[BBA 2013] #nmbsgate

bba-logo-smallIn de aanloop naar de Big Brother Awards 2013 publiceren we vanaf nu dagelijks een opiniebijdrage over één van de kandidaten. Deze bijdrage is van de pen van Len Lavens, de man achter securityblog belsec en recenter #belgoleaks.
Stemmen op een kandidaat kan nog tot 23 mei. De uitreiking vindt plaats op 30 mei in de Vooruit in Gent.

Belsec was niet verwonderd dat het NMBS lek juist op die plaats in hun infrastructuur voorkwam. Een jaar voordien had Belsec op identiek dezelfde plaats in de internetinfrastructuur van de NMBS volledige adreslijsten gevonden van NMBS personeel dat deelnam aan de 20km van Brussel. Door tussenkomst van het CERT werden de files verwijderd – niet zonder meerdere pogingen omdat copies van de files op verschillende plaatsen beschikbaar bleven. Het is dat soort geklungel dat ook voorkwam tijdens het dossier van de klantenlijsten.

Belsec was ook niet verwonderd over de juridische aanpak en bedreigingen van de NMBS. Sinds 2004 is Belsec verschillende keren bedreigd met processen of is hij moeten tussenkomen om de juridische gevolgen voor andere vrijwilligers te kunnen beperken. Het ging in het laatste geval om een zeer groot Belgisch nutsbedrijf.
Volgens de huidige wetgeving op de cybercriminaliteit is er wel een vermelding van intentie maar de interpretatie hiervan is volledig afhankelijk van de goodwill van het parket en de rechter. Er is in België – net zo min als een echte afgedwongen en gecontroleerde verplichting van veiligheid – geen procedure opgesteld van responsable disclosure (dit wil zeggen het kunnen melden van veiligheidsproblemen in infrastructuur en websites zonder het gevaar te lopen om zelf vervolgd te worden indien men bepaalde voorwaarden respecteert). Quickie had ooit in een antwoord op een parlementaire vraag gesteld dat het CERT dat zou moeten doen (wat logisch is) maar dit is er ook nooit van gekomen.

Het gevolg is dat de zeer vage omschrijving van cybercriminaliteit in deze wetgeving het voor elke slimme advocaat met ongelimiteerde middelen zeer gemakkelijk een klacht zou kunnen formuleren tegen een cyberactivist. Dit is dan ook de reden waarom het niet slim is om zichtbare veiligheids- problemen te testen of gevonden accounts te gebruiken. Dit zou immers als een inbreuk kunnen worden geïnterpreteerd. Het is om dezelfde reden niet verstandig om zelf actief contact op te nemen met de getroffen netwerkbeheerders omdat die zouden kunnen veronderstellen dat jij verantwoordelijk zou kunnen zijn of mede-verantwoordelijk zou kunnen worden gesteld.

Deze situatie heeft als resultaat dat het zeer gevaarlijk kan zijn om dingen te publiceren . De afgelopen 8 jaar heeft Belsec de resultaten gepubliceerd van onderzoek naar de EID die men wou wegmoffelen en informatie over lekkende servers en netwerken. Onlangs werd bekend geraakt dat een groot Belgisch netwerk het slachtoffer was geworden van de ransomhacker Rex Mundi maar in samenspraak met de FCCU is tot nu toe de naam nog niet bekendgemaakt. Deze naam is evenwel in het kader van de belgoleaks doorgegeven aan de Privacycommissie. Het gaat om de toegang tot een database met een half miljoen gegevens van Belgen.

In de komende dagen wordt samengezeten met de privacycommissie om na te gaan hoe we Belgoleaks zo kunnen organiseren dat de privacycommissie zich bewust wordt van de kleine en grote problemen op het Belgische internet met persoonsgegevens en pro-actief waarschuwingen kan uitsturen en instellingen en netwerken kan verplichten om meer belang en resources te hechten aan de veiligheid.

We moeten ook niet rekenen op de pers voor aandacht. De afgelopen maanden is er meer aandacht maar het is meestal overwegend nog altijd een ver van bed show over incidenten in het verre Amerika of de meest onnozele debiliteiten die in het centrum van de persbelangstelling komen te staan. Tevens is het zo dat het meestal gewoon verslaggeving door de megafoon is waarbij zelden zelf nog verder wordt onderzocht of de meest paniekerige uitspraken over de cyberoorlog van 6 ddos aanvalletjes op onze Belgische internetinfrastructuur door de minister niet met de nodige korrel zout moet worden genomen. De pers gaat ook uiterst zelden zelf op zoek naar nieuws – al probeert ze dit soms door ‘onderzoekers’ aan te sporen om dingen te tonen en daarin verder te gaan, zonder dat deze beseffen dat zij niet onder het journalistiek geheim vallen.

De politiek zelf die speelt gewoon hetzelfde spelletje mee van de uitspraak of het individuele voorstel van de dag zonder een globale aanpak met de nodige resources uit te schrijven en zich te verdiepen in de vele maatschappelijke uitdagingen en risico’s die de huidige internetonveiligheid op het Belgische netwerk veroorzaken. Een nieuwe series hoorzittingen zou een goede aanloop zijn naar een nieuwe globale wetgeving die misschien eindelijk de verschillende ministeries en organen de nodige administratief-juridisch bevoegdheden geeft om ook zelf op te treden bij nalatigheid en een duidelijke definitie geeft van de verplichtingen van de datagebruiker en het slachtoffer van dataverlies door die gebruiker. In het geval van de NMBS is het hierbij duidelijk dat alle interne controles en monitoring afwezig waren en dat er geen regelmatige externe controle was van de internetinfrastructuur en de beschikbare lekken en veiligheidsproblemen.

Het datalek bij de NMBS lijkt hierbij wel een turning point te worden, gekoppeld aan het feit dat een tijdje later er een ander lek bij het leger werd gevonden (dat trouwens veel gevaarlijker was dan enkel wat personeelsgegevens). Ondertussen worden achter de schermen andere instellingen aangespoord om hun verantwoordelijkheid te nemen want sommige categoriëen van websites die enorm veel persoonsgegevens op een soms zeer lakse manier verzamelen en bijhouden blijken onder geen enkele ministerie te vallen omdat men de noodzakelijke uitvoeringsbesluiten is vergeten op te maken door de langdurige regeringscrisis.

Maar het datalek bij de NMBS is vooral een turning point omdat sindsdien de Privacycommissie heeft ingezien dat haar papieren, audit-achtige procedures en controles soms dode letter blijven en dat als ze haar tanden niet laat zien ze in het beste geval een soort notarissen worden van beloofde nooit uitgevoerde veiligheidsverplichtingen. In haar nieuwe aanbevelingen van januari 2013 zegt ze dat getroffen instellingen de privacycommissie moeten inlichten binnen de 24 u na het lek en ten laatste 2 dagen later alle slachtoffers moet inlichten. Ze roept ook de regering op om haar juridische bevoegdheden te geven en het parket om ook zelf haar initiatiefrecht te gebruiken. Zelfs al werkt ons gerecht traag, het zal uiteindelijk toch tot veroordelingen moeten komen en geen enkel bedrijf of administratie wil op deze manier in het nieuws komen, zelfs al is dat 5 jaar later.

Dit heeft momenteel hetzelfde effect als toen in de Nieuwe telecomwet een artikel werd ingeschreven dat de ISP’s verplichtte om al haar gebruikers een gratis securitysoftware te geven – iets waar ze door intens lobbying vanonder zijn geraakt in ruil voor zware investeringen in de beveiliging van de centrale infrastructuur. Ondertussen kochten ze wel allemaal antivirus en andere securitysystemen want je wist maar nooit hoe het zou uitdraaien.

Sinds de klacht bij het gerecht tegen de NMBS door de privacycommissie en haar nieuwe richtlijnen hebben de politieke verantwoordelijken van de netwerken en de CEO’s van de bedrijven begrepen dat veiligheidsinvesteringen en een veiligheidsbeleid essentieel zijn.

De vraag is alleen of de acties van de privacycommissie een alleenstaand feit waren of dat het een onderdeel wordt van een globaal en permanent nieuw beleid. De vraag is of de privacycommissie een partner wordt van de activisten die ijveren voor meer privacy en veiligheid op het Belgische internet of een lappendoekje voor zij die hier in feite zo weinig mogelijk geld in willen steken zonder zelf ooit ter verantwoording te worden geroepen.