Datalekken het nieuwe normaal? | De ophef binnen en buiten Google

Met deze week: ondanks strengere dataprotectiewetgeving vinden er nog steeds datalekken plaats. Hoe komt dat? En: wij zullen woensdag C-SPAN kijken om meer over Google’s Chinaplannen te weten te komen.

Het zoveelste datalek, horen we jullie bijna zuchten. In het achtuurjournaal werd de hack van de Marriott-Starwood hotelketen onderdeel van het kleine nieuws, vlak voor het weerbericht. Van 500 miljoen mensen werden privégegevens gestolen, ofwel een slordige 7% van de wereldbevolking. Dat maakt dit het grootse datalek na de twee Yahoo-hacks.

Het gaat om klanten van beroemde hotels als Des Indes in Den Haag en het Apollo-hotel in Amsterdam. Onder andere paspoortnummers en geboortedata werden buitgemaakt, soms was dat al genoeg om een telefoonabonnement af te sluiten of een creditcard aan te vragen. Vrij naar Erich Maria Remarque: één identiteitsfraude is een tragedie, een datalek van een half miljard mensen is een statistiek.

Het echte nieuws hierbij is volgens jullie cyberredacteuren dat de aanvallers gedurende vier jaar toegang hadden tot de systemen. Dit is kenmerkend voor de staat van informatiebeveiliging: het is niet langer genoeg om firewalls om je organisatie heen op te trekken, je moet ervan uitgaan dat aanvallers vroeg of laat binnen zullen komen. Dat maakt defense-in-depth een noodzaak: je netwerk segmenteren en actief detecteren op verdacht gedrag. Bij Marriott gebeurde dit klaarblijkelijk vorige week pas.

Structureel geld uittrekken voor securitymaatregelen is weerbarstig omdat dit type investeringen niet iets concreets oplevert en alleen risico het verkleint. Voor een CEO is het daarom aantrekkelijker om geld in bijvoorbeeld extra advertenties te stoppen, dan in een goed uitgerust SOC.

Wetgeving verandert deze rekensom. Onder de AVG wacht Marriott een boete van maximaal 4% van de jaaromzet, ofwel zo'n 132 miljoen euro. Dat zullen ook de aandeelhouders van dit bedrijf niet prettig vinden.

Cybernieuwtjes betwijfelt of boetes of rechtszaken voldoende afschrikwekkend zijn om cybersecurity zwaarder te laten wegen in de afweging van de gemiddelde CEO. Uit psychologisch onderzoek weten we dat mensen risico’s notoir slecht inschatten.

Maar wie persoonsgegevens verwerkt, heeft een verantwoordelijkheid voor de betrokkenen. Daarom wordt het interessant om te zien hoeveel tekst en uitleg de top van Marriott de komende dagen zal geven. Krijgen we een post-mortem met een analyse over wat er mis ging? Wordt er forensische informatie over de aanvallers gedeeld? Voelen bestuurders van het bedrijf zich persoonlijk verantwoordelijk voor het datalek?

Een voormalig bestuurslid van Volkswagen zit nu zelfs zeven jaar in de cel vanwege de sjoemelsoftware waarmee dit bedrijf uitstootinspecties omzeilde. Hier was sprake van fraude, wezenlijk anders dan slechte informatiebeveiliging. Maar het persoonlijk aansprakelijk houden van bestuurders van een bedrijf is allicht nog effectiever dan het bedrijf een boete opleggen.

Wat kun je doen behalve boos worden om datalekken? Niet veel, maar digitale hygiëne kan helpen de schade te beperken. Neem dit weekend bijvoorbeeld een wachtwoordmanager in gebruik voor je belangrijkste accounts. En meld je aan voor een melding wanneer je mailadres in een gestolen database online verschijnt (dat werkt helaas nog niet voor de Marriott-database). Dan hoeft er in elk geval geen vier jaar overheen te gaan voor je actie kunt ondernemen.

Er is spaarzaam informatie naar buiten gekomen over het uiterst geheime Project Dragonfly waarmee Google werkt aan een gecensureerde, Chinese versie van haar zoekmachine. In 2010 trok het bedrijf zich nog terug uit China in plaats van censuur toe te passen. Medewerkers van het bedrijf voor wie het motto don’t be evil nog zwaar lijkt te wegen, schreven een open brief.

Uit dit artikel van Ryan Gallagher, de Intercept-journalist die het bestaan van het Dragonfly-project aan het licht bracht en zich erin vastbeet, blijkt dat Google heel goed wist dat het project controversieel was. Meer dan andere projecten werd onder de radar geopereerd om interne weerstand te voorkomen.

Gangbare procedures binnen Google waarbij projecten worden getoetst op het gebied van privacy en beveiliging, werden dwarsgezeten, schrijft Gallagher.

De leiding van het Dragonfly-project zou zo bang zijn geweest voor weerstand, dat zelfs mede-oprichter Sergey Brin niet of nauwelijks op de hoogte werd gehouden.

Waren de Dragonfly-initiators bang dat Brin, met een achtergrond in communistisch Rusland, zich tegen het plan zou keren? Geen onterechte angst, want Brin zou zich intern inmiddels tegen het plan hebben uitgesproken.

Ook interessant: Dragonfly zou veel dichter bij een lancering zijn geweest dan Google-CEO Sundar Pichai na de commotie aangaf. Het was nog maar de vraag of het project überhaupt zou worden uitgerold, aldus de Google-baas.

Horse shit, zegt een Google-medewerker tegen The Intercept. De uitrol zou zelfs in de eerste helft van volgend jaar hebben plaatsgevonden, totdat alle commotie roet in het eten gooide.

Aanstaande woensdag is er een hoorzitting in het U.S. Congress waarin dit onderwerp misschien ook aan bod komt.

Cybernieuwtjes-lezers kijken natuurlijk het liefst tv op innovatiever wijze dan ‘alle programma’s achter elkaar geplakt’. Deze maand kwam er een handige tool bij om de NPO-archieven op woordniveau te doorzoeken, bijvoorbeeld om te checken of jouw obscure altcoin al is besproken bij Pauw. De ontwikkelaars gebruikten hiervoor gescrapete teletekstdata. Cool!