Month: August 2014

[Dutch] Mijn reactie op de internetconsultatie Wet voorkomen misbruik Wob

Op 19 augustus sluit de internetconsultatie Wet voorkomen misbruik Wob. (Let wel: het gaat daarin alleen om misbruik door verzoekers, niet het misbruik door de overheid zoals termijnoverschrijdingen, misbruik van weigergronden en opzettelijk vertragen door steeds zienswijzen van weer een andere derde te vragen.) Door wat ik in februari van Roger Vleugels hoorde bij de “Wob in de steigers”-bijeenkomst (verslag door VVOJ) en door wat Dimitri Tokmetzis zoal schrijft in De Correspondent ben ik ervan overtuigd dat er in Nederland meer aandacht en steun nodig is voor betere, sterkere openbaarheid van bestuur. Ik ben geen jurist of Wob-expert, maar weet er dankzij Vleugels, Tokmetzis en anderen wel wat van, en zie in dat een fatsoenlijk niveau aan openbaarheid van bestuur belangrijk is voor een gezonde democratie. Om die reden heb ik zojuist ook gereageerd op de internetconsultatie. Voor wat het waard is, dit is wat ik heb ingestuurd:

Zoals Roger Vleugels het stelt: Nederland is qua openbaarheid van bestuur een ontwikkelingsland. En dat blijft zo als het vervallen van de dwangsom de enige verandering is die aan de Wob wordt doorgevoerd. Openbaarheid van documenten moet een grondrecht zijn: artikel 110 Gw en artikel 10 EVRM moeten, juist in de informatie- en risicosamenleving, ruim worden uitgelegd. Informatie is de valuta van democratie.

In een ideale wereld zouden er geen absolute weigergronden zijn, zoals ook niet in het Verdrag van Tromsø. Het is beschamend dat Nederland als voorzitter van de werkgroep die dat verdrag schreef, het verdrag zelf niet heeft ondertekend. Iets dat, zo hoorde ik, uniek is in de geschiedenis van Europa. Het is hoog tijd dat Nederland het goede voorbeeld van België, Bosnië en Herzegovina, Estland, Finland, Georgië, Hongarije, Litouwen, Macedonië, Montenegro, Molvadië, Noorwegen, Servië, Slovenië en Zweden alsnog volgt, en zich aansluit bij Tromsø. Waar is de tijd gebleven dat Nederland samen met de Scandinavische landen vocht voor meer openheid binnen de EU? Is er nu echt een veroordeling door het Hof in Straatsburg nodig (zie Hongarije vóór Tromsø: hier en hier) voordat Nederland het licht ziet?

Op z’n minst, op z’n allerminst, zou het (al afgezwakte) wetsvoorstel van GroenLinks/D66 moeten worden doorgevoerd: relatieve weigergronden die hun werking na vijf jaar verliezen, termijn verlagen van 2×28 dagen veranderen naar 2×14 dagen, de instelling van een informatie-commissaris en een grotere reikwijdte (iig op papier) waarbij de Wob wat terrein terugwint dat is verloren agv alle privatisering sinds de jaren tachtig.

Het is wenselijk dat de dwangsom vervalt, maar het is bij lange na niet genoeg. Een ruime Wob is, net als onafhankelijke journalistiek, noodzakelijk voor een gezonde democratie.

Gerelateerd:

  • 2016-04-12: hoofdredactioneel commentaar NRC Handelsblad (p.2):

    Openbaarheid is geen gunst

    Vrome woorden onlangs in de Tweede Kamer van minister Plasterk (Binnenlandse Zaken, PvdA): „Het kabinet vindt openbaarheid van bestuur essentieel voor een democratie. De overheid is er voor de burgers, de overheid is van de burgers en door de verkiezingen is zij ook door de burgers.” En dus concludeerde hij: „Het uitgangspunt moet dan ook zijn dat de informatie die berust bij de overheid in principe openbaar is.”

    Zegt de minister uit een kabinet dat nog niet eens bereid is de agenda van de wekelijkse ministerraad openbaar te maken. Zegt de minister uit een kabinet van wie een collega, nadat deze verplicht was enkele e-mails en notities openbaar te maken, het presteerde bijna compleet zwart gelakte afschriften te overhandigen. Zegt de minister van een kabinet dat geen vast beleid heeft voor het openbaar maken van de gesprekken met derden. Zegt de minister van een kabinet dat, zoals altijd, volledig in de beslotenheid van de achterkamer werd samengesteld, en nadien ook slechts beperkt verantwoording aflegde. Etc., etc.

    Inderdaad, de praktijk wijkt nog al eens af van de theorie. Maar Plasterk zei dan ook dat informatie in principe openbaar is. Er kunnen volgens hem redenen zijn om anders te handelen. Helaas leert de ervaring in Nederland dat voor bestuurders die redenen om niet toe te geven aan openbaarheid heel vaak aanwezig zijn. Openbaarheid is nog altijd een gunst in plaats van een recht. Dat was de vaststelling in de jaren zeventig van de vorige eeuw en dat is ook nu de vaststelling.

    Of er enige kans is op verandering zal woensdag blijken. Dan praat de Tweede Kamer verder over een initiatiefwetsvoorstel van GroenLinks en D66 dat de overheid en de daaronder vallende organen verplicht tot veel actievere openbaarheid. De eerste aanzet hiertoe gaf het toenmalige Kamerlid Mariko Peters (GroenLinks) reeds in 2012. De trage gang van zaken rond de initiatiefwet tekent het heersende gebrek aan urgentie.

    Of er iets overblijft van de oorspronkelijke ideeën in het voorstel van vier jaar geleden valt te betwijfelen. De huiver bij veel andere partijen in de Tweede Kamer is groot. Dat geldt ook voor minister Plasterk, de grote ‘voorvechter’ van openbaarheid Een veel gehoord bezwaar tegen de initiatiefwet is dat de voorgestelde gedetailleerde openbaarbaarmakingsprocedures slechts tot extra bureaucratische rompslomp leiden.

    Hiermee geven de critici onbewust de kern van het probleem aan: openheid is blijkbaar een wet, geen mentaliteit. Instincten laten zich niet bij wet veranderen.

  • 2014-02-23: Roger Vleugels: Wobben in 10 minuten (dit blog)
  • 2014-01-30: documenten incl. initiatiefwet Woo bij Tweede Kamer-vergadering over Voorstel van wet van de leden Voortman en Schouw houdende regels over de toegankelijkheid van informatie van publiek belang (Tweede Kamer)
  • 2013-12-05: Initiatiefwet Woo moet Wob vervangen (Binnenlands Bestuur)
  • 2013-12-03: Kosten en baten voor de overheid van wijzigingen van de Wet openbaarheid van bestuur (rapport van SEO Economisch Onderzoek)

EOF

[Dutch] Waarom je lid moet worden van De Correspondent

Ben je nog geen abonnee van De Correspondent? Dan wordt het tijd dat te veranderen. Of geef iemand ‘s een proefabonnement cadeau. De Correspondent is een digitaal platform voor onafhankelijke journalistiek dat in 2013 is opgericht door onder andere Rob Wijnberg. Onafhankelijke journalistiek is noodzakelijk voor een levende democratie en verdient steun van ons allemaal. De Correspondent houdt het betaalbaar: in 2019 kost een abonnement 7 euro per maand, of 70 voor het hele jaar. Ik ben betalend abonnee van De Correspondent om de volgende redenen:

  • Advertentievrije, onafhankelijke journalistiek.
  • Abonnees mogen artikelen delen met niet-abonnees. Weg met die betaalmuur!
  • Zeer prettige leeservaring, bijvoorbeeld door de schermbrede foto’s, de vermelding van geschatte leestijd, en het vaste balkje bovenaan dat visualiseert hoe ver je in het artikel bent.
  • Aandacht voor onderbelichte thema’s: zo concentreert journalist Maurits Martijn zich op surveillance en Dimitri Tokmetzis op data en transparantie.
  • Hoofdredacteur Rob Wijnberg is, in elk geval in tweede instantie, niet doof voor kritiek: dat blijkt uit Longrant: Dit is er mis met Rob Wijnberg en De Correspondent, dat door de bekritiseerde(n) zelf is gepubliceerd.

Dit zijn enkele van mijn favoriete stukken die bij De Correspondent zijn verschenen — stukken die niet-abonnees gratis kunnen lezen dankzij de links die betalende abonnees zonder beperkingen met anderen mogen delen:

Naast De Correspondent ervaar ik zelf De Groene Amsterdammer (est. 1877) al jaren als onmisbaar leesvoer — een (primair) gedrukt medium dat excelleert in reflectie en kalme beschouwing in een tijdperk dat wordt overspoeld met hijgerige en opdringerige berichten. Hoe meer lezers en betalende abonnees hoe beter. (Voor wie het niet weet: het begrip “groene” in de naam “De Groene Amsterdammer” verwijst niet naar een politieke kleur, maar naar de kleur van het papier waarop de publicatie vroeger werd afgedrukt.)

UPDATE 2018-12-23: sinds vandaag ook betalend lid van Follow The Money (FTM).

EOF

MILDEC: “Cyber Deception” is a Specific Focus Area for USAF in FY15-FY16

UPDATE 2017-07-06: updates moved to bottom.

A presolicitation (mirror) from the US Air Force for “capabilities for cyber resiliency” (BAA-RIK-14-07) was release on August 1st 2014, and it mentions “cyber deception” (MILDEC) as a specific focus area for FY15-FY16:

FY15 – FY16 SPECIFIC FOCUS AREA: CYBER DECEPTION

Background: Deception is a deliberate act to conceal activity on our networks, create uncertainty and confusion against the adversary’s efforts to establish situational awareness and to influence and misdirect adversary perceptions and decision processes. Military deception is defined as “those actions executed to deliberately mislead adversary decision makers as to friendly military capabilities, intentions, and operations, thereby causing the adversary to take specific actions (or inactions) that will contribute to the accomplishment of the friendly mission.” Military forces have historically used techniques such as camouflage, feints, chaff, jammers, fake equipment, false messages or traffic to alter an enemy’s perception of reality. Modern day military planners need a capability that goes beyond the current state-of-the-art in cyber deception to provide a system or systems that can be employed by a commander when needed to enable deception to be inserted into defensive cyber operations.

Relevance and realism are the grand technical challenges to cyber deception. The application of the proposed technology must be relevant to operational and support systems within the DoD. The DoD operates within a highly standardized environment. Any technology that significantly disrupts or increases the cost to the standard of practice will not be adopted. If the technology is adopted, the defense system must appear legitimate to the adversary trying to exploit it.

Objective: To provide cyber-deception capabilities that could be employed by commanders to provide false information, confuse, delay, or otherwise impede cyber attackers to the benefit of friendly forces. Deception mechanisms must be incorporated in such a way that they are transparent to authorized users, and must introduce minimal functional and performance impacts, in order to disrupt our adversaries and not ourselves. As such, proposed techniques must consider how challenges relating to transparency and impact will be addressed. The security of such mechanisms is also paramount, so that their power is not co-opted by attackers against us for their own purposes. These techniques are intended to be employed for defensive purposes only on networks and systems controlled by the DoD.

Advanced techniques are needed with a focus on introducing varying deception dynamics in network protocols and services which can severely impede, confound, and degrade an attacker’s methods of exploitation and attack, thereby increasing the costs and limiting the benefits gained from the attack. The emphasis is on techniques that delay the attacker in the reconnaissance through weaponization stages of an attack and also aid defenses by forcing an attacker to move and act in a more observable manner. Techniques across the host and network layers or a hybrid thereof are of interest in order to provide AF cyber operations with effective, flexible, and rapid deployment options.

This focus area is currently envisioned to consist of two phases running approximately 12 months each. The first phase (Concept Development) will consist of one to three study efforts that will examine potential deception technologies that could be developed. This will focus on the description, design and development of techniques and technologies that could be employed in an Air Force network. These efforts will be brought to a proof-of-concept level, and the implementations will be evaluated at the end of this phase. In the second phase (Prototyping), also lasting approximately 12 months, one or more of the concepts that show promise will be further developed to produce a prototype system capable of demonstration in a relevant environment. The system(s) developed by the end of this phase will be evaluated. At the end of this second phase, a “go/no-go” decision will be made to determine if the prototype(s) will undergo further refinement, evaluation, and potential integration with an eye toward transition.

Questions regarding this focus area can be directed to:
Anthony Macera
(315) 330-4480
anthony.macera.1@us.af.mil

As an indication of what deception is about, I cite the following from Deception for Defense of Information Systems: Analogies from Conventional Warfare (Neil C. Rowe and Hy S. Rothstein):

  • Six general principles for effective tactical deception (Fowler and Nesbitt, 1995)
    • Deception should reinforce enemy expectations
    • Deception should have realistic timing and duration
    • Deception should be integrated with operations
    • Deception should be coordinated with concealment of true intentions
    • Deception realism should be tailored to needs of the setting
    • Deception should be imaginative and creative
  • Taxonomy of kinds of deception (Dunnigan and Nofi, 2001)
    • Concealment (“hiding your forces from the enemy”)
    • Camouflage (“hiding your troops and movements from the enemy by artificial means”)
    • False and planted information (disinformation, “letting the enemy get his hands on information that will hurt him and help you”)
    • Lies (“when communicating with the enemy”)
    • Displays (“techniques to make the enemy see what isn’t there”)
    • Ruses (“tricks, such as displays that use enemy equipment and procedures”)
    • Demonstrations (“making a move with your forces that implies imminent action, but is not followed through”)
    • Feints (“like a demonstration, but you actually make an attack”)
    • Insight (“deceive the opponent by outthinking him”)

Related reading (partially thanks to Jim Henderson / Raytheon):

UPDATES (from new to old)

UPDATE 2017-06-14: Gartner’s list of Top Technologies for Security in 2017 includes “Deception”: “Deception technologies are defined by the use of deceits, decoys and/or tricks designed to thwart, or throw off, an attacker’s cognitive processes, disrupt an attacker’s automation tools, delay an attacker’s activities or detect an attack. By using deception technology behind the enterprise firewall, enterprises can better detect attackers that have penetrated their defenses with a high level of confidence in the events detected. Deception technology implementations now span multiple layers within the stack, including endpoint, network, application and data”.

UPDATE 2017-01-23: [U.S.] Air Force pursues advanced “deceptive” cybersecurity tactics (Defense Systems)

UPDATE 2014-08-15: updated Related-section and added citations from Deception for Defense of Information Systems: Analogies from Conventional Warfare (Neil C. Rowe and Hy S. Rothstein).

EOF

[Dutch] Waarom de handelswijze van Hold Security naar maffiapraktijken riekt

UPDATE 2014-10-13: NCSC verkrijgt Nederlandse gegevens van Hold Security (factsheet).

UPDATE 2014-09-05: Beantwoording Kamervragen over het bericht dat hackers 1,2 miljard inloggevens en 500 miljoen e-mailadressen hebben gestolen (Rijksoverheid)

UPDATE 2014-09-02: Hackers Behind Biggest-Ever Password Theft Begin Attacks (Slashdot)

Gisteren publiceerde de Volkskrant een artikel over Hold Security onder de titel “Trapte New York Times in marketingtruc van het schimmige Hold Security?” Dat artikel bevat citaten van Martijn Grooten (van Virus Bulletin) en mij. In dat artikel stel ik het nogal scherp:

Hold Security creëert angst en biedt een betaalde dienst die de angst kan helpen wegnemen. Dat riekt naar maffiapraktijken.

Daarover het volgende. Dat Hold Security op eigen houtje cybercriminaliteit opspoort en onthult, is te prijzen (mits ze zelf de wet niet overtreden en niet onbedoeld sting operations van officiële opsporingsdiensten dwarsbomen — opsporing is en blijft primair een overheidstaak). Hold Security biedt echter drie betaalde diensten aan die per definitie zijn gebaseerd op door cybercriminelen gestolen persoonsgegevens: Breach Notification Service, Credentials Integrity Services en Consumer Hold Identity Protection Service. Pragmatisch bekeken gaat het slechts een kwestie van vraag en aanbod. Maar commerciële diensten baseren op gestolen persoonsgegevens, is moreel dubieus (en allicht juridisch moeilijk te verantwoorden). Het draagt in de kiem een perverse prikkel in zich. Dat Hold Security na een gevonden hack van deze omvang eerst de media opzoekt in plaats van autoriteiten, is daar wat mij betreft een voorbeeld van. Wereldwijd vragen mensen en organisaties zich nu af of ook hún informatie is gestolen, en of criminelen daar op dit moment misbruik van kunnen maken. Onduidelijk is welke websites zijn gehackt en tot welk soort gegevens en functionaliteit de gestolen credentials toegang bieden. Onzekerheid troef, dus. Onzekerheid, welteverstaan, die kan worden weggenomen met die betaalde diensten van Hold Security, die ten tijde van het artikel in de New York Times als enige over de gegevens beschikt (de gegevens zijn niet gedeeld met andere partijen). Dat alles opsommend is de kwalificatie “dat riekt naar maffiapraktijken” een gerechtvaardigde uitzondering op de regel “never attribute to malice that which is adequately explained by stupidity”. In een artikel van Forbes dat eveneens gisteren verscheen, houdt de directeur van Hold Security het zelf bij een communicatieprobleem; en zegt dat de diensten tegen verlies worden aangeboden (het artikel vermeldt niet welke kosten Holden maakt of in hoeverre het klantbestand is veranderd sinds het artikel in de New York Times.)

Screenshot van https://identity.holdsecurity.com/

Screenshot van https://identity.holdsecurity.com/ (ik beroep me op het citaatrecht)

Omwille van transparantie geef ik hierbij mijn volledige antwoorden op de vragen van de betrokken Volkskrant-journalist, Michael Persson:

Persson: “Hoe gevaarlijk is die hack, als de getallen kloppen?”

Ik: “Dat hangt sterk af van allerlei nog onbekende factoren: wie zijn de aanvallers en wat zijn/waren ze met de gegevens van plan? Wie zijn de slachtoffers? Tot welke informatie en functionaliteit geven de onderschepte inloggegevens toegang? Werken de inloggegevens op dit moment nog? Als blijkt dat de inloggegevens toegang bieden tot privécommunicatie, is dat vervelend, maar in het algemeen minder ernstig dan toegang tot patiëntgegevens of financiële transacties. Hoewel bij beroemdheden en politici privécommunicatie soms net zo gevoelig kan zijn, afhankelijk van wat ze in de privésfeer uitspoken. Er zijn geen aanwijzingen bekend over de bedoelingen van de aanvallers (voor zover ik weet).

Gelukkig zijn veel van de gevoeligere systemen beschermd met een extra maatregel, zoals een code die je tijdens het inlogproces per sms ontvangt, of die je met een chipkaart berekent (denk aan de Random Reader van Rabobank, E.dentifier van ABN of de UZI-pas die zorgverleners gebruikmaken voor toegang tot patiëntgegevens). Dat gebeurt echter niet overal.”

Persson: “Hoe kijk jij aan tegen Hold Security? (ik zag dat je gezien had dat die foto van ‘het team’ gewoon een stockfoto is)”

Ik: “Het is te betreuren dat veel informatie in hun berichtgeving ontbreekt, met angst en onzekerheid als gevolg. Hold Security biedt een betaalde dienst die de angst kan helpen wegnemen, en dat riekt naar maffiapraktijken. (Net als de handel in exploits trouwens: http://njb.nl/blog/geheime-handel-in-digitale-lekken.11972.lynkx ) Bekijk vooral ook eens hoe deze pagina op je overkomt: https://identity.holdsecurity.com/ Ik vind het moeilijk in dit alles geen kwade commerciële opzet te zien.

Ook vind ik het hoogst onverstandig dat ze een online formulier hebben waar je (de facto) je wachtwoorden moet intypen om te laten controleren of ze in de onderschepte data voorkomen: https://identity.holdsecurity.com/Submit/ . Er staat “We will never ask you for your passwords!”, maar ze vragen je daaronder toch écht je wachtwoorden in te typen. De claim dat alleen de ‘hashes’ ervan worden opgestuurd aan Hold Security doet daar niets aan af. Je vult je wachtwoorden op de website van Hold Security in, en als die website zelf is gehackt, kunnen je wachtwoorden alsnog worden onderschept.”

Persson: “Wat vind je van dat tarief van 120 dollar dat Holden vraagt om te checken?”

Ik: “Dat gaat over hun Breach Notification Service (BNS) toch? Die lijkt te zijn gericht op personen en bedrijven die willen dat Hold Security nu en toekomstige gestolen data doorzoekt op hun domeinnaam. Op https://identity.holdsecurity.com/Register/ lees ik dat controle voor individuele gebruikers kosteloos is: ‘This service is FREE of charge and designed for the individual users to check whether they became victims of cyber-criminal activities. Please note, that this service does not provide you with any information pertinent to a website breach. If you are contacting us on behalf of a company, please, refer to our BNS service.’ Ik weet niet of deze tekst er ook al stond voordat het NYT-artikel verscheen.”

Persson: “Wat vind je van de berichtgeving vorige week?”

Ik: “Zie boven. Het is te betreuren dat sommige media niet harder hun best hebben gedaan de onbekenden te achterhalen alvorens tot publicatie/kopiëren over te gaan.”

Persson: “Is de reactie nu (storm in glas water) redelijk of dreigt nu het gevaar dat we het te veel bagatelliseren?”

Ik: “We moeten het hoofd koel houden en wachten tot de ontbrekende informatie bekend wordt; dan zien we weer verder. Speculeren is contraproductief en zal eerder tot meer onnodige angst leiden. Het NCSC pakt de berichtgeving m.i. goed aan:
https://www.ncsc.nl/actueel/nieuwsberichten/datadiefstal.html

EOF