EU-waakhond wil strengere privacyregels voor communicatie
De Europese privacywaakhond EDPS pleit voor strengere, slimmere en duidelijkere privacyregels om elektronische communicatie te beschermen. Zo moet bijvoorbeeld het gebruik van end-to-end-encryptie om communicatie te beschermen worden toegestaan en het kraken hiervan worden verboden.
Dat heeft de Europese Databeschermingsautoriteit (EDPS) vandaag in een opinie (pdf) bekendgemaakt. De EDPS reageerde op verzoek van de Europese Commissie op een herziening van de Europese wetgeving, de ePrivacy-richtlijn, over het verwerken van persoonlijke gegevens en de bescherming van privacy in de elektronische communicatiesector. Volgens EDPS Giovanni Buttarelli is er niet alleen een nieuw juridisch raamwerk nodig, maar ook meer duidelijkheid en handhaving.
"Het moet de vertrouwelijkheid van onze communicatie garanderen, een fundamenteel recht in Artikel 7 van de Fundamentele Rechten van de Europese Unie", zo laat hij in zijn opinie weten. De nieuwe regels moeten verder de Europese privacywetgeving aanvullen. In het geval de ePrivacy-richtlijn meer bescherming biedt dan de Europese privacywetgeving, dan moet dit behouden blijven.
De nieuwe regels moet ook gelden voor machines die via het Internet of Things met elkaar communiceren, ongeacht van het soort netwerk en de communicatiediensten die worden gebruikt. Verder wil Buttarelli dat de nieuwe regels de vertrouwelijkheid van alle communicatie van gebruikers die via openbare netwerken plaatsvindt beschermen, waaronder wifi-netwerken in hotels, winkels en vliegvelden en door de overheid neergezette hotspots.
Tracking
Ook roept Buttarelli op tot het afschaffen van "cookie walls" en zou op een aantal uitzonderingen na, zoals analytics, de communicatie van gebruikers nooit zonder hun toestemming mogen worden gevolgd of gemonitord. Als voorbeeld noemt hij dan cookies, het fingerprinten van apparaten of andere technologische middelen. Gebruikers moeten ook op eenvoudige wijze via de browser hun toestemming weer kunnen intrekken.
De nieuwe regels moeten gebruikers ook toestaan om end-to-end-encryptie te gebruiken om hun communicatie te beschermen. Buttarelli vermeldt specifiek dat de encryptie geen backdoors mag bevatten. Verder wil de EDPS het ontsleutelen, reverse engineeren of monitoren van versleuteld verkeer verbieden. Als laatste moeten de nieuwe regels tegen ongewenste communicatie beschermen en moeten gebruikers altijd toestemming hebben gegeven voordat ze op elektronische wijze worden benaderd.
Wel is het zo dat invloed om het ook daadwerkelijk voor elkaar te krijgen met name gemeten wordt uit hoeveel invloed je op de regering kan uitoefenen. Even los van dat de EU niet geregeerd wordt maar uit 27 1/2 met elkaar kibbelende landjes bestaat, is de invloed van deze groepen te vergelijken met de letterlijke betekenis van een parlement. Een praatclub dus.
Het is uitstekend als kundige mensen encryptie proberen te ontsleutelen of te reverse engineeren; als dat lukt deugde het protocol, de implementatie ervan of het sleutelbeheer niet en dat moet aan de kaak gesteld worden voordat (te veel) kwaadwillenden er misbruik van maken. Zonder dit soort onderzoekers waren onze browsers nu veel lekker geweest en had iedereen nog RC4 en MD5 gebruikt.
Monitoring is in enige vorm meestal nodig om kwaadaardige verbindingen te detecteren en passende maatregelen te kunnen nemen (zoals uitgaande verbindingen vanuit een bedrijf naar blacklisted websites bijv. omdat die malware verspreiden of omdat ze om bedrijfpolicy-redenen zijn geblokkeerd). Wat verboden moet worden is dat de partijen die deze monitoring uitvoeren, de bijbehorende informatie voor een ander doel gebruiken (of weggeven/verkopen) en/of langer bewaren dan noodzakelijk. En bij overtredeningen moet je, als overheid, keihard optreden.
- die monitoring uitbreiden tot wie welke gegevens benaderd en wat voor acties hij er mee doet.
- Voor het algoritme dat het een OSS (code / implementatie) benadering moet zijn. Reverse engineering zit bij licensering en een vendor-lockin. Met OSS is er geen bestaansrecht voor reverse engineering. Als het achterhalen van een password (Rainbow phishing) reverse engineering moet gaan heten dan brengt dat ons wel erg ver van draagvlak betekenis/begrippen.
- Met het auteursrecht is wegens het voorkomen van niet overwogen vendor-lockin expliciet het recht tot reverse engineering genoemd http://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32009L0024&from=EN artikel 5,6.
Beveiliging, en dus ook encryptie, brengt altijd het risico met zich mee. Het is zo sterk als de zwakste schakel. Met een verbod op reverse engineeren van versleuteld verkeer maken we encryptie niet sterker en werpen we schijnveiligheid op die implementatie van zwakke encryptie aanspoort en criminelen op voorsprong zet.
Dit soort bescherming is voor personen die niet willen snappen dat ze zelf verantwoordelijk zijn voor een goede beveiliging en dus afdoende encryptie. Dit soort bescherming is voor personen die denken dat ze veilig zijn omdat er achteraf een jurist met deze wet de tegenaanval kan inzetten als door slechte encryptie hun persoonsgegevens op het internet staan en de dader onvindbaar is.
Er bestaat allang wetgeving tegen het onbevoegd onderscheppen of lezen van communicatie. Opsporingsdiensten hebben eigen wettelijke bevoegdheden om communicatie te onderscheppen en doorbreken. Reverse engineering is standaard afgedekt via gebruiksovereenkomsten.
Ik ben niet gevoellig voor het argumenten dat het verbod geen probleem is omdat de criminelen, politie of een openbaar ministerie van een Europees land het niet tegen slachtoffers of onderzoekers zal gebruiken. Als we wetgeving maken moeten we realistisch zijn over wat we stellen en wat de uitwerking, het nut en noodzaak daarvan is.
Ik ben het eens met je tegenargumenten.
Verbieden helpt inderdaad niet tegen criminelen. Securityonderzoek moet mogelijk blijven, dus reverse-engineering moet mogen (en ontsleutelen ook binnen de nodige kaders). Monitoring (zonder onstsleutelen) moet inderdaad niet domweg verboden worden, maar via privacy-wetgeving (proportionaliteit, doelbinding, etc.) worden gereguleerd.
Maar evengoed is een verbod op onrechtmatig ontsleutelen (op wat voor manier dan ook) geen gek idee. Het geeft duidelijker aan wat de kaders zijn van onze maatschappij: met een verbod zeggen we expliciet dat we dit niet tolereren. Er zijn helaas nog altijd genoeg bedrijven die als het geld oplevert rustig iets doen dat moreel fout, maar wettelijk gewoon toegestaan is. Ik verwacht dat het grootste deel daarvan het niet meer doet als de actie crimineel is.
(Je hebt natuurlijk ook nog de categorie "we kunnen alles flikken, zolang de scheids het maar niet ziet", maar dat zijn dan uiteindelijk criminelen en daar helpt wetgeving dan ook vrijwel niet tegen).
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
