Inleiding
Hebben alleen terroristen recht op privacy? Het is natuurlijk een harde
uitspraak, maar het effect dat ik ermee wil bereiken is dit keer niet
alleen dat u dit artikel verder leest, maar ook dat u eens kritisch naar
de huidige tendens kijkt. Ik wil niet te veel terugkijken, maar een
aantal vergelijkingen trekken tussen de fysieke wereld en de huidige
stand van zaken op ICT beveiligingsgebied. Dit artikel zal wat verder
naar de toekomst kijken en wat kritische noten plaatsen bij de stappen
die nu in elk westers land door de overheden worden genomen.

Risico's, beveiliging, detectie en reactie
11 september 2001 zal de geschiedenisboeken ingaan als de dag waarop de
US erop werd gewezen dat de zogenaamde "fortress mentality" niet meer
werkt. Opnieuw is duidelijk geworden dat het inrichten van beveiliging
door het bouwen van muren rondom een beveiligde omgeving niet langer
voldoende is. Amerika heeft zich in de laatste decennia verdedigd door
een sterke controle uit te voeren aan de grenzen (denk aan de
verschillende formulieren die in het vliegtuig of daarvoor zelfs al
ingevuld moeten worden, de lange wachtrijen bij het vliegveld voor
"immigrations" en de vragen die de strenge persoon in het hokje stelt
voordat de juiste stempels weer in het paspoort gezet worden), terwijl
binnen de grenzen van het land vrijheid als het hoogste goed werd gezien
(afgezien van financiele welstand -- ja, ik ben me bewust dat het
bovenstaande bepaalde misstanden achterwege laat, ik ben den ook geen
historicus, noch wil ik hier een essay schrijven over de sociale
aspecten van de Amerikaanse cultuur). Amerika zag de risico's dus vooral
van buiten de eigen grenzen komen. Dus daarop concentreerde zich de
beveiliging ook.

Die vrijheid binnen de grenzen van het land worden op dit moment
aangewezen als een van de belangrijkste oorzaken van het niet kunnen
voorkomen van terroristische aanslagen zoals die op het Pentagon en het
WTC. De werkelijke oorzaak is natuurlijk niet het gebrek aan controle,
maar valt waarschijnlijk terug te voeren tot de externe politiek die de
US in het verleden heeft gevoerd, met name de politiek richting het
midden oosten. Maar laten we ons concentreren op de effecten en niet op
de politiek, hoewel politiek ook in onze dagelijkse ICT (beveiligings)
projecten natuurlijk een belangrijke rol kan spelen. Toch is het een
wijze les die aan elke security officer de valide vraag stelt "wat
gebeurt er met mijn ICT omgeving als de perimeter beveiliging (meestal
de firewall) wegvalt?". In veel gevallen zal toegegeven moeten worden
dat op dat moment de volledige omgeving toegankelijk wordt voor derden.
Een situatie die, mild uitgedrukt, niet wenselijk is.

Het falen van de verschillende inlichtingendiensten is natuurlijk
ook een aspect dat regelmatig aan de orde is geweest. Ook hier
kan een parallel getrokken worden met de beveiliging van ICT. Een
inlichtingendienst is verantwoordelijk voor het tijdig opsporen en
elimineren van ongewenste praktijken uit de samenleving, waardoor die
omgeving "veilig" blijft. Als zodanig kunnen ze worden vergeleken met
virusscanners en Intrusion Detection Systems (IDS), gekoppeld aan
een effectief reactie mechanisme. Indien een inlichtendienst naar
behoren werkt zal de omgeving nooit geconfronteerd worden met die
praktijken waartegen deze beveiligd is. Natuurlijk moet vooraf duidelijk
worden vastgelegd door die samenleving (in een democratisch stelsel)
waartegen de inlichtingendienst bescherming moet bieden, hoe afwijkingen
geelimineerd mogen worden, en zal de betreffende dienst ook door die
samenleving gecontroleerd moeten kunnen worden zodat nagegaan kan
worden of de dienst volgens specificaties functioneert. De amerikaanse
inlichtingendiensten blijken informatie te hebben ontvangen van andere
bronnen die aangaven dat er een grote aanslag op handen was. Deze
informatie is onvoldoende opgevolgd met alle gevolgen van dien. De ICT
beveiligingsles die geleerd kan worden is tweezijdig. Alleen het
inrichten van een IDS of virusscanner is onvoldoende. Deze systemen
zullen up-to-date moeten worden gehouden en regelmatig zal gecontroleerd
moeten worden of zij nog steeds voldoen. Verder is detectie zonder enige
vorm van reactie natuurlijk nutteloos. Maar over reactie (het gebrek
eraan, of de mogelijke invulling ervan) kan ik een volledig nieuw
artikel schrijven en het zou te ver gaan om dit hier nog bij te proppen.

Privacy
Een ander aspect dat nu meer en meer in de media verschijnt is
het gebruik van cryptografische en steganografische technieken door
terroristische organisaties. De communicatie tussen de verschillende
personen die betrokken waren bij de recente aanslagen werd gevoerd door
het versturen van plaatjes waarin boodschappen waren verborgen door
gebruik te maken van steganografie. Blijkbaar een zwakke vorm van
beveiliging als dat nadien door de veiligheidsdiensten kan worden
aangetoond. Toch zal vooral dit laatste aspect nogal wat invloed hebben
op de privacy van burgers in de westerse wereld. Iets waar we ons
wellicht wat meer zorgen over moeten maken dan op dit moment gebeurt.

Welke berichtgeving hebben we in de tussenliggende periode al gehoord?
Key escrow en andere manieren waarop gecodeerde berichten eenvoudig
gedecodeerd kunnen worden door overheidsinstellingen worden meer en meer
als voorwaarde gesteld. In sommige berichtgeving werd zelfs het verbod
op cryptografie weer aangehaald. Overheden willen meer toezicht kunnen
houden op bevolking. De mooiste reactie hoorde in zelfs bij een
actualiteiten televisie uitzending, die de bovenstaande maatregelen liet
volgen door "natuurlijk heeft dit invloed op de privacy van de
bevolking, maar die moet dit maar voor lief nemen".

Maar wil die bevolking dat wel voor lief nemen? Als we zoals gewoonlijk
beveiliging koppelen aan risico's, dan levert dit natuurlijk wel een
heel erg groot risico voor de bevolking op. Nachtmerries in de vorm van
Big Brother uit 1984 komen erg snel naar boven. En wat zou ervoor zorgen
dat onze terroristische vijanden zich ook onderwerpen aan deze regels?
Eigenlijk niets. Zolang je de wet volgt krijgt de overheid alle
toegang tot je gegevens, maar als je die wet en andere wetten
overtreedt dan ziet diezelfde overheid hoogstens met welke andere
partijen gecommuniceerd wordt en zelfs dat kan gemaskeerd worden. Hebben
dan alleen terroristen en andere wetsovertreders dus recht op privacy?
Of wordt hier het kind met het badwater weggegooid? Privacy is een van
de rechten van de mens. Door het invoeren van dit soort wetgeving gaan
westerse overheden een direkt conflict aan met dit recht. Ik ben van
mening dat geen enkele terroristische organisatie deze overwinning op
de vrijheid van de mens mag kunnen claimen. Misschien lijkt het
bovenstaande op de uitspraken van een Don Quichotte en vecht ik tegen
windmolens. Zelf hoop ik meer dat het bovenstaande gezien wordt als een
kritische kijk op de maatschappij en de ICT omgevingen die in de huidige
westerse maatschappij nog maar moeilijk los daarvan gezien kunnen
worden. Lees Tijl Uylenspieghel er nog maar eens op na.

Dit artikel verscheen eerder in 't Klaphek.