Tweet

Versleutelen van privacygegevens broodnodig /1 reactie

In de Verenigde Staten is een droeve mijlpaal bereikt: op 13 december meldde privacyrights.org het hondermiljoenste geval van inbreuk op privacy door slordigheid. In Amerika zijn ze zo mogelijk nog gekker op het opslaan van persoonsgegevens dan bij ons; werkelijk overal moeten consumenten, patienten, studenten hun naam, adres en sofinummer opgeven. Zo vaak zelfs dat de meeste Amerikanen hun Social Security Number uit hun hoofd kennen. Telkens wanneer die gegevens moeten worden opgegeven, komen ze terecht in een database op een computer. En al die verschillende databases worden met zeer verschillende mate van zorgvuldigheid beheerd.

Weinig gewicht

Diefstal van identiteit is in Nederland iets waar we heel af en toe iets van horen, wanneer bijvoorbeeld iemands creditcard gebruikt is door een boef. Maar veel gewicht heeft de term hier niet; in Nederland is je identiteit namelijk niet gelijk aan je credit card nummer. In Amerika is identity theft echter een veelvoorkomend probleem. Jaarlijks wordt op deze manier in de VS voor ruim 50 miljard gefraudeerd, wordt geschat.

Het Amerikaanse systeem vertrouwt steeds sterker op contactless technology, waardoor je steeds meer diensten en producten kunt verkrijgen zonder dat je daarvoor iemand hoeft te spreken. Het wordt daarom steeds lucratiever om iemands identiteit te stelen. En behalve lucratief is het ook behoorlijk gemakkelijk. Met identiteit wordt hier namelijk niks filosofisch bedoeld; wanneer je de combinatie van naam, adres, geboortedatum, sofinummer en credit card nummer kunt bemachtigen, heb je alles in huis om je voor te doen als een ander. En het verkrijgen van die gegevens valt reuze mee: er zijn zo ontzettend veel databases waar al die gegevens in opgeslagen zijn, dat het niet moeilijk is er een te vinden die niet zo heel goed beschermd wordt. Privacyrights.org houdt sinds februari 2005 een lijst bij van incidenten waarbij beschermde persoonsgegevens openbaar worden door slechte computerbeveiliging, social engineering en gestolen laptops.

Informatie

Altijd weer die gestolen laptops. Ook in Nederland duiken berichten over gestolen laptops telkens weer op in de media. Niet omdat laptops Heel Erg Bijzonder zijn. Een laptop kost 1000 euro en is meestal gewoon verzekerd, dus de nieuwswaarde van zulke incidenten zou niet erg hoog moeten zijn. Ze vallen in de categorie gestolen fietsen en brommers. De reden dat er toch over geschreven wordt, is natuurlijk dat niet de hardware, maar de informatie op die hardware gestolen is. Dossiers van belangrijke strafzaken, terrorisme-onderzoeken, pensioensgegevens en strategische militaire zaken zijn in Nederland op deze manier openbaar geworden.

Gek genoeg wordt in deze nieuwsberichten vooral benadrukt hoe erg het is dat er zo slordig wordt omgesprongen met computers. Iemand heeft zijn laptop laten liggen in de trein, ooh! Een vergeten memorystick in een huurauto, aah! Een computer die zomaar bij het grof vuil langs de weg is gezet, oeh! Wat een onzin! Iedereen vergeet wel eens iets, dat is het probleem niet.

Versleutelingsmethodes

Wat wel het probleem is: al die geheime en privacygevoelige informatie is onbeschermd opgeslagen. Had de eigenaar van de laptop gezorgd voor beveiliging van de gegevens op de computer, dan was er niets aan de hand geweest. De versleutelingsmethodes die tegenwoordig algemeen beschikbaar zijn voor de encryptie van computergegevens, zijn zo sterk dat het decennia zou kosten om de code te kraken. Het verhaal ziet er dan heel anders uit: Een laptop met voor de dief volkomen onbruikbare informatie is gestolen; da’s vervelend, maar simpel op te lossen door een nieuwe laptop te kopen. Het hoeft in ieder geval niet in de krant.

Versleuteling van de harde schijven van laptops en andere computers is bij sommige bedrijven gewoon standaardbeleid. Gevoelige informatie moet immers niet in handen van derden komen. De boekhouding, plannen voor nieuwe producten, marketingstrategieën, het zijn allemaal zaken die concurrenten best eens interessant zouden kunnen vinden. In een organisatie die winst wil maken is de waarde van zulke gegevens duidelijk: verlies ervan levert schade op. Je kunt die informatie, je eigen kostbare informatie, dus maar beter beschermen.

Heel anders werkt het vaak bij persoonsgegevens. Persoonsgegevens zijn niet het eigendom van de organisatie die ze opslaat, maar van de mensen over wie ze gaan. De waarde van die gegevens is veel moeilijker in geld uit te drukken dan bijvoorbeeld nieuwe marketingplannen, waardoor die waarde minder evident is. Het komt daardoor voor dat zulke gegevens niet bijzonder goed beschermd worden. De lijst van privacyrights.org geeft een goed beeld van dit probleem in Amerika. Het zijn allemaal incidenten die voorkomen hadden kunnen worden met gewone computerbeveiliging.

Oppassen

Maar dus ook in Nederland moeten we oppassen. In haar boek Medische Geheimen toonde Karin Spaink aan dat het goed mogelijk is, elektronische dossiers van duizenden patiënten te bemachtigen. Die bevatten geen gegevens waarmee je de identiteit van die patiënten kan stelen, maar het zijn toch bepaald geen gegevens die zomaar op straat moeten komen te liggen. Ook hier zou computerbeveiliging vanzelfsprekend moeten zijn.

Databescherming op computersystemen van organisaties aan wie we onze persoonlijke gegevens toevertrouwen, is iets dat we als samenleving mogen verwachten en zouden moeten eisen. De Wet Bescherming Persoonsgegevens zegt er in artikel 13 het volgende over: De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen.

Een organisatie die mijn persoonsgegevens opslaat, moet dus zorgen voor een technische beveiliging volgens de actuele norm. De actuele norm is volgens mij 256-bits encryptie. Op de naleving van deze verplichting zou van mij een stuk strenger gecontroleerd mogen worden.

Gênante situaties

Voor iedereen die nu bang is dat het leven hierdoor een stuk ingewikkelder gaat worden: het valt allemaal behoorlijk mee, de software staat misschien zelfs al op je computer en je merkt er niks van. Apple computers kunnen al jaren gebruikmaken van een encryptieprogramma dat standaard in het OS X besturingssysteem zit, waarmee de volledige hard schijf kan worden versleuteld. Windows kan bestanden en mappen versleutelen, maar voor een echte oplossing om de hele harde schijf te beschermen moeten gebruikers nog even wachten op Vista, de nieuwe versie van Windows die met BitLocker dezelfde functionaliteit zal bieden als Apple’s FileVault. Gebruik die mogelijkheden! Een goed veiligheidsbeleid voor computers en informatie is een vanzelfsprekende oplossing die honderd miljoen gênante situaties kan voorkomen.