Een veilig internet is een utopie

by J.P. Kloosterman

Een veilig internet is een utopie

“The internet opens a lot of doors to those who have criminal intent.”

In 1996 publiceerde John Perry Barlow zijn onafhankelijkheidsverklaring van cyberspace. In die verklaring beschreef Barlow zijn visie van het internet; het symbool voor democratie en onafhankelijkheid met zo weinig mogelijk staatsbemoeienis (Barlow, 1996). De verklaring was geschreven in een tijd waar het gebruik van internet niet zo wijdverspreid was zoals nu het geval is. Op Internet[1] gaan was letterlijk de verkorte beschrijving van alle handelingen die verricht moesten worden om in die tijd te kunnen internetten. Er was kennis, een computer met randapparatuur en een telefoonlijn nodig. Dit betekende dat de eerste internetgebruikers behoorlijk moesten investeren om het Internet te kunnen gebruiken.

Het is dan ook niet raar dat de eerste internetgebruikers mensen waren met dezelfde achtergrond en daardoor hetzelfde dachten over het gebruik van het internet. Zij kwamen met internetregels en hielden zichzelf of spraken anderen daarop eraan. In dat opzicht en voor die mensen was het Internet een utopie. Men vond dat Internet zich zo zelf kon reguleren en daarom was er geen behoefte om een autoriteit aan te stellen. Het Internet was voor hen veilig en hun verwachting was dat het Internet in de toekomst zich nog veel verder op deze manier zou gaan ontwikkelen.

Nu ruim 20 jaar later wordt het raar gevonden als iemand niet met internet verbonden is en dat 24 uur per dag 7 dagen in de week het hele jaar door. Volgens een studie van de International Center for Media & the Public Agenda (ICMPA) vertonen mensen, die door ‘onheil’ tijdelijk geen internetverbinding hebben, afkickverschijnselen (Moeller, 2010). De technologie die dit mogelijk maakt, lijkt een verslavend effect op haar gebruikers te hebben. Wat dat betreft is er in 20 jaar veel veranderd. Was ‘internetten’ vroeger voorbehouden aan computerenthousiastelingen met internetidealen zoals vrijheid, zelfregulering en onafhankelijkheid, tegenwoordig is het internet tot iets alledaags geworden en maken miljarden mensen er op één of andere manier gebruik van.

De oude internetregels en internetethiek uit Barlows tijd zijn vervlogen en Barlows onafhankelijkheidsverklaring is in delen van de wereld niet van toepassing. Zo bespioneren de opsporingsdiensten op grote schaal burgers en neemt de politie steeds vaker websites over en servers in beslag. In landen als China en Turkije wordt internetcensuur toegepast. De stelling ‘een veilig internet is een utopie’ lijkt nu veel onwaarschijnlijker dan 20 jaar geleden. Niet alleen omdat het een onwaarschijnlijke werkelijkheid lijkt te zijn, het wordt ook niet veilig geacht.

Dit essay zal de argumenten, dat er wel degelijk een veilig internet kan bestaan en dat het een onmogelijkheid is, de revue laten passeren. In de afsluiting van het essay zal een conclusie beschreven worden. Maar voordat ernaar de kern van het essay gegaan wordt, komt de definitie van ‘veilig internet’ aan de orde. Daarna zullen de argumenten van voorstanders, tegenstanders en twijfelaars beschreven worden.

Definitie ‘veilig internet’

Volgens het Van Dale Middelgroot woordenboek Nederlands betekent ‘veilig’: “1. vrij van gevaar of 2. beschermd tegen gevaar” (De Boer, 2015). In Basisboek integrale veiligheid  wordt een mogelijke definitie van ‘veiligheid’ als volgt gedefinieerd: “de afwezigheid van bedreigingen van een als wenselijk ervaren toestand” (Stol, Tielenburg, Rodenhuis, Pleysier, & Timmer, 2011, p. 29). De woorden ‘veilig’ en ‘veiligheid’ verwijzen allebei naar de afwezigheid van een onwenselijk gevaarlijke of bedreigende situatie. Bij ‘veiligheid’ spelen vier factoren mee: “de bron van onveiligheid, de plaats van onveiligheid, de leverancier van veiligheid” (Stol, et al., 2011) en tijdstip van onveiligheid.

‘Het Internet’ wordt gedefinieerd als; “een verzameling kabels waarover een wereldwijd computers met elkaar praten” (Dasselaar, 2008). Tegenwoordig wordt met ‘internet’ verwezen naar de technologie die van het internet gebruik maakt. Met ‘internet’ wordt dan eigenlijk internettechnologie bedoeld.

Interessant is, dat als erover ‘veilig internet’ gesproken wordt, dat dan verwezen wordt naar het gedrag van de gebruiker en niet naar veilig internettechnologie. Zo kan er een diploma Veilig Internet (Stichting Kennisnet Ict op school, 2015) gehaald worden, maar bestaat er bijvoorbeeld geen keurmerk voor veilige internettechnologie.

Het feit dat de term ‘internet‘ en de gecombineerde term ‘veilig internet’ verschillend uitgelegd kan worden, geeft in de basis al aanleiding voor verschillende argumenten van voor- en tegenstanders met betrekking tot de stelling ‘een veilig internet is een utopie’. De standpunten worden verder versterkt door de achtergronden van voor- en tegenstanders. Denk aan idealisten, pessimisten, technici, politici en bestuurders.

Om een zo breed mogelijk perspectief aan standpunten en argumenten met betrekking tot de stelling te adresseren, wordt de definitie van een ‘veilig internet’ hier zo breed mogelijk genomen. De argumenten komen vanuit technische, psychologische, sociologische en juridische perspectieven.

Een veilig internet

In het begin van het internettijdperk, zo halverwege de jaren 80 van de vorige eeuw, had men niet voorzien dat het internetgebruik zo’n vlucht zou nemen en zo’n belangrijk onderdeel van het dagelijks leven zou worden. Dat uiteindelijk iedereen zou kunnen e-mailen, dat had men wel verwacht. Maar dat miljarden mensen 24 uur per dag internet gebruiken, dat had men toen niet kunnen dromen. Dat erop dit moment een onbekend aantal technologieën van het internet gebruik maken, was in die tijd onvoorstelbaar.

In die tijd was het Internet nog eenvoudig en overzichtelijk. Het was veilig omdat de gebruikers heel goed wisten hoe kwetsbaar het Internet op dat moment was. Iedere gebruiker voelde zich verantwoordelijk voor de instandhouding en de potentie van het Internet. Er werd samengewerkt en de verantwoordelijkheid was een gedeelde verantwoordelijkheid. Op dat moment werd het Internet veilig gebruikt en was de indruk dat het Internet veilig was.

Echter op 2 november 1988 werd, bij wijze van grap, kwaadwillende software op het Internet gelanceerd. De software, met de naam Morris-worm, liet zien hoe kwetsbaar het Internet was als er niet verantwoordelijk gebruikt werd. Het resultaat was dat duizenden computers lam werden gelegd en dat systeembeheerders behoorlijk wat tijd nodig hadden om de worm onschadelijk te maken. De grap werd niet gewaardeerd en mogelijk omdat het en passant duidelijk werd hoe eenvoudig het Internet lamgelegd kon worden (Spafford, 1988).

De reden waarom de worm zich zo gemakkelijk kon verspreiden, kwam doordat de computers toen nauwelijks beveiligd waren en omdat systeembeheerders hun inloggegevens niet zorgvuldig hadden afgeschermd. Wanneer het laatste wel het geval was geweest, dan had de worm nauwelijks impact gehad. De veiligheid was in die zin door onverantwoordelijke systeembeheerders in geding geraakt. Het Internet zou onaangetast geweest zijn, als alle systeembeheerders hun operationele veiligheid[2] op orde hadden. Een argument tegen het standpunt luidt; wanneer een internetgebruiker zijn operationele veiligheid goed op orde heeft, dan kan de gebruiker zich veilig en vrij op het internet begeven.

Een argument voor de stelling, is dat het internet uit met elkaar verbonden computers bestaat. Die computers kunnen fysiek zich in verschillende werelddelen bevinden, werelddelen waar landen mogelijk hele andere wetgeving hanteren, waardoor een crimineel feit in het land waar het slachtoffer zich verblijft, daar wel strafbaar is, maar dat niet geval is waar de dader zich bevind (Stol & Leukfeldt, 2012). Zolang er geen eenduidige wetgeving is, kan er geen sprake van een veilig internet zijn.

De praktijk laat een ander beeld zien en zelfs bekende ‘veilig internet georiënteerde’ personen en bedrijven hebben niet altijd hun operationele veiligheid op orde. Zoals bijvoorbeeld de hack van een groot creditcard bedrijf. Op 29 juli 2017 maakte Equifax (Equifaxsecurity, 2017) bekend dat zij gehackt waren. De creditnummers van circa 209.000 klanten was gestolen en van ongeveer 182.000 klanten waren persoonlijke gegevens buitgemaakt (Equifaxsecurity, 2017). Argument voor de stelling is, dat als een bedrijf haar digitale kroonjuwelen niet eens kan beschermen, dan is het gebruikte medium (internet) onveilig.

Aanvullend op het voorafgaande is, dat Equifax geen uitzondering is. Eind 2016 stelde Menno van de Marel, medeoprichter van beveiligingsbedrijf Fox-IT, dat “helft van alle bedrijven is op dit moment gehackt” (Harmsen, 2016) en dat zonder dat de betrokken bedrijven dit weten. Als een bedrijf de operationele veiligheid al niet goed genoeg op orde kan krijgen, wat kan er dan van de gewone gebruiker worden verwacht? Argument voor de stelling is, dat de gewone internetgebruiker hier geen aandacht voor heeft. Het ontbreekt hen aan de kennis, ze zijn zich onbewust van de gevaren en daardoor zijn zij weinig gemotiveerd om in hun online veiligheid te investeren. Het gedrag van de internettende gebruiker is moeilijk te veranderen en daarmee brengen zij zichzelf en anderen in gevaar.

Als tegenargument kan worden aangedragen dat overheden meer moeten investeren in bewustwordingscampagnes over de gevaren van het internet. De “digitale weerbaarheid van individuen en organisaties blijft achter bij de groei van de dreiging” stelt de Nationale Coördinator Terrorismebestrijding en Veiligheid (NCTV, 2017). Door het geven van inzicht in de gevaren en hoe er moet worden gehandeld, maakt het gebruik van het internet een stuk veiliger.

De wetgever zit ook niet in stil en voor de Amerikaanse financiële sector is in 2002een eigen wet opgesteld: ‘de Sarbanes-Oxley (SOX) Act’ (U.S. Securities and Exchange Commision, 2002). Deze wet noemt onder andere beveiligingsmaatregelen die juist hacks, zoals die bij Equifax heeft plaatsgevonden, moeten voorkomen. Het doel van de wet luidt;

”To protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the security laws, and for other purposes.” (Stults, 2004, p. 3)

 Als argument voor de stelling: ‘zelfs al is er een wet die voor een sector beveiligingsmaatregelen voorschrijft en er worden onafhankelijke audits uitgevoerd om vast te stellen of die maatregelen toegepast zijn, dan nog is dit in de praktijk blijkbaar geen veiligheidsgarantie’.

Tegenstanders dragen het volgende argument aan. Om het internet veilig te krijgen, moet de internettechnologie in essentie al veilig gemaakt zijn en niet achteraf er aan toe worden gevoegd. De huidige technologische ontwikkelingen worden door functionaliteit gedreven en dat tegen zo weinig mogelijke kosten. Er wordt niet stilgestaan bij de mogelijke onwenselijke neveneffecten die de nieuwe technologie met zich meebrengt en nadenken over beveiliging kost alleen maar geld. ‘Security by design’ (OWASP 2016), is een softwareontwikkelmethodiek waarbij  ‘veiligheid’ een integraal onderdeel binnen het ontwikkelproces is. Dit  zou de norm moeten zijn en wettelijk verplicht moeten worden. Het uitgangspunt is dan: ‘als internettechnologie in de basis veilig ontwikkeld is, dan is het gebruik ervan ook veilig’.

De basis van het internet is in de jaren zestig gelegd, maar kwam echt tot bloei vanaf 1983 toen het TCP/IP protocol in gebruik werd genomen (Stol & Leukfeldt, 2012, p. 34). In de tussentijd is die basis hetzelfde gebleven en het protocol is in 1983 niet ontwikkeld met veiligheid als een belangrijke ontwikkelfactor. Als argument voor de stelling kan gegeven worden, dat als ‘security by design’ (OWASP 2016) vanaf nu wordt toegepast, dan nog bestaat het internet uit onderdelen die niet volgens dat principe zijn gebouwd. Het is als het maken van een steeds veiligere auto maken, die nog altijd over dezelfde gevaarlijke weg moet rijden. Het rijden zelf blijft op die weg gevaarlijk.

Om op de ‘gevaarlijke weg’ metafoor door te gaan, wanneer een weg echt onveilig is, dan wordt de weg zodanig aangepast dat die veilig wordt. Dit is wat in de fysieke wereld zal gebeuren. Zoiets kan ook voor het internet worden voorgesteld. Door het internet zodanig aan te passen dat die veiliger wordt en dat de gebruikers zich ook veilig gedragen, ontstaat er een veilig internet. Een voorstel als dit, gaat gepaard met heel veel inspanning en kosten. Daarnaast is het internet niet direct van iemand en wordt de verantwoordelijkheid ervoor niet door een groep gedragen. Wederom een argument voor de stelling.

Een iets minder rigoureus voorstel is om een veilig plek op het internet te creëren. Als tegenargument voor de stelling is, als het mogelijk is om zoiets als een darkweb te creëren, waarom dan ook niet een ‘veilig web’ of ‘safeweb’[3]? Het internet is dan niet veilig in zijn geheel, maar een deel ervan is dan wel veilig. Ondanks dat het darkweb als een onveilige internet omgeving wordt gezien, maar strikt genomen biedt het de gebruikers meer veiligheid dan het ’normale’[4] internet. Allereerst is het darkweb afgezonderd van het de rest van het internet. Gebruikers kunnen er alleen met speciale software gebruik van maken. Ten tweede zit anonimiteit in het darkweb ingebakken. Dat maakt het voor de gebruiker aantrekkelijk om bijvoorbeeld illegale handelingen op het darkweb te verrichten, want opsporing is erg moeilijk en tijdsintensief. Ten derde kan de gebruiker nauwelijks worden gevolgd, zodat er geen profiel kan worden opgesteld en wordt er geen inbreuk op de privacy gedaan. Iets wat buiten het darkweb wel van toepassing is. En ten vierde wordt er veel op vertrouwen gewerkt, iets wat heel raar is in een anonieme wereld, maar waardoor de illegale handel op het darkweb floreert. Voor een select gezelschap kan het darkweb als utopie omschreven worden en biedt het voor hen en nu een redelijk veilige omgeving. Een netwerk gebaseerd op de fundamenten van het darkweb netwerk, zou in theorie heel veilig kunnen zijn en kan naast alle andere netwerken, die van het internet gebruik maken, bestaan.

Conclusie

In mijn optiek is de stelling: ‘een veilig internet is een utopie’, gegrond. Zeker wanneer er met ‘internet’ het hele internet, inclusief alle internetdiensten die van internet afhankelijk zijn, wordt bedoeld. De argumenten voor de stelling zijn erg overtuigend zoals hierna wordt aangetoond.

In eerste plaats is het volgende argument voor de stelling aan te dragen. De basis van het internet is niet vanuit een veiligheidsperspectief ontwikkeld en is daardoor kwetsbaar en daardoor onveilig. Aanvullend hierop is dat het ontwikkelen van nieuwe technologie vooral functioneel  gedreven is. Mocht het product aanslaan, dan wordt er eventueel naar het verder beveiligen ervan gekeken. Als de noodzaak niet direct duidelijk is, dan zal er niet naar veiligheid gekeken worden.

Als tegenargument van het hierboven geschrevene kan worden aangedragen, dat het laatste door bijvoorbeeld wetgeving kan worden afgedwongen.  Dit zou bijvoorbeeld door ‘security by design’ (OWASP 2016) tot norm van technologie- en softwareontwikkeling te verheffen.

Een argument voor is de stelling, is dat de wetgever al regels heeft opgesteld die het gebruik van het internet veilig zouden moeten maken. In de praktijk blijkt dat dit niet werkt, gezien de bijna dagelijks nieuwsberichten over bedrijven die gehackt zijn en die allemaal de voorgeschreven maatregelen hebben geïmplementeerd.

Een ander argument voor de stelling is, dat het gedrag van zowel de gebruiker als bedrijven en organisaties die diensten via het internet aanbieden, niet past bij het gebruik van het internet. Men schat de risico’s veel te laag in en denken dat ze veel beter beschermd zijn dan ze in werkelijkheid zijn.  Men is zich niet goed bewust van de risico’s, de kans die men loopt en wat de bijbehorende gevolgen zijn. Iets wat in de fysieke wereld te vergelijken is met de deelname van jongeren met een autorijbewijs in het verkeer. Gedrag is moeilijk te veranderen en helemaal niet als men zich hier niet van bewust is.

Als tegenargument van het bovenstaande is aan te dragen, dat er te weinig aandacht aan de gevaren en gevolgen van het internet besteed wordt. Als bijvoorbeeld de overheid  hier meer tijd en geld aan zou besteden, dan wordt het gedrag veiliger en kan er veiliger van het internet gebruik worden gemaakt. En hier gaat het voor een belangrijk onderdeel mis. Gebruikers zijn pas gemotiveerd om hun gedrag te veranderen, als ze inzien dat het moet worden veranderd. Dit is een harde leerschool, maar vaak wel het doeltreffends. Helaas betekent dat de gedragsverandering pas na een incident zal worden ingezet. Voor die tijd zal er gedacht worden, dat zij geen slachtoffer zullen zijn. En ondanks dat een gedragsverandering het internetgebruik voor de gebruiker veiliger kan maken, het internet zelf wordt daar niet veiliger op.

Nog een argument voor de stelling is dat het internet niet van ‘iemand’ is. Er is niemand die verantwoordelijk gesteld kan worden en er is niemand die actie kan ondernemen op het moment dat er gehandeld moet worden zoals we dat in de fysieke wereld wel kennen. Daarbij komt dat het internet uit verschillende computers bestaan die met elkaar verbonden zijn, maar fysiek in een ander werelddeel kunnen bevinden. Dit betekent dat als er illegale handeling wordt verricht dat er verschillende landen betrokken kunnen zijn en dat de onderlinge wetgeving heel erg kan verschillen. Daardoor is het nauwelijks mogelijk om kordaat op cybercriminaliteit kan worden gereageerd. De onveilige situatie blijft zo in stand.

Als met ‘een veilig internet’ maar een deel van het internet wordt bedoeld, bijvoorbeeld een veilige tegenhanger van het darkweb, dan is het wel mogelijk om een veiliger internet te realiseren. Ondanks dat er een duistere waas om het darkweb heen hangt, biedt het de darkwebgebruikers meer veiligheid, dan het internet dat we juist veiliger willen maken.

Willen we het internet veiliger maken, dan moeten er zaken veranderd worden. Het hele internet veilig maken, dat gaat zogezegd niet lukken, maar in analogie met het darkweb is technisch een veilig netwerk op het internet realiseerbaar. Echter zolang de behoefte niet groot genoeg is om de kosten voor het ontwikkelen van een dergelijk netwerk, dan zal dit ook niet gaan lukken. Plus dat er vooral economische belangen spelen, die de ontwikkeling van een dergelijk netwerk juist willen tegengaan.

Resumerend: de stelling is juist als het hele internet als uitgangspunt wordt genomen. Met het hele ‘internet’ wordt dan alle computers en diensten en bekabeling ertussen bedoeld. Wanneer er gestructureerd een veilig netwerk op het internet wordt gemaakt, met als het darkweb als voorbeeld, dan zou dat netwerk een stuk veiliger kunnen zijn dan het huidige internet, mits er rekening wordt gehouden met bijvoorbeeld ontwikkelprincipes zoals privacy- en security by design.

Bibliografie

Barlow, J. (1996, februari 8). A Declaration of the Independence of Cyberspace. Retrieved november 21, 2017, from Electronic Frontier Foundation: https://www.eff.org/cyberspace-independence

Dasselaar, A. (2008). Handboek Digitale criminaliteit (Tweede ed.). Culemborg: Van Duuren Informatica.

De Boer, T. (2015). Middelgroot Woordenboek Nederlands. Utrecht-Antwerpen: Van Dale Uitgevers.

Equifaxsecurity. (2017, september 17). consumer-notice. Retrieved december 2, 2017, from equifaxsecurity2017: https://www.equifaxsecurity2017.com/consumer-notice

Harmsen, M. (2016, december 22). Helft van alle bedrijven is op dit moment gehackt. CFO magazine, p. 6.

Moeller, S. (2010, Maart 1). 24 Hours: unplugged. Retrieved november 21, 2017, from Withoutmedia: https://withoutmedia.wordpress.com/

Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). (2017). Cybersecuritybeeld Nederland CSB 2017. Den Haag: Nationaal Coördinator Terrorismebestrijding en Veiligheid.

Open Web Application Security Project (OWASP). (2016, augustus 3). Security by Design Principles. Retrieved december 4, 2017, from OWASP: https://www.owasp.org/index.php/Security_by_Design_Principles

Spafford, E. (1988). The Internet Worm Program: An Analysis. West Lafayette: Department of Computer Sciences Purdue University.

Stichting Kennisnet Ict op school. (2015, december 1). Diploma Veilig Internet. Retrieved november 21, 2017, from diplomaveiliginternet.nl: https://www.diplomaveiliginternet.nl/

Stol, W. P., & Leukfeldt, E. (2012). Cyber Safety: An Introduction. Den Haag: Eleven international publishing.

Stol, W., Tielenburg, C., Rodenhuis, W., Pleysier, S., & Timmer, J. (2011). Basisboek integrale veiligheid (2e druk ed.). Den Haag: Boom Lemma uitgevers.

Stults, G. (2004). An Overview of Sarbanes-Oxley for the Information. Swansea: SANS Institute.

U.S. Securities and Exchange Commision. (2002, juli 30). SOA.pdf. Retrieved from sec.gov: https://www.sec.gov/about/laws/soa2002.pdf

[1] Discussie over Internet als eigennaam (met hoofdletter) en als soortnaam (kleine i). In de tijd van Barlow was het nog een eigennaam. Door ander gebruik van het Internet werd het een soortnaam van technologie die van het internet gebruik maakt.

[2] Operationele veiligheid is de Nederlandse vertaling van het Engelse operations security (OPSEC) en betekent dat

[3] De naam Safeweb wordt o.a. gebruikt voor een browser plug-in die advertenties toont die voor de maker van de plug-in geld genereert.

[4] Met ‘het normale internet’ worden die internetdiensten bedoeld waar iedereen gebruik van kan maken.