Column


Column Bastiaan Bakker

Big brother of toch respect voor privacy?

De Verenigde Staten overwegen om Nederlandse bezoekers bij de Amerikaanse douane extreem door te lichten door wachtwoorden van Twitter, Facebook of WhatsApp op te eisen. De regering Trump vermoedt dat dit leidt tot vroegtijdige detectie van terrorisme. Complete gekkigheid in de doorgeslagen ‘war on terror’, of toch zo gek nog niet?

Het toepassen van ‘extreme vetting’ door big brother gaat mij te ver, maar toch zitten er gedachtes in die wel zijn te verdedigen. Het is voor de medewerkers van de immigratiedienst ondoenlijk om in één oogopslag een compleet beeld van elke toerist of zakenreiger te kunnen vaststellen. Snelle controles naar dagelijkse gedragingen en spontane uitingen via sociale media geven een beter beeld dan een persoon met paspoort.

Camera’s en sensoren

Deze gedachte van de regering Trump is natuurlijk niet nieuw. Eind jaren negentig zagen we binnen de wereld van de fysieke beveiliging al de trend om meer veiligheid te bieden door te kijken naar gedragingen. Zo werd de Spoorwegpolitie vervangen door camera’s wat leidde tot een misplaatst gevoel van controle. Niemand hoeft immers te weten dat ik nu de trein neem op perron 2 van station Geldermalsen.

In de loop der jaren veranderde het gevoel van controle in een gevoel van veiligheid. Vandaag de dag is de gemiddelde reiziger op een verlaten station blij met de ogen en oren van de vaste camera’s. Dit beidt veiligheid en bij agressief of ongewenst gedrag kan de meldkamer de politie inschakelen en de beelden als bewijs veiligstellen.

Insider Threat-programma’s

Deze fysieke camera’s zullen de komende jaren ook in de vorm van gerobotiseerde sensoren steeds vaker in informatiesystemen worden aangebracht. Niet voor bigbrotherachtige controles van gedragingen van medewerkers, maar juist voor de veiligheid van de vaak zeer privacygevoelige data in deze systemen.

Het overgrote deel van de medewerkers heeft de allerbeste intenties met het bedrijf waar zij werkzaam zijn, maar maken soms ook fouten waardoor een gigantisch datalek kan ontstaan. Denk aan een medewerker die op een linke link klikt waardoor ransomware de dataschijven van het bedrijf gijzelt. Het gerobotiseerd analyseren van gedragingen gekoppeld aan de positie of rol binnen de organisatie geeft in die situaties een veel effectiever beeld van de risico’s dan het ongelimiteerd lukraak loggen van allerhande systemen en computernetwerken.

Dataveiligheid anders waarborgen

Als security-expert moet ik constateren dat het klassiek beschermen en bewaken van privacygevoelige data onhaalbaar is geworden. Steeds meer data bevinden zich niet meer binnen de eigen datacenters maar in tal van publieke clouddiensten. Het gebruik van shadow IT versterkt de onmogelijkheid om nog controle te willen nastreven. Er ontstaan grote zwarte gaten in het beschermen en bewaken van onze eigen data. Het waarborgen van dataveiligheid moet dus anders, bijvoorbeeld door gedragingen van gebruikers beter te monitoren.

Echter, analyse van menselijke gedragingen geeft een vervelend bigbrothergevoel dat Trump ook oproept met zijn ideeën in de strijd tegen terrorisme. Mijn voorspelling is dat dit beeld op termijn verandert en dat afwijkende gedragingen van medewerkers via een Insider Threat-programma inzichtelijk worden gemaakt.

Ondertussen lijkt Trump doorgeschoten in zijn war on terror, dus in de tussentijd een tip: Twitter, Gmail en andere populaire apps bieden gratis multifactorauthenticatie. Vanuit beveiligingsoogpunt altijd goed om aan te zetten; nu nog meer.


Lees meer over