image

'Europese Cyberstrategie schaadt security en vrijheid'

vrijdag 8 februari 2013, 14:22 door Redactie, 9 reacties

De Cyber Security Strategie die de Europese Commissie (EC) gisteren presenteerde is schadelijk voor zowel de vrijheid als veiligheid van internetgebruikers, zo stelt een bekende Britse beveiligingsonderzoeker. "Het doel is de Europese kernwaarden vrijheid en democratie te bevorderen en te waarborgen dat de digitale economie op een veilige manier kan groeien", zo liet de EC weten.

Volgens de aankondiging van de nieuwe strategie moeten de geplande maatregelen digitale informatiesystemen veerkrachtiger maken, cybercriminaliteit terugdringen en het internationale cyberbeveiligingsbeleid en de cyberdefensie van de EU versterken.

Zo moeten de lidstaten een strategie voor netwerk- en informatiebeveiliging vaststellen en een voor netwerk- en informatiebeveiliging bevoegde nationale instantie aanwijzen. Daarnaast gaan de lidstaten en de Commissie een samenwerkingsverband aan om vroegtijdige waarschuwingen over risico's en incidenten via een veilige infrastructuur te delen.

Als laatste moeten exploitanten van essentiële infrastructuur risicobeheersregelingen invoeren en ernstige incidenten met betrekking tot hun kerndiensten melden.

"De mensen worden steeds afhankelijker van het internet en het wordt dus steeds belangrijker dat het veilig is. Een veilig internet beschermt onze vrijheid, onze rechten en onze mogelijkheden om zaken te doen. Het is tijd om gecoördineerd op te treden; als we niets doen, zijn de kosten veel hoger dan als we actie ondernemen", aldus Neelie Kroes, vicevoorzitter van de Europese Commissie voor de Digitale agenda.

Vrijheid
Professor Ross Anderson van de Universiteit van Cambridge heeft twee grote problemen met het nieuwe beleid. Het eerste kritiekpunt is dat de lidstaten verplicht worden om één nationale instantie voor technische expertise en internationale samenwerking aan te wijzen.

"Centralisatie schaadt niet alleen de scheiding der machten die essentieel in elke democratie is, maar schaadt ook operationele effectiviteit", laat Anderson weten. De meeste kritieke infrastructuur is in handen van buitenlandse bedrijven. Het vervangen van de huidige privaat-publieke samenwerking door een gecentraliseerd en geclassificeerd systeem, zou het lastiger voor deze partijen maken om mee te doen.

Meldplicht
Het tweede punt dat de professor hekelt is de verplichte meldplicht bij incidenten. Terwijl organisaties in de VS burgers moeten inlichten als een hack invloed op hun gegevens heeft, stelt de EC in de strategie dat alleen de 'competente autoriteit' moet worden ingelicht. Deze autoriteit hoeft het publiek alleen in te lichten als die bepaalt dat dit in het algemeen belang is.

In plaats van het publiek meer macht te geven, krijgen inlichtingendiensten en andere organisaties meer macht, stelt Anderson. Die wijst ook naar een andere regel in de Cyber Security Strategie, die bepaalt dat de 'competente autoriteiten' de bevoegdheid krijgen om de veiligheid van marktpartijen en overheden te toetsen en de bevoegdheid krijgen om aan deze partijen 'bindende instructies' te geven.

"Ik denk dat iedereen goed moet nadenken over de gevolgen als dit voorstel, zoals het nu staat, wordt goedgekeurd. Het is weer een jammerlijke stap richting de militarisering van cyberspace", besluit Anderson.

Reacties (9)
08-02-2013, 14:53 door Anoniem
Bits Of Freedom had hier gisteren ook al een aardig stuk over.
https://www.bof.nl/2013/02/07/europese-cyberregels-gooien-privacy-te-grabbel/
08-02-2013, 21:06 door cowboysec
Het doel is de Europese kernwaarden vrijheid en democratie te bevorderen en te waarborgen dat de digitale economie op een veilige manier kan groeien"....

Ik ben sterk voorstander van een centrale meldplicht en bij voorkeur publicatie ' en publiek'.

In de Verenigde Staten gebeurt dit al jaren en het duurt nog steeds te lang voordat het ook in Nederland is doorgedrongen.

De massa, de overheid en MKB (+) zijn nog steeds niet in staat gebleken om veilige systemen te gebrukken met alle gevolgen van den.

De criminaliteit maakt hier dankbaar gebruik van.

Middels transparantie worden de bedreigingen, maatregelen en discussies eindelijk helderder in plaats van dat die in 'mistige' achterkamers gevoerd worden. De gewone man snapt er inmiddels niets meer van en doet maar wat.

Moeten er dan weer slachtoffers vallen, waarvoor de maatschappij uiteindelijk toch weer moet opdraaien net als die fraudezaken in de bankenwereld.
09-02-2013, 16:51 door Anoniem
Men denkt dat controle en incidentafhandeling de oplossing zijn. CERTs zijn het gevolg van het probleem, niet de oplossing. Het blijkt moeilijk dat te begrijpen.

Voor degenen die het nog niet begrijpen: de echte oplossing is intrinsieke security. Security ingebouwd in het ontwerp. Security is geen add-on. Je kunt er nog zoveel kastjes voor zetten, dat helpt weinig zonder het echte probleem aan te pakken.
09-02-2013, 22:09 door Anoniem
Door cowboysec: De massa, de overheid en MKB (+) zijn nog steeds niet in staat gebleken om veilige systemen te gebrukken met alle gevolgen van den.

.
Het aspect meldplicht in deze strategie gaat voorbij aan het MKB!
Onduidelijk is of wel alle overheid valt onder 'public administrations'.
09-02-2013, 23:43 door ben987
had niet anders verwacht van de eussr...
10-02-2013, 06:50 door Anoniem
"En daar schiet de richtlijn te kort: in het waarborgen van privacy."

Zou Bits of Freedom ooit wel eens in de praktijk met dat soort zaken te maken hebben ? Ik ben beveiliger bij een provider, en wij leveren wel eens logs aan bij de overheid over incidenten, zoals bijvoorbeeld besmettingen bij een malware uitbraak.

Log files worden *altijd* gecensureerd, aangezien wij de privacy wet niet willen schenden, en het de overheid niets aan gaat welke klanten besmet zijn. Met andere woorden, source IP's van de traffic krijgt men nimmer te zien. Verder leveren we eventueel statistische gegevens over het aantal klanten wat impact heeft.

Volgens mij negeert men dat soort praktische zaken altijd bij Bits of Freedom, door simpelweg aan te nemen dat alles wordt uitgewisseld, om vervolgens uitwisseling als geheel af te willen schieten.

"De richtlijn moet worden aangepast zodat onze privé-gegevens niet onder het mom van cybersecurity tussen allerlei “autoriteiten” in verschillende landen worden uitgewisseld. "

Een voorbarige aanname van BoF....
11-02-2013, 09:22 door SecuritySander
Boeiend toch die discussies. Wordt er op veiligheidsgebied eens iets ondernomen, dan schiet dat bij de privacy clubs in het verkeerde keelgat. En vice versa. Mij lijkt het een goed idee om meer te verplichten op het gebied van security - en dat kan best anoniem. Wel praktisch maken; niet zoals de nederlandse cookiewet svp...
11-02-2013, 10:58 door [Account Verwijderd]
[Verwijderd]
11-02-2013, 11:01 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.