Kamervragen over beveiligingsadvies bluetooth en gebruik contact-tracing app
In de Tweede Kamer zijn vragen gesteld over de voorgestelde contact-tracing app van de overheid die via bluetooth werkt en de beveiligingsrichtlijn en advies van het Nationaal Cyber Security Centrum (NCSC) waarin wordt aangeraden om bluetooth uit te schakelen als hier geen gebruik van wordt gemaakt.
Afgelopen dinsdag kondigde het kabinet aan dat het een contact-tracing app wil inzetten die bijhoudt met wie gebruikers in contact zijn gekomen en een waarschuwing kan geven als één van deze contacten met corona besmet is geraakt. Het bijhouden van contacten vindt plaats via bluetooth. De afgelopen jaren zijn echter verschillende ernstige kwetsbaarheden in bluetooth ontdekt waardoor aanvallers in het ergste geval volledige controle over toestellen zouden kunnen krijgen.
Alleen het ingeschakeld hebben staan van bluetooth zou voldoende zijn om met malware besmet te raken, waardoor aanvallers toegang tot vertrouwelijke informatie en bankgegevens zouden kunnen krijgen. Een bekende bluetooth-aanval was Blueborne. Na de aankondiging van deze aanval kregen smartphonegebruikers voor wie geen updates beschikbaar waren het advies van overheidsinstanties om bluetooth uit te schakelen.
Daarnaast geven zowel beveiligingsexperts als overheidsdiensten het advies om bluetooth standaard uit te schakelen als het niet wordt gebruikt. Zowel vanwege privacy als security. Het NCSC adviseert dit onder andere in de Factsheet "Veilig gebruik van smartphones en tablets" en de "Beveiligingsrichtlijnen voor mobiele apparaten".
Aanleiding voor 50Plus, ChristenUnie, D66, FvD, DENK, GroenLinks, PvdA, PvdD, PVV en SGP om minister De Jonge van Volksgezondheid, minister Dekker voor Rechtsbescherming en minister Knops van Binnenlandse Zaken om opheldering te vragen. "Hoe verhoudt het gebruik van bluetooth door deze apps zich tot de beveiligingsrichtlijnen van het Nationaal Cyber Security Centrum waarin staat: 'Schakel WiFi, Bluetooth en andere netwerkgroep uit'?", aldus de vraag van de Kamerleden.
Die willen daarnaast ook weten of er wetenschappelijke studies zijn die de noodzakelijkheid en effectiviteit van een dergelijke app aantonen, hoeveel mensen de app moeten installeren voordat die effectief is, of de broncode open source wordt, aan welke cyberveiligheidseisen de app moet voldoen, welke apps worden overwogen, hoe de ontwikkeling van dergelijke apps in andere EU-landen gaat en of beveiligingsexperts straks eventuele kwetsbaarheden kunnen rapporteren. De ministers hebben drie weken de tijd om de vragen te beantwoorden.
Behalve dat ultrasone beaconing geen alternatief is omdat dit zelfs nog een attack vector toevoegt en constant moet 'meeluisteren' door de microfoon van het toestel.
En dat het feit dat het opensource zou kunnen zijn, niet betekent dat nu iedereen kan controleren wat de gedownloade binary uit de verschillende stores nu werkelijk op de achtergrond doet.
Ik blijf overigens nog steeds voorstander van een contact tracing app, mits privacy vriendelijk, en hoop dat ook de mensen hier er gebruik van zullen maken als nut en noodzaak duidelijk zijn.
Ik blijf overigens nog steeds voorstander van een contact tracing app, mits privacy vriendelijk, en hoop dat ook de mensen hier er gebruik van zullen maken als nut en noodzaak duidelijk zijn.
Ik niet omdat ik denk dat er gigantisch veel false positives uit gaan komen. Bluetooth heeft een bereik tot wel 10 meter. Als ik bij de bakker ben en bij de slager is er iemand besmet, moet ik twee weken in quarantaine? GPS en driepuntmeting zijn ook veel te onnauwkeurig hiervoor.
Ik snap de behoefte aan die data, maar een app is daarvoor niet het juiste middel.
Dan kan Hugo de Jonge meteen rapporteren welke BT id's net iets te lang bij de vette producten in de schrappen staan te staren.
Of was dit nou juist de vervolgstap?? Even nog meer de gezondheid van de burgers 1 richting op sturen??
Hele ketens zijn er dus met BT te maken, de overheid kan daar dus niet nog een opzichzelfstaande analyse als een los eilandje voor eigen BT id tracking naast gaan plaatsen.
Dit naast dat BT id tracking natuurlijk sowieso al asociaal is.
Als je de NIST standaard er naast legt dan zijn er veel meer risico 's dan nu wordt beschreven.
https://csrc.nist.gov/publications/detail/sp/800-121/rev-2/final
Ook de Federal Communications Commissie (FCC) adviseert om Bluetooth uit te zetten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.