4 Verhoging cyberweerbaarheid met bestaande technologie
Dat het maar beperkt zin heeft om in te zetten op allerlei nieuwe technologieën, wanneer niet tegelijkertijd op grotere schaal gebruik wordt gemaakt van reeds voorhanden zijnde technologieën ter versterking van de cyberweerbaarheid, is al in de inleiding genoemd; het was een belangrijke reactie van de geïnterviewde deskundigen op de onderzoeksvraag. Inderdaad bieden reeds bestaande, maar onderbenutte technologische maatregelen kansen om de cyberweerbaarheid te verhogen.
In dit hoofdstuk bespreken we achtereenvolgens de belangrijkste voorbeelden hiervan: basisveiligheidsmaatregelen als sterke wachtwoorden en software updates; biometrische identificatie; Privacy Enhancing Technologies; encryptie; digitale ondertekening van berichten; Secure Development and Operations; veiligere aanvoerketens; veiligere communicatieprotocollen; en open standaarden en open source software.
4.1 Basisveiligheidsmaatregelen
Zoals in Hoofdstuk 2 reeds is aangegeven, valt er met het oog op de cyberweerbaarheid nog veel winst te halen met basisveiligheidsmaatregelen. Dat geldt zowel voor burgers, bedrijven als overheden. Het uitblijven van deze maatregelen maakt IT-systemen en -apparaten kwetsbaar voor cyberaanvallen. Die kwetsbaarheid wordt alleen maar groter als aanvallers gebruik kunnen maken van nieuwe technologische mogelijkheden als het automatisch opsporen en uitbuiten van kwetsbaarheden met behulp van machine learning.
De basisveiligheidsmaatregelen zijn al vaak beschreven. Hieronder vallen maatregelen als het gebruik van sterke wachtwoorden, 2-factor-authenticatie, het tijdig installeren van software-updates en het maken van back-ups van belangrijke bestanden (NCTV, 2019b; Rathenau Instituut, 2017).
De praktijk leert dat eindgebruikers vaak moeilijk te bewegen zijn om van deze maatregelen gebruik te maken (Van der Grient & Konings, 2018). Jaar na jaar constateert het Cybersecuritybeeld Nederland dat er onvoldoende actie wordt ondernomen om de basisveiligheid te verbeteren.
4.2 Biometrie
Het gebruik van biometrie is sterk in opkomst. Biometrische technieken, zoals een vingerafdruk of gezichtsscan, maken het voor gebruikers mogelijk om in te loggen op bijvoorbeeld hun smartphone zonder gebruik te hoeven maken van een wachtwoord. Op korte termijn lijkt dit winst te kunnen opleveren, omdat het een sterkere beveiliging oplevert dan de vaak zwakke wachtwoorden die gebruikers instellen. Maar tegelijkertijd worden hiermee nieuwe kwetsbaarheden geïntroduceerd. Zo kunnen met het algoritme DeepMasterPrints vingerafdrukscanners worden misleid (Hern, 2018). En onderzoekers wisten met een 3D-print van hun hoofd de gezichtsherkenning van populaire smartphones om de tuin te leiden (Major, 2018).
Hierbij moet worden bedacht dat de gevolgen van een biometrie-hack groter kunnen zijn dan bij gebruik van een wachtwoord met tekens of een pincode. Een wachtwoord of pincode kan worden veranderd als ze zijn gelekt of achterhaald, voor een gehackte vingerafdruk of irisscan is dat niet mogelijk. Uit biometrische scans kunnen bovendien gevoelige eigenschappen van een persoon worden afgeleid, zoals een diabetesdiagnose op basis van een irisscan (Pultarova, 2017), of andere gezondheidsinformatie. Er kunnen dan ook serieuze vraagtekens worden geplaatst bij de wenselijkheid van een grootschalig gebruik van biometrie voor identificatiedoeleinden.
4.3 Privacy Enhancing Technologies
Hoe meer (persoons)gegevens op het internet worden gedeeld, hoe groter de kans dat deze gegevens worden gelekt of gehackt. Inperking van de grote hoeveelheden gegevens die worden gedeeld, kan de cyberweerbaarheid dan ook substantieel verhogen. Er zijn diverse Privacy Enhancing Technologies (PETs) voorhanden die dit mogelijk maken. Voorbeelden hiervan zijn zoekmachines als DuckDuckGo en Startpage, die zoektermen van gebruikers niet opslaan, en de chatdienst SnapChat, die de sporen van gebruikers na gebruik kan wissen.
Een in Nederland ontwikkeld voorbeeld van een PET is het Identity Management System I Reveal My Attributes (IRMA). Het stelt gebruikers in staat om zelf hun digitale identiteit te beheren en alleen die gegevens te verstrekken die voor een bepaald doel nodig zijn. Zo moet bij de aankoop van alcoholische dranken een verkoper kunnen vaststellen dat een klant de wettelijk vastgestelde minimumleeftijd heeft. Het voldoen aan de minimumleeftijd is een voorbeeld van een persoonlijk ‘attribuut’. IRMA stelt de gebruiker in staat om alleen het bewijs te tonen dat aan deze leeftijdseis wordt voldaan, in plaats van een traditioneel identificatiebewijs zoals een rijbewijs, waarop allerlei andere persoonlijke informatie staat. Het systeem minimaliseert daarmee de uitwisseling van gegevens.
Een ander voorbeeld van een PET betreft het opensourceproject Social Linked Data (Solid), van de internetpionier Tim Berners Lee. Solid zet ontwikkelaars van software ertoe aan om de dataopslag gescheiden te houden van de dataverwerking. Gegevens die aan Solid worden toegevoegd, kunnen worden beheerd in een Personal Online Data Store (Pods). Gebruikers kunnen vervolgens zelf bepalen wanneer en waarvoor de gegevens in hun Pods worden gebruikt, bijvoorbeeld om zich te identificeren (Solid, 2019).
4.4 Encryptie
Met behulp van encryptie kunnen (persoons)gegevens dusdanig worden versleuteld dat ze alleen leesbaar zijn voor degenen die beschikken over de juiste sleutel. Encryptie wordt veel gebruikt om data te beveiligen die via netwerken worden verzonden en om gevoelige gegevens op computers, servers en mobiele apparaten te beschermen. Ook Privacy Enhancing Technologies maken voor hun informatiebeveiliging gebruik van encryptie.
Het is de verwachting dat encryptie in de komende jaren niet alleen in de privésfeer zal worden gebruikt, zoals in chatapps als Whatsapp, Signal en Telegram, maar ook in zakelijke communicatie. Daarnaast is de versleuteling van gegevens in opslag, bijvoorbeeld in clouddiensten, in opkomst.
Secure multi-party computation
Een kanttekening bij het gebruik van encryptie betreft het kunnen uitwisselen van gegevens met andere partijen. Veel gebruikte encryptietechnieken vereisen dat informatie eerst wordt ontsleuteld voordat deze kan worden gedeeld of verwerkt. Eenmaal ontsleuteld, is de informatie kwetsbaar voor cyberaanvallen. Ontwikkelingen op het gebied van zogenoemde homomorfe encryptie bieden hiervoor uitkomst. Gebruikers kunnen dankzij deze techniek versleutelde gegevens verwerken zonder ze eerst te moeten ontsleutelen. De kans op ongewenste inzage wordt zodoende verkleind.
Deze techniek komt bijvoorbeeld van pas in situaties waarin partijen belang hebben bij het kunnen beschikken over elkaars gegevens, maar geen inzage willen geven in al hun informatie. Dat kan bijvoorbeeld het geval zijn als meerdere partijen gegevens willen uitwisselen over cyberkwetsbaarheden en -aanvallen, maar niet op individueel niveau willen prijsgeven dat ze doelwit zijn van een bepaalde aanval.
Secure multi-party computation stelt de partijen in staat informatie te delen, zonder dat de gegevens te herleiden zijn tot een bepaalde partij.
Kwetsbaarheden in encryptietechnologie
Een tweede kanttekening bij het gebruik van encryptie betreft het risico dat de versleuteling wordt gebroken. De meest bekende methode hiervoor is een brute force aanval, een aanval met brute kracht. Een aanvaller probeert in dit geval net zo veel sleutels uit tot de juiste is gevonden. Hoe meer rekenkracht een aanvaller heeft, hoe groter de kans dat het zal lukken.
Een andere methode om encryptie te kraken zijn side-channel aanvallen, die zich richten op de directe omgeving waarin het programma opereert. Stroomverbruik, elektromagnetische velden of geluid kunnen bijvoorbeeld informatie bieden waaruit de juiste sleutel kan worden afgeleid. Ook kan een aanvaller gebruikmaken van social engineering: door middel van psychologische beïnvloeding van betrokken personen kunnen zij worden verleid de encryptiesleutel prijs te geven of de inhoud van de versleutelde informatie bekend te maken.
Zoals eerder aangegeven, zal de komst van de kwantumcomputer het op termijn mogelijk maken om op grote schaal bestaande vormen van encryptie te breken.
Belemmering voor opsporing
Een derde kanttekening bij het gebruik van (sterke) encryptie betreft het gebruik dat criminelen of terroristische groeperingen ervan kunnen maken om hun communicatie te beveiligen, en daarmee te ontsnappen aan opsporingsinspanningen van politie en justitie. Sommige overheden roepen daarom op tot ‘verantwoorde encryptie’. Deze kan door bijvoorbeeld technologiebedrijven worden doorbroken wanneer sprake is van een gerechtelijk bevel. In Australië is een wet aangenomen die technologiebedrijven daartoe dwingt (Scott, 2018). Maar het is omstreden of en hoe zulke verantwoorde encryptie kan worden gerealiseerd. De Nederlandse regering is hier geen voorstander van (Minister van Veiligheid en Justitie & Minister van Economische Zaken, 2016).
4.5 Digitale ondertekening ter bestrijding van deep fakes
In het vorige hoofdstuk is aangegeven dat machine learning kan worden ingezet ter bestrijding van deep fake manipulatie van beeldmateriaal. Maar deze vorm van desinformatie kan ook worden bestreden met bestaande, relatief eenvoudige technologische middelen. Zo kunnen nieuwsbronnen gebruikmaken van digitale ondertekening van berichten, foto’s en video’s. Digitale ondertekening stelt de lezer of kijker in staat om de herkomst van berichten – en daarmee de betrouwbaarheid van de berichtgeving – te verifiëren. De technologie is breed toepasbaar. Ook gebruikers die e-mails, berichten op social media of andere digitale documenten te verzenden, kunnen ervan gebruikmaken. Maar op dit moment gebeurt dit slechts op kleine schaal.
Maar net als bij de meeste andere technologieën, staat of valt digitale ondertekening met een correcte implementatie ervan. Zo werden onlangs kwetsbaarheden onthuld in de ondertekening van e-mails in Mozilla Thunderbird (Mozilla, 2019), en bleek de betrouwbaarheid van digitaal getekende PDFs onvoldoende gewaarborgd (Stewart, 2019). Deze methode voorkomt ook niet dat mensen, al dan niet onbewust, onbetrouwbare digitale documenten ondertekenen en daarmee meewerken aan het verspreiden van desinformatie.
Bovendien wordt digitale ondertekening pas een effectief middel tegen de verspreiding van desinformatie als ze op grote schaal wordt toegepast. Overheidsinstanties kunnen hierin het voortouw nemen, door digitale ondertekening te stimuleren of op te leggen. Voor mediabedrijven hanteert de EU momenteel een beleid gebaseerd op zelfregulering. Wanneer dit onvoldoende werkt, kan worden overgestapt op meer dwingende regelgeving (EC Media Convergence and Social Media Unit 1.4, 2019).
4.6 Meer structurele aandacht voor cyberweerbaarheid
De cyberweerbaarheid is er in het bijzonder bij gebaat als op een meer structurele manier wordt voorkomen dat digitale kwetsbaarheden ontstaan. We bespreken hier drie voorbeelden, die divers van aard zijn: SecDevOps, waarbij al in het ontwerpproces aandacht wordt besteed aan het belang van cyberweerbaarheid; veiligere aanvoerketens, waarbij breder wordt gekeken dan de eigen organisatie; en veiligere communicatieprotocollen, die op een basaler niveau de cyberweerbaarheid beogen te verhogen.
4.6.1 SecDevOps voor een integraal ontwerpproces
Goed beveiligde producten en diensten beginnen bij een goed ontwerpproces. Secure Development and Operations (SecDevOps) moeten een integrale aanpak van IT-gerelateerde organisatieprocessen mogelijk maken. Zie https://www.devsecops.org/. Hierbij werken binnen een organisatie de security-afdeling, de developmentafdeling en de operationele afdelingen samen om kwetsbaarheden te verkleinen in de softwareontwikkeling en in de uitrol daarvan (Pal, 2018). De uitrol betreft bijvoorbeeld de manier waarop een leverancier software-updates aanbiedt aan eindgebruikers. Ook die kan kwetsbaarheden bevatten. Zo brachten onderzoekers van Kaspersky Lab onlangs aan het licht dat gebruikers van populaire Asus-apparatuur tot voor kort het risico liepen om via de update-tool van Asus te worden aangevallen (GreAT & AMR, 2019).
SecDevOps richt zich op het automatiseren en integreren van beveiligingsprocessen in het gehele ontwikkelproces, van ontwerp tot implementatie bij de gebruiker. Hiervoor kan bijvoorbeeld gebruik worden gemaakt van technische middelen die proactief code scannen op kwetsbaarheden en signaleren waar in systemen kan worden binnengedrongen (vulnerability testing en penetration testing). SecDevOps-technieken kunnen ook worden gebruikt voor een automatische audit van een nieuwe software versie. Zo is Jenkins een onder software ontwikkelaars populair systeem om nieuwe software te schrijven. Hiermee kan automatisch software worden gecontroleerd op de tien meest voorkomende kwetsbaarheden die zijn geïdentificeerd door de Open Web Application Security Project (OWASP) foundation.
Voor een grootschalige toepassing van SecDevOps is het van belang dat dit soort technieken gebruiksklaar wordt aangeleverd. Publieke sectoren zouden het gebruik ervan kunnen afdwingen door het op te nemen in inkoopvoorwaarden.
Bij het ministerie van Defensie staat het werken volgens SecDevOps-methoden al op de radar. Zo heeft het Joint IV Commando (JIVC), dat verantwoordelijk is voor de IT-voorzieningen, de methode opgenomen in het programma Gereedstelling Nieuwe IT, zoals is te lezen in recente vacatures (Werken bij de Overheid, 2019).
4.6.2 Veiligere aanvoerketens
Naarmate organisaties hun eigen beveiliging beter op orde hebben, richten aanvallers hun vizier vaker op toeleveranciers van die organisaties. Organisaties doen er dan ook goed aan breder te kijken dan de eigen cyberweerbaarheid.
Zo kan de aanvoer van nieuwe software worden beveiligd door het installatiebestand te voorzien van een digitaal watermerk (hash). Dit is een vorm van digitale ondertekening. Gebruikers kunnen met behulp van zo’n watermerk eenvoudig controleren of het installatiebestand is gemanipuleerd. Softwaredistributiesystemen als Google Play en Apple Appstore voeren dit soort controles automatisch uit.
Ook op het niveau van de hardware zijn controles mogelijk. Zo controleert de T2- chip in Apple’s iMac Pro of de computer alleen van vertrouwde software gebruikmaakt gedurende het opstartproces (Apple Support, 2019).
Andere – niet technologische – maatregelen om de cyberweerbaarheid van leveranciers te verhogen liggen op het terrein van certificering, inkoopvoorwaarden en toezicht. Zo stelt het ministerie van Defensie in zijn Algemene Beveiligingseisen voor Defensieopdrachten (ABDO) strenge voorwaarden aan leveranciers.
4.6.3 Veiligere communicatieprotocollen
De technische infrastructuur van het internet bestaat uit diverse technologische ‘lagen’ (layers). Niet alleen in de hogere applicatielagen bevinden zich kwetsbaarheden, maar ook op meer basale niveaus. De meer basale IT- infrastructuur betreft onder andere communicatieprotocollen, zoals verbindingsprotocollen (voor de uitwisseling van data tussen netwerkelementen), netwerkprotocollen (voor de uitwisseling van data tussen bron en bestemming), en applicatieprotocollen (voor de uitwisseling van informatie tussen applicaties). Andere basale elementen betreffen hardware, firmware en operating systems. Doorgaans gebruiken meerdere applicaties dezelfde basale infrastructuur. Technologische innovaties die kwetsbaarheden verhelpen op deze ‘diepere’ niveaus, kunnen dan ook van grote betekenis zijn voor de verhoging van de cyberweerbaarheid.
Nederlandse kennisinstellingen als TU Delft, UTwente, SURF en TNO werken aan verbeterde communicatieprotocollen. Om deze daadwerkelijk ten goede te laten komen aan de cyberweerbaarheid, dienen ze op grote schaal te worden geïmplementeerd. Maar dat lukt niet altijd, of maar ten dele. Zo bestaat er een veiliger alternatief voor het veelgebruikte Internet Protocol (IP) versie 4, namelijk IP versie 6 (IPv6). Toch is dit nieuwe protocol de afgelopen 10 jaar tot slechts 25% van het wereldwijde web doorgedrongen (Google, 2019).
Ook de nieuwe versie van het IP-protocol bevat overigens kwetsbaarheden. Het protocol functioneert namelijk zo dat de digitale adressen van gebruikers vaak voor alle deelnemers van het internet zichtbaar en bereikbaar zijn. Een alternatief protocol als RINA schermt de digitale adressen juist af, wat de veiligheid ervan ten goede komt. Daarnaast verlangt het IP-protocol van beheerders dat zij zelf maatregelen treffen om belangrijke data te beveiligen. Dat kan anders: een protocol als Named Data Networking (NDN) neemt de beveiliging van data juist als uitgangspunt. Ook het project Scalability, Control and Isolation on Next-Generation Networks (SCION) verdient vermelding. In dit alternatieve netwerkprotocol vormen belangrijke principes als controle, transparantie en weerbaarheid de basis van de communicatie. Deze alternatieve protocollen bevinden zich nog wel in een experimentele fase.
Het op grote schaal vervangen van een communicatieprotocol door een nieuwere versie blijkt in de praktijk weerbarstig. Dat geldt nog sterker voor de overstap naar een geheel ander communicatieprotocol. Het valt te vergelijken met het invoeren van rechts rijden in het Verenigd Koninkrijk. Het vervangen van een communicatieprotocol kan alleen succesvol worden uitgevoerd als een grote meerderheid van de deelnemers in een netwerk daarmee instemt, of als zowel het oude als het nieuwe systeem gelijktijdig blijven werken. Voor veel reeds in gebruik zijnde apparatuur en software is het echter niet mogelijk om het communicatieprotocol te vervangen. Een volledige, wereldwijde overstap valt dan alleen te bewerkstelligen door deze apparatuur en software in zijn geheel te vervangen.
Vanwege de grote moeite die het kost om veiligere communicatieprotocollen te implementeren, worden wereldwijd op dit vlak maar kleine stapjes gemaakt. De voortgang wordt tevens bemoeilijkt doordat het intergouvernementele overleg over het wereldwijde beheer van het internet is vastgelopen. In 2017 eindigde de bijeenkomst van de VN Group of Governmental Experts (UN-GGE) zonder slotverklaring. Sindsdien zijn wel diverse publiek-private initiatieven ondernomen, zoals het Cyber Security Tech Accord in 2018. Maar wereldwijde voortgang op dit gebied vergt vooral een breed gedeelde, meer concrete normstelling en handhaving (Rathenau Instituut, 2019b).
De overstap naar een ander communicatieprotocol kan worden vergemakkelijkt wanneer een grote speler binnen het digitale domein zich daarachter schaart. Zo besloot Google enkele jaren geleden het gebruik van het HTTPS-protocol aan te moedigen. In de browser Chrome wordt tegenwoordig een waarschuwing getoond als gebruikers een website zonder HTTPS bezoeken. In reactie hierop hebben aanbieders van websites besloten om in rap tempo het HTTPS-protocol te implementeren (Sheridan, 2018). In enkele jaren is het gebruik van HTTPS gestegen naar meer dan 90% van alle websites (Google, 2019).
Voor het gebruik van veiligere standaarden als HTTPS en IPv6 geldt in de Nederlandse publieke sector een ‘pas toe of leg uit’-beleid bij de aanschaf van producten of diensten voor een bedrag vanaf 50.000 euro (Forum Standaardisatie, 2019). In de praktijk blijkt hier lang niet altijd gehoor aan te worden gegeven. Zo schiet een groot aantal websites van Nederlandse ziekenhuizen hierin tekort (Van
der Laan, 2019). Experts roepen op tot meer dwingende maatregelen vanuit de overheid om de naleving te bevorderen (Schneier, 2018).
4.7 Opendatastandaarden en open source software
Zoals bij het toegenomen gebruik van clouddiensten al ter sprake kwam, gaan eindgebruikers bij de aanschaf van digitale producten of diensten vaak verbanden aan waarvan ze de gevolgen lang niet altijd kunnen overzien. Zo komt het regelmatig voor dat gebruikers worden geconfronteerd met een wijziging van de voorwaarden waaronder een digitale dienst of product door de leverancier wordt aangeboden. Vervolgens moeten zij een afweging maken tussen aanvaarding van de veranderde voorwaarden, of het maken van kosten die gepaard gaan met de overstap naar een andere leverancier. Dit kan ook ten koste gaan van de cyberweerbaarheid, omdat gebruikers niet altijd het best beveiligde product krijgen aangeboden.
Door gebruik te maken van opendatastandaarden en open source software kan het voor een gebruiker gemakkelijker worden om naar een andere leverancier over te stappen, omdat in dat geval de kosten daarvan lager zijn. Aanbieders zouden zo ook meer worden gedwongen hun producten en diensten te verbeteren. Er bestaan verschillende gradaties in de mate van openheid, variërend van inzage in de programmatuur tot vrijheid tot het maken van aanpassingen daarin en het verspreiden daarvan. Naarmate de gebruiker meer keuzevrijheid geniet, neemt de afhankelijkheid van een leverancier af.
De Wet hergebruik overheidsinformatie (Who) beoogt het gebruik van opendatastandaarden te bevorderen. Zo is het voor (semi-)overheidsorganisaties verplicht om het Open Document Format (ODF) te gebruiken voor tekstbestanden, in plaats van software-specifieke formats als Docx van Microsoft Word. De door ons geraadpleegde deskundigen merken op dat de wet voor opendatastandaarden niet altijd wordt nageleefd. Het gebruik van Open source software wordt binnen de overheid weliswaar gestimuleerd, maar is niet als norm gesteld (Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, 2014).
Niet per definitie veilig
Het gebruik van open standaarden en open source software draagt overigens niet vanzelf bij aan een hogere cyberweerbaarheid. Dat liet de HeartBleed kwetsbaarheid in 2014 zien. Deze kwetsbaarheid trof 66% van alle wereldwijde webdiensten, maar bleef lange tijd onopgemerkt, hoewel iedereen toegang had tot de broncode van de software en de kwetsbaarheid had kunnen vinden.
Ook kwaadwillende partijen kunnen hierdoor beter zicht krijgen op de kwetsbaarheden die zich daarin voor kunnen doen, en daar hun voordeel mee doen. Veel initiatieven op dit gebied worden daarnaast door vrijwilligers gedragen, die ook het onderhoud ervan verrichten. Een gebrek aan onderhoud kan ten koste kan gaan van de veiligheid. Software en standaarden moeten namelijk continu onderhouden worden, om recent ontdekte kwetsbaarheden te verhelpen.
Access to Innovation
Access to Capital
Access to Talent
Access to Market
Access to Knowledge
