Select Page

Als cyberincidenten uit blijven, waarom beveilig je dan?

Bibi van den Berg, hoogleraar Cybersecurity Governance bij ISGA, was te gast bij BNR podcast ‘De Strateeg’ en bij NPO Radio 1 en besprak onder meer cybersecurity in coronatijd.

Door de coronacrisis begeven we ons massaal online. Vaker digitaal vergaderen, mailen, meer gebruik van bepaalde software en alle bijkomende kwetsbaarheden waar cybercriminelen maar al te graag gebruik van maken. Hoe moet Nederland zich hier tegen wapenen? Deze risico’s waren er ook al zonder coronavirus, maar het risico is nu vergroot. Naast de digitalisering die thuiswerken met zich meebrengt, zien we ook toenames in bijvoorbeeld DDoS aanvallen, phishing mails, en verstoringen in online vergaderingen. Naast georganiseerde criminelen zien ook startende hackers een kans. Zij hebben nu meer tijd thuis om met DDos aanvallen te experimenteren.

Van den Berg bespreekt op NPO radio 1 dat in coronatijd een goede bescherming van mobiele telefoons nog belangrijker is geworden. Al hebben veel mensen hun PC en laptop goed beveiligd, smartphones missen deze beveiliging vaak. Als we het hebben over smartphones, wordt de verantwoordelijkheid voor de beveiliging ervan vaak bij de consument gelegd. Dit is verwonderlijk, want zorg dragen voor een goede beveiliging is niet zo eenvoudig. Zou de producent dat niet eigenlijk moeten doen? Wetten op het terrein van consumentenbescherming stellen dat producenten ervoor moeten zorgen dat producten die op de markt gebracht worden niet gevaarlijk kunnen zijn. Als je een koffiezetapparaat koopt, mag je er van uit gaan dat je het veilig kunt gebruiken, en dat het niet in de brand vliegt. Maar software valt niet onder de regels voor consumentenbescherming. Als je een ‘smart’ koffiezetapparaat koopt, mag hij dus niet zomaar in brand vliegen, maar tegen hacken ben je niet beschermd. De verantwoordelijkheid voor de beveiliging van dit soort producten (en telefoons en laptops) wordt veelal bij de consument zelf neergelegd. Niet verwonderlijk dat daar risico’s zitten.

Tijd om door te pakken

Van den Berg spreekt zich bij BNR uit over de nood voor meer centrale coördinatie op het gebied van cybersecuritybeleid in Nederland. Er moet een deltaplan op cybergebied komen onder leiding van een Cybercommisaris. Zo’n plan zal alle ministeries en lagen binnen de overheid kunnen doorsnijden, want nu is dit landschap nog te versnipperd. Ministeries werken lost van elkaar en bepaalde onderwerpen binnen cybersecurity vallen in de gaten tussen deze onderwerpen en worden dus niet aangepakt. Een deltaplan met een regiehouder en een budget die voor samenwerking zorgt kan dit oplossen.

Nederland en cybersecurity

Volgens Van den Berg doen organisaties en de overheid veel dingen goed op het gebied van cybersecurity. Eén van de uitdagingen rondom beveiligen is: als je je beveiliging goed op orde hebt, dan neemt de kans op incidenten sterk af. Maar als incidenten uitblijven, bestaat de kans dat partijen zich na verloop van tijd afvragen waarom ze eigenlijk geld en mankracht steken in beveiliging. Blijft het incident uit omdat je je goed beveiligt, of omdat je nooit echt aangevallen wordt? De kans bestaat dan dat investeringen in beveiliging teruglopen, omdat er geen onomstotelijk bewijs is dat al die investeringen echt geleid hebben tot het voorkomen van incidenten. Maar àls er dan vervolgens echt een grootschalig incident plaatsvindt, wordt daarna gevraagd waarom we er niets tegen hebben gedaan. Om die dynamiek te voorkomen is het urgent dat we een deltaplan maken. Een plan voor de uitdagingen die nu tussen de kieren door glippen. We hebben meer investering nodig om de versnippering van cybervraagstukken tegen te gaan.

Bron: Universiteit Leiden

Rotterdam zet camera-auto’s in om coronamaatregelen te controleren

Rotterdam gebruikt twee camera-auto’s om te controleren of inwoners zich aan de opgelegde coronamaatregelen houden. Toen de Autoriteit Persoonsgegevens daar lucht van kreeg en kritische vragen stelde over mogelijke privacyschending, haalde de gemeente ze direct weer van de weg. Inmiddels rijden de wagens weer, maar de toezichthouder heeft nog altijd geen idee of de privacy goed geregeld is of niet.

 

Dat schrijft NRC Handelsblad, die woordvoerders van de gemeente Rotterdam en de Autoriteit Persoonsgegevens sprak.

Zo werken de camera-auto’s

Ieder land implementeert zijn eigen regels om het coronavirus te bestrijden. Ook controleert ieder land op zijn eigen manier of burgers zich aan deze maatregelen houden. In Polen bijvoorbeeld moeten mensen een selfie versturen met een app om te laten zien dat ze zich aan de quarantaineregels houden. En in Israël mag de geheime dienst Shin Bet smartphonedata verzamelen om burgers die besmet zijn met het coronavirus te volgen.

Ook Rotterdam doet haar best om de door de overheid opgelegde coronamaatregelen te handhaven. De gemeente heeft echter niet de mankracht of middelen om ieder uur van de dag een agent in de stad te laten surveilleren. Daar heeft het college van B&W iets op gevonden: camera-auto’s.

Sinds april rijden er twee auto’s door de stad: één in Noord en één in Zuid. Beide auto’s zijn uitgerust met een 360-gradencamera. Deze zendt live-beelden uit naar een centraal punt, waar deze worden bekeken door camera-operators en een centralist. Aan de hand van de beelden kunnen ze zien of een terras niet stiekem klanten bedient, of dat mensen zich schuldig maken aan groepsvorming. Indien nodig schakelen de camera-operators en centralist met de politie of andere handhavers (boa’s). In de auto zit een Senior Camera Operator. Hij of zij mag de auto niet verlaten, alleen observeren.

Privacyschending

Na enkele dagen dienst haalde de gemeente de camera-auto’s weer van de weg. Aanleiding daarvoor waren kritische vragen van de Autoriteit Persoonsgegevens. De instantie vroeg zich af of de gemeente zich niet schuldig maakte aan privacyschending. De wet is namelijk glashelder: maatregelen waarbij de privacy van burgers in het geding is, mogen pas genomen worden als de wettelijke kaders daarvoor vastgelegd zijn. Diverse gemeenteraadsleden waren verbaasd dat ze nooit over de inzet van camera-auto’s geïnformeerd waren. De gemeente koos eieren voor haar geld en besloot de auto’s niet langer te laten rijden.

Daags nadat de camera-auto’s van de weg waren gehaald, begonnen de burgemeester, politiechef en hoofdofficier van justitie met het opstellen van wettelijke regels op om de inzet van deze auto’s te rechtvaardigen. Deze kaders waren op 24 april geformuleerd. Sindsdien rijden de camera-auto’s weer dagelijks door de stad, van 12 uur ’s middags tot 11 uur ’s avonds.

De Autoriteit Persoonsgegevens was daarvan niet op de hoogte. Pas nadat NRC Handelsblad belde met vragen over de inzet van camera-auto’s, werd de toezichthouder daar op geattendeerd. “Ons is uitdrukkelijk verzekerd dat dit gestopt is”, zo laat een woordvoerder aan NRC Handelsblad weten. De belangenorganisatie heeft nog altijd geen antwoord op de vraag hoe de gemeente Rotterdam de privacy waarborgt. “Mocht blijken dat de privacy wel degelijk in het geding is (zo lijkt het), dan treedt de AP op en kijkt of er vervolgstappen nodig zijn”, aldus de privacywaakhond.

De Autoriteit Persoonsgegevens stelt dat gemeenten alleen camera’s in de openbare ruimte mogen inzetten als ‘minder vergaande middelen’ niet helpen om de openbare orde te handhaven. Ook moeten gemeenten vooraf privacyrisico’s inschatten aan de hand van een zogeheten Data Protection Impact Assessment (DPIA). Deze analyse is nog altijd niet gemaakt.

‘Privacy geborgen’

De gemeente Rotterdam schrijft op haar website dat de privacy van haar bewoners niet in het geding is met de inzet van de camera-auto’s. “Voor de camera-auto’s gelden dezelfde waarborgen als voor de vaste camera’s van cameratoezicht. De beelden worden onder toezicht van de politie in de meldkamer uitgekeken voor wat betreft de naleving van de noodverordening. De beelden worden maximaal 14 dagen bewaard en deze kunnen enkel door de politie met opsporingsredenen worden bekeken”, aldus de gemeente.

Burgemeester Ahmed Aboutaleb en wethouder Bert Wijbenga (handhaving, buitenruimte, integratie en samenleven) moeten zich donderdag verantwoorden over de inzet van de camera-auto’s voor een raadscommissie. Dan moet duidelijk zijn of de wagens nog langer blijven rijden, en zo ja hoeveel langer. Bij het televisieprogramma Op1 sprak Wijbenga over een ‘pilot’ die nog tot 18 mei doorloopt. Tevens is er onduidelijkheid over de bewaartermijn van de data die wordt verzameld: op de website staat 14 dagen, maar in een brief aan de gemeenteraad spreekt het college over 7 dagen.

Bron: VPN Gids