'Europese Cyberstrategie schaadt security en vrijheid'
De Cyber Security Strategie die de Europese Commissie (EC) gisteren presenteerde is schadelijk voor zowel de vrijheid als veiligheid van internetgebruikers, zo stelt een bekende Britse beveiligingsonderzoeker. "Het doel is de Europese kernwaarden vrijheid en democratie te bevorderen en te waarborgen dat de digitale economie op een veilige manier kan groeien", zo liet de EC weten.
Volgens de aankondiging van de nieuwe strategie moeten de geplande maatregelen digitale informatiesystemen veerkrachtiger maken, cybercriminaliteit terugdringen en het internationale cyberbeveiligingsbeleid en de cyberdefensie van de EU versterken.
Zo moeten de lidstaten een strategie voor netwerk- en informatiebeveiliging vaststellen en een voor netwerk- en informatiebeveiliging bevoegde nationale instantie aanwijzen. Daarnaast gaan de lidstaten en de Commissie een samenwerkingsverband aan om vroegtijdige waarschuwingen over risico's en incidenten via een veilige infrastructuur te delen.
Als laatste moeten exploitanten van essentiële infrastructuur risicobeheersregelingen invoeren en ernstige incidenten met betrekking tot hun kerndiensten melden.
"De mensen worden steeds afhankelijker van het internet en het wordt dus steeds belangrijker dat het veilig is. Een veilig internet beschermt onze vrijheid, onze rechten en onze mogelijkheden om zaken te doen. Het is tijd om gecoördineerd op te treden; als we niets doen, zijn de kosten veel hoger dan als we actie ondernemen", aldus Neelie Kroes, vicevoorzitter van de Europese Commissie voor de Digitale agenda.
Vrijheid
Professor Ross Anderson van de Universiteit van Cambridge heeft twee grote problemen met het nieuwe beleid. Het eerste kritiekpunt is dat de lidstaten verplicht worden om één nationale instantie voor technische expertise en internationale samenwerking aan te wijzen.
"Centralisatie schaadt niet alleen de scheiding der machten die essentieel in elke democratie is, maar schaadt ook operationele effectiviteit", laat Anderson weten. De meeste kritieke infrastructuur is in handen van buitenlandse bedrijven. Het vervangen van de huidige privaat-publieke samenwerking door een gecentraliseerd en geclassificeerd systeem, zou het lastiger voor deze partijen maken om mee te doen.
Meldplicht
Het tweede punt dat de professor hekelt is de verplichte meldplicht bij incidenten. Terwijl organisaties in de VS burgers moeten inlichten als een hack invloed op hun gegevens heeft, stelt de EC in de strategie dat alleen de 'competente autoriteit' moet worden ingelicht. Deze autoriteit hoeft het publiek alleen in te lichten als die bepaalt dat dit in het algemeen belang is.
In plaats van het publiek meer macht te geven, krijgen inlichtingendiensten en andere organisaties meer macht, stelt Anderson. Die wijst ook naar een andere regel in de Cyber Security Strategie, die bepaalt dat de 'competente autoriteiten' de bevoegdheid krijgen om de veiligheid van marktpartijen en overheden te toetsen en de bevoegdheid krijgen om aan deze partijen 'bindende instructies' te geven.
"Ik denk dat iedereen goed moet nadenken over de gevolgen als dit voorstel, zoals het nu staat, wordt goedgekeurd. Het is weer een jammerlijke stap richting de militarisering van cyberspace", besluit Anderson.
https://www.bof.nl/2013/02/07/europese-cyberregels-gooien-privacy-te-grabbel/
Ik ben sterk voorstander van een centrale meldplicht en bij voorkeur publicatie ' en publiek'.
In de Verenigde Staten gebeurt dit al jaren en het duurt nog steeds te lang voordat het ook in Nederland is doorgedrongen.
De massa, de overheid en MKB (+) zijn nog steeds niet in staat gebleken om veilige systemen te gebrukken met alle gevolgen van den.
De criminaliteit maakt hier dankbaar gebruik van.
Middels transparantie worden de bedreigingen, maatregelen en discussies eindelijk helderder in plaats van dat die in 'mistige' achterkamers gevoerd worden. De gewone man snapt er inmiddels niets meer van en doet maar wat.
Moeten er dan weer slachtoffers vallen, waarvoor de maatschappij uiteindelijk toch weer moet opdraaien net als die fraudezaken in de bankenwereld.
Voor degenen die het nog niet begrijpen: de echte oplossing is intrinsieke security. Security ingebouwd in het ontwerp. Security is geen add-on. Je kunt er nog zoveel kastjes voor zetten, dat helpt weinig zonder het echte probleem aan te pakken.
.
Onduidelijk is of wel alle overheid valt onder 'public administrations'.
Zou Bits of Freedom ooit wel eens in de praktijk met dat soort zaken te maken hebben ? Ik ben beveiliger bij een provider, en wij leveren wel eens logs aan bij de overheid over incidenten, zoals bijvoorbeeld besmettingen bij een malware uitbraak.
Log files worden *altijd* gecensureerd, aangezien wij de privacy wet niet willen schenden, en het de overheid niets aan gaat welke klanten besmet zijn. Met andere woorden, source IP's van de traffic krijgt men nimmer te zien. Verder leveren we eventueel statistische gegevens over het aantal klanten wat impact heeft.
Volgens mij negeert men dat soort praktische zaken altijd bij Bits of Freedom, door simpelweg aan te nemen dat alles wordt uitgewisseld, om vervolgens uitwisseling als geheel af te willen schieten.
"De richtlijn moet worden aangepast zodat onze privé-gegevens niet onder het mom van cybersecurity tussen allerlei “autoriteiten” in verschillende landen worden uitgewisseld. "
Een voorbarige aanname van BoF....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
