tweestaps verificatie te installeren waar dat kan en ook je wachtwoorden met regelmaat veranderen.
Hoewel het geen garanties biedt voor jouw online veiligheid, kom je er al een heel eind mee. Tot de dag dat Dave Eggers apocalyptische toekomst werkelijkheid wordt dan.