Column: Schengen 2.0
De strijd tegen Cybercrime heeft weer alle aandacht. In Den Haag, maar nog meer bij de EU. Op de bijeenkomst van Enfopol en Enfocustom in februari onthulde de LEWP (Law Enforment Working Party) haar plannen: we leggen een digitale grens aan rond het Europese deel van het internet. Een “single secure European cyberspace with a certain virtual Schengen border and virtual access points”. De ISP’s zullen “illicit contents” blokkeren op basis van de "black-list".
Wow. Een ‘secure European cyberspace’, dat klinkt pas goed. Virussen, hackers en spam worden voortaan als ongewenste vreemdelingen aan de poort geweigerd, en overtreders zonder pardon over het metershoge virtuele hek gesmeten. Zo krijgen we binnen deze Eurozone een veilig internet. Bedrijven en burgers weten zich beschermd door een waakzame en kundige overheid.
Tot zo ver de illusie. In de echte wereld is dit namelijk je reinste kolder. Het zou misschien kunnen, als virussen, hackers en spam alleen buiten de EU ontstaan en zich vervolgens alleen maar verspreiden via het internet. En als je door het blokkeren van bepaalde content op de lijn, een secure zone kan creëren. Iedere firewallbeheerder weet dat dit een kansloze aanpak is, zelfs met deep packet inspection en oneindig veel rekenkracht. Er blijven immers genoeg andere vectoren, zoals corporate WAN’s, USB sticks, smartphones en laptops die overal maar onbeschermd in netwerken worden geprikt en wie weet zelfs nog diskettes, om er maar een paar te noemen. Om maar niet te spreken over de problematiek van de detectie van zeker vier nieuwe virussen per minuut.
Het voorstel gaat dan ook eigenlijk helemaal niet over onze veiligheid. Die indruk wordt alleen maar gewekt, door het gebruik van het woord Security. Waar gaat het dan wel over? Het weggevertje in deze is de term ‘Illicit Contents’. En dat is een heel breed begrip. Het wordt gebruikt over de volle breedte voor zaken waar mensen tegen zijn, van het voorkomen dat tieners onbedoeld met porno in aanraking komen tot smaad, opruiende geschriften en illegale mp3’s.
Als dit voorstel wordt uitgevoerd, dan wordt Europa ontkoppeld van het Internet. Wat we dan krijgen is een soort Internet Light, met alleen goedgekeurde content; dus content waar voor betaald wordt en waar niemand anderszins bezwaar tegen heeft gemaakt of zou kunnen maken. De gezamenlijke Europese opsporingsdiensten besteden hun tijd aan het inrichten van dit gedrocht ondanks het censuurverbod in de Nederlandse grondwet . Je kunt natuurlijk beargumenteren dat dit niet zomaar kan, omdat opsporingsambtenaren uitvoerders van de wet zijn, en niet op kosten van de belastingbetaler de rechtsstaat mogen ondermijnen. Je zou ook kunnen beargumenteren dat het plan vanwege het censuurverbod in de grondwet toch niet doorgaat.
Jammer, maar helaas.
Het censuurverbod heeft namelijk de toevoeging ‘behoudens ieders verantwoordelijkheid volgens de wet’, en dat is oneindig rekbaar. En reken er maar op dat de dames en heren van de Europese politiemachten veel meer zicht op de ontwikkelingen hebben dan wij gewone burgers. Internet Light komt er.
Het plan voor wat een soort virtueel Schengen moet worden, is niet meer dan weer een maniertje om een filter op mp3s en geripte dvd’s te zetten, en ondertussen even moralistische, politieke en vooral commerciële censuur naar Amerikaanse snit in te voeren. En dan natuurlijk nog beter. Tja, ze geven niet snel op. Internetcensuur is een typisch geval van een bestuurlijke Betuwelijn; niemand is er echt voor, maar omdat de machine in gang is gezet, is hij kennelijk niet meer bij te sturen.
Gaat het dan om een variant op het ACTA-monster? Volgens Brein beloopt de economische schade van het downloaden van films en muziek in Nederland intussen al 315 miljoen euro per jaar. Zeggen ze. Het Schengen 2.0 plan heeft inderdaad met ACTA te maken, maar dan met een verfijnde nuance: de misgelopen indirecte belastingen – hoe anders de rol van de douane te duiden? Als de industrie per jaar 315 miljoen euro verliest, dan verliest de overheid 19% btw daarvan en die 60 miljoen kan Den Haag vast wel gebruiken om de kraters in de begroting te dichten. Nee nee mijnheertje, belasting ontduiken, dat gaat zomaar niet!
In 2000 concludeerde de Nederlandse regering dat het innen van btw in de digitale wereld geen doen was, en besloot tot een nultarief. Toenmalig minister Zalm van Financiën zag geen praktische mogelijkheden om deze belasting te innen. Deze pragmatische gedachte hield echter niet lang stand, en vanaf 2003 werd alsnog btw ingevoerd op digitale producten. Het innen daarvan bleef echter, met het uitblijven van een grootschalige digitale economie, wel problematisch; het overgrote deel van de digitale handel is nog steeds het downloaden uit illegale bron. Geen btw op te heffen dus.
Om de stijgende kosten van de gezamenlijke opsporingsdiensten in al haar bestuurlijke gelaagdheid te financieren worden nu de ISP’s aangewezen als digitale tolpoortjes. Met de door de vergrijzing onomkeerbaar teruglopende criminaliteit moet er toch nieuw werk geschapen worden - het jagen op downloaders mag sommige politici een slecht idee lijken, de opsporingsdiensten zien er blijkens dit voorstel best wel brood in. De term cybercrime triggert de belangrijkste bestuurlijke reflex bij regeringen; het probleem aanpakken. Deze reflex is snedig samengevat door Sir Humprey Appleby: “We must do something. This is something. Therefore we must do it!”. En dat levert banen op.
Om deze kronkel te verkopen wordt de burger belazerd met beloftes over een veiliger Internet en wordt de politiek belazerd met beloftes over inbare belastingen. Laten we hier niet intrappen. Laten we voor ogen houden over wiens veiligheid we het hier nu uiteindelijk hebben; we hebben het hier over de baanveiligheid van de opsporingsdiensten en we hebben het over de omzetveiligheid van de media-industrie. Van dit plan wordt verder geen enkele burger in Europa beter.
Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Laatste 10 columns
Meer columns van Peter Rietveld.
digitale terrorisme, meer DDOSjes op overheid sites.
het laten verzuipen van email services via gigantische mailbom atacks.
encryptie links die de pan uit vliegen.
proxy's die grond uit gestampt worden.
etc..
oh, en wie is weer de sjaak?
de argeloze sul die toch op alles klikt.
Dat het antwoord daarop van de EU niet het juiste is, is niet meer dan logisch, want het komt uit de pen van ambtenaren die zich ook nog eens laten leiden door adviseurs van bedrijven zoals die van dhr. Rietveld, die graag an-masse hun producten slijten. Misschien dat dhr. Rietveld eerst eens zijn collega's moet raadplegen, hoe zij tot een mogelijk stompzinnig maar vermoedelijk duur advies konden komen.
Dat de audiovisuele industrie schade ondervind kunnen we rijkelijk om ons heen zien. In Zeeland is bijna geen videotheek meer te vinden, aangezien je met je account tot 50 GB per maand van een nieuwsserver kunt binnenhalen. Bijna niemand die nog geld uitgeeft aan het huren of kopen van een film of CD. Ook het aantal CD handels is tanende, en het verdwijnen van beide ervaar ik als behoorlijk onplezierig, en als het gevolg van de diefstal die we met zijn allen op het internet plegen. De mentaliteit is zo ver gezakt dat je voor gek wordt verklaard als je inmiddels nog een CD of film koopt.
Dat de audiovisuele industrie schade ondervind kunnen we rijkelijk om ons heen zien. In Zeeland is bijna geen videotheek meer te vinden, aangezien je met je account tot 50 GB per maand van een nieuwsserver kunt binnenhalen. Bijna niemand die nog geld uitgeeft aan het huren of kopen van een film of CD. Ook het aantal CD handels is tanende, en het verdwijnen van beide ervaar ik als behoorlijk onplezierig, en als het gevolg van de diefstal die we met zijn allen op het internet plegen. De mentaliteit is zo ver gezakt dat je voor gek wordt verklaard als je inmiddels nog een CD of film koopt.
Ik heb toevallig afgelopen weekend de laatste harry potter op Blue Ray gekocht. Ik ben thuis en bekijk de achterkant voor de talen en ondertiteling die erbij zijn. En tot mijn ergernis is nederlands beschikbaar en 5 andere talen die nergens in de buurt van nederlands komen. Maar er is zoals gewoonlijk geen engelse ondertiteling. Dus als ik samen met een buitenlandse vriendin wil kijken die graag engelse ondertiteling wil moet ik een engelse versie van de film kopen. En als mn neefje op bezoek komt moet ik de nederlandse versie van de film kopen. Dit noem ik nou ook niet echt gebruikers vriendelijk. Terwijl als ik de versie van het internet download ik elke ondertiteling die ik maar wil erbij kan zetten.
Ik heb geen moeite om te betalen (mn kast staat vol met dvd's van films die ik het waard vind) maar dan moeten ze wel gebruiks vriendelijk zijn en ook aan mijn wensen voldoen. En daar gaat het nog steeds miss.
Ander onderwerp.
Als ik dus heel simplistisch lees zou dus de EU overheid via de nationale ovderheden een "veilig" internet will creeren. Zou dit dan ook meteen betekenen dat als ik een virus krijg van een website buiten deze "veilige" omgeving ik dan de overheid aansprakelijk kan stellen voor de geleden schade door de virus infectie aangezien zij deze niet hebben tegen gehouden?
Daarnaast zou het dan ook betekenen dat een mp3 of film die ik van buiten dit veilige gebied wel kan downloaden automatisch legaal is en mensen mij kunnen vragen om daar een kopie van te maken voor eigen gebruik zoals omschreven in onze auteurs wetgeving ?
Nee, want ze weten dat ze er geen verstand van hebben (of doen ze dat om een andere reden) en laten alles over aan je ISP. Je kunt hem dan aanklagen als je toch een virus krijgt. Hij moet dan aantonen dat hij de blacklist correct heeft geimplementeerd.
Ik vraag me af. Als de overheid van Google eist dat ze gezichten op street view onherkenbaar maken, blokkeren ze dan de foto's waarop dat niet gebeurt? En laten ze de rest wel door? Want dat is toch wat ze van plan zijn? Zaken die niet mogen volgens de Europese, landelijke en plaatselijke wetgeving blokkeren. En hier zit dan ook het probleem. Want er zijn nog steeds diverse wetten op verschillende niveau's. Europese wetten zijn er trouwens niet. Dat zijn alleen richtlijnen en die worden door de verschillende landen verschillend in wetten omgezet. Moet een Nederlander met een SIM van een Nederlandse provider zich in het buitenland aan de Nederlandse wet houden of aan die van dat buitenland? Je hebt een overeenkomst met je Nederlandse provider en die moet van de overheid die blacklist implementeren. Hoe doet hij dat in het buitenland, want het verkeer gaat echt niet van die buitenlandse provider eerst naar Nederland voor dat internet op gaat.
Peter
Eerder een goed onderbouwd verhaal, waarna jij zonder goede inhoudelijke argumentatie de schrijver aanvalt.
"Zie alleen al de recente gevalen bij Sony, grootschalige gegevensdiefstal bij grote bedrijven, de stuxnet worm en ga zo maar door."
En je denkt dat een virtuele Europese firewall daar iets aan verandert ? Laat me niet lachen.
"Dat het antwoord daarop van de EU niet het juiste is, is niet meer dan logisch, want het komt uit de pen van ambtenaren die zich ook nog eens laten leiden door adviseurs van bedrijven zoals die van dhr. Rietveld, die graag an-masse hun producten slijten."
Ah, zijn kritiek is wel terecht, maar je probeert vervolgens Peter (mede) de schuld te geven van de zaken waarop hij nou juist kritiek heeft. Wel erg gemakkelijk allemaal.
Als ik een legal DVD wil bekijken, dan krijg ik eerst een halve minuut gelul van Brein, dan een leeftijdsadviesschermpje, dan een preview van een andere film, dan nog een preview en nog een preview, dan een schermpje van de producent en ander copyright gelul, dan een menu intro. Na een klik op 'Play' nog eerst een menu-outtro, dan weer een schermpje van de producent en dan eindelijk pas begint de film. Ik ben al met al een paar minuten bezig met allerlei crap waar ik niet om vraag en ook niet op zit te wachten.
Download ik een DVDrip van het internet, dan dubbelklik ik een .avi bestand en hoppa, de film begint.
DAAROM download ik. Ik heb daarnaast ook een uitgebreide DVD collectie, maar ik erger me groen en geel aan die crap aan het begin van een DVD.
De censuur waar sommigen over vallen is er al lang. Hoewel dit geen censuur heet. Je mag geen kinderporno kijken/verzamelen. Er is zoveel wat niet mag en niet kan. Het meeste wat niet mag is ook walgelijk. Daar heb je geen China 2.0 voor nodig.
Je mag hier op straat ook geen gestolen fietsen weggeven. Niemand kijkt er gek van op wanneer daar op wordt ingegrepen. Je mag ook niet met je handscannertje de krant uit de kiosk kopiëren en vrolijk op straat weggeven. Daar kijkt ook niemand van op als daar wat van wordt gezegd.
Maar zodra het om digitale content gaat voelt men zich opeens zo beperkt in de vrijheid! Dat vind ik dan weer een beetje vreemd.
Ik ben ook niet blij met dit soort initiatieven, maar reageer alsjeblieft een beetje alsof je er over hebt nagedacht.
Eerder een goed onderbouwd verhaal, waarna jij zonder goede inhoudelijke argumentatie de schrijver aanvalt.
Het hele verhaal is gebaseerd op vijf regels tekst en de opvatting van dhr. Rietveld over die tekst. Een "single secure cyberspace" zou evengoed een internet netwerk kunnen zijn naast of over het internet waar bepaalde bedrijven zich op aan kunnen sluiten. Op diverse punten expliciet gescheiden van te blokkeren netwerken.
Het blokkeren van verdachte IP adressen door providers is ook niet vreemd, dat gebeurt nu soms ook. Ik ken situaties waar bv. heel China de toegang via internet tot hun servers wordt ontzegd. Ook bedrijven sluiten soms heel wat netwerkverkeer buiten, en dat is niet voor niets.
"Zie alleen al de recente gevallen bij Sony, grootschalige gegevensdiefstal bij grote bedrijven, de stuxnet worm en ga zo maar door."
En je denkt dat een virtuele Europese firewall daar iets aan verandert ? Laat me niet lachen.
Nee, maar een op zichzelf staand netwerk naast of over het internet kan daar zeer goed aan bijdragen. Het artikel spreekt dan ook niet over een totaal oplossing, zoals dhr Rietveld in zijn reactie suggereert.
"Dat het antwoord daarop van de EU niet het juiste is, is niet meer dan logisch, want het komt uit de pen van ambtenaren die zich ook nog eens laten leiden door adviseurs van bedrijven zoals die van dhr. Rietveld, die graag an-masse hun producten slijten."
Ah, zijn kritiek is wel terecht, maar je probeert vervolgens Peter (mede) de schuld te geven van de zaken waarop hij nou juist kritiek heeft. Wel erg gemakkelijk allemaal.
Herinneren jullie je de laatste zinnen nog?
"De tirannie verdrijven,
Die mij mijn hart doorwondt"
Daar gaat het nog eens op uitdraaien als we dit gekonkel van overheden en dirigerende instituties allemaal spuugzat zijn. Dan beginnen we gewoon weer eens opnieuw.
Opkomen voor je eigen waarden en normen is verdrongen door de mens hersendood te maken. Angst om datgene wat je hebt te verliezen.
We hebben nu al meer 'big brother' dan de DDR ooit gekend heeft. En iedereen accepteert het zomaar. Als je er niet een mee werkt, ben je lastig 'want zo werkt het zo makkelijk'. Keep on dreaming!
En hoe kan het toch dat bijzonder twijfelachtige organisaties zoals Brein zoveel invloed hebben door ononderbouwde argumentatie te verspreiden als waarheid? Om maar even door te gaan: Hoe kan het dat Brein servers heeft opgehaald in NL zonder tussenkomst van een rechter?
Ik zou graag zien dat de overheden zich laten informeren door experts die geen relatie hebben met leveranciers, stichtingen zoals Brein etc. Vraag ik het onmogelijke? Het is tijd voor een security, privacy en compliance denktank met voldoende invloed zodat het realisme gehalte weer toeneemt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
