Wordt AVG-paniek AVG-laksheid? | Gehackt buiten jouw schuld om

Goedemiddag! We maken de stand van zaken op na een halfjaar ‘AVG’. Ook bespreken we een ogenschijnlijk kleine hack, en waarom die laat zien hoe cybersecurity nooit de verantwoordelijkheid van één persoon is.

Ruim anderhalf jaar lang wisten we dat de privacywet eraan kwam, maar leefde het onderwerp niet. Toen brak plotseling de paniek uit. Scholen, tandartsen en schoonheidsspecialisten zouden risico lopen op torenhoge boetes. Mag je überhaupt nog wel fotograferen op straat? En iedereen en z'n tweedegraads familielid op hogere leeftijd had een functionaris gegevensbescherming nodig.

Zoals dat wel vaker gebeurt met nieuwe wetgeving - we kijken ook naar de inlichtingenwet - brak daarna een periode van relatieve stilte aan. Alle opgebouwde spanning ten spijt, stopte de wereld op 25 mei niet met draaien.

Wat niet wil zeggen dat er niets gebeurde. De raderen van handhaving draaien soms langzamer dan de buitenwereld verwacht. Zo kan het gebeuren dat Uber meer dan een halfjaar na de invoering van de nieuwe privacywet nog een boete krijgt op basis van de oude wet.

Ondertussen kreeg de Autoriteit Persoonsgegevens (AP) bijna 10.000 klachten binnen in een halfjaar tijd. Mensen klaagden het meest over bedrijven die geen inzage wilden geven in iemands persoonlijke gegevens, of de manier waarop was niet goed.

Hoeveel van die 10.000 klachten terecht zijn, is niet bekend, maar we weten wel dat 100 klachten naar in totaal elf bedrijven ernstig genoeg waren om een onderzoek te rechtvaardigen.

Je kunt daar cynisch over doen: dat betekent dat de kans dat jouw klacht bij de AP een onderzoek wordt, slechts 1 procent is. Maar het is niet zo dat er in andere gevallen helemaal niets gebeurde: in 20 procent van de gevallen verstuurde de AP een mail met uitleg over de wet en in 10 procent van de klachten werd met het bedrijf of de organisatie een ‘norm-overdragend gesprek’ gevoerd.

Naar welke elf bedrijven en organisaties de AP onderzoek doet, is onbekend. Het scala aan klachten is breed: van een ‘cookiemuur’, waarbij je tracking-cookies moet accepteren om een website te mogen bezoeken, tot de beveiliging van medische gegevens en het doorverkopen van privégegevens.

Hoewel de AP altijd heel zuiver is in zijn communicatie is en zelden iets wil vertellen over de bedrijven waarover wordt geklaagd, weten we van één organisatie waar meerdere klachten over binnenkomen: het BKR.

Iedere Nederlander die weleens iets heeft geleend, rood kan staan, een telefoon op betaling heeft gekocht of zelfs privé een auto heeft geleased, is bekend bij het BKR. Die organisatie heeft dan een dossier van je, waarin staat voor hoeveel je jezelf in de schulden hebt gestoken. Als je betalingsachterstanden hebt, kun je zelfs een negatieve notering krijgen.

Reden genoeg voor mensen om op te willen vragen wat er precies in hun dossier staat. Wat mag, onder de nieuwe privacywet. Maar wie betaalt, krijgt sneller en makkelijker inzage in zijn dossier dan wie zich beroept op zijn wettelijke rechten. Mag niet, zeggen juristen. De AP heeft meerdere klachten hierover in behandeling.

Cybernieuwtjes is heel benieuwd hoe de privacywaakhond in deze en andere zaken te werk zal gaan. Worden er direct boetes opgelegd? Gaat de AP in gesprek?

De privacy van Nederlanders wordt niet per se beter beschermd als de AP als een cyber-Lucky Luke sneller dan zijn schaduw boetes oplegt. Maar als blijkt dat de privacywaakhond in de praktijk geen tanden heeft, kan de AVG-paniek wel eens heel snel omslaan in AVG-laksheid.

In dat kader is ook de interne onrust bij de AP van belang. Talentvolle medewerkers zijn vertrokken en vacatures in het bestuur zijn nog niet vervuld. De organisatie zou maar met moeite nieuwe mensen aan zich weten te binden en er wordt geklaagd over de autoritaire leiding van voorzitter Aleid Wolfsen.

Na een halfjaar is het nog te vroeg om de balans op te maken. Maar Cybernieuwtjes wacht vol spanning af: de komende maanden en jaren worden heel belangrijk.

Het had de crypto-diefstal van het jaar kunnen zijn. Een aanpassing in de code van een populaire open-source npm-library werd automatisch overgenomen door miljoenen programma’s die er gebruik van maken, waaronder van de BBC en Microsoft.

De aanpassing in de code bleek specifiek gericht tegen cryptocurrency-software Copay. Wanneer er meer dan 100 bitcoin (een kleine 300.000 euro) werd gevonden in een wallet van een slachtoffer, stuurde de aanval diens private keys naar een server in Maleisië. Slachtoffers hebben zich nog niet gemeld, maar het zou kunnen dat de criminelen wachten met hun slag slaan.

Hoe heeft het zo ver kunnen komen? Dagelijks gebruiken we allemaal op indirecte wijze open source-sofware, opgenomen als dependency in de websites en apps die we gebruiken. Dus ook in de achtergrond van het programma waarin je deze nieuwsbrief leest.

De code van deze open source-projecten wordt geschreven en bijgehouden door vrijwilligers. Dat fouten van deze vrijwilligers kunnen zorgen voor kwetsbare systemen, zagen we al in 2014 met de Heartbleed-bug.

De criminelen konden in dit geval eenvoudig aanpassingen maken in de npm-library: ze boden simpelweg aan om bij te dragen aan het project. Dat ging zo:

Ook al had de eigenaar van het project dus geen interesse meer in het bijhouden ervan, vele programma’s gebruikten zijn code nog wel. Programmeurs buitelden over elkaar heen om deze eigenaar de schuld te geven van het incident, hij moest immers verantwoordelijkheid nemen voor zijn project.

Maar als criminelen actief misbruik proberen te maken van open source-projecten, is het dan wel redelijk om van vrijwilligers te verwachten dat zij dit tegenhouden?

Dit incident met de npm-library is een goed voorbeeld van een supply chain-kwetsbaarheid. Vergelijkbaar met gerichte aanvallen als Stuxnet had de library een superbreed bereik, maar werd de malware toch heel gericht ingezet. Bij Stuxnet om specifieke ge-airgapte centrifuges van het Iraanse kernprogramma te saboteren, en hier om de wallets van een handvol steenrijke Copay-gebruikers te legen.

Waarom is dit nou interessant? Het zit er immers dik in dat de individuele lezers van Cybernieuwtjes minder dan 100 bitcoin bezitten en dus niets te vrezen hebben van deze malware. Maar dit incident is natuurlijk niet uniek.

Dit keer was het doelwit cryptocurrency. Maar eerder zorgde een supply chain-attack op Oekraïense boekhoudsoftware voor wereldwijde problemen. Een volgende keer kunnen het bedrijfsgeheimen zijn, of het manipuleren van stemcomputers. Dit incident laat goed zien dat cybersecurity niet door één individu of organisatie te regelen is. Encrypt all the things schiet tekort.

We moeten security zien als een netwerk van afhankelijkheden en verantwoordelijkheden, en de belangen zo organiseren dat de juiste ontstaan in dat netwerk. In zijn laatste boek bespreekt Bruce Schneier deze afhankelijkheden en kwetsbaarheden in onze maatschappij.

Misbruik van de npm-library werd in dit geval gevonden door een oplettende student. Structureel organiseer je veiligheid bijvoorbeeld door het uitloven van bug bounties en organiseren van coordinated disclosure.

Open source-projecten draaien op vrijwilligers. Het is belangrijk dat ze gewaardeerd worden om hun publieke rol. In nasleep van Heartbleed doneerde de Rijksoverheid een half miljoen euro aan open encryptieprojecten, maar dit bleef bij een incidentele begrotingspost.

Individueel kun je natuurlijk ook doneren aan softwareprojecten waar je gebruik van maakt – dat kan straks zelfs volautomatisch. Denk bijvoorbeeld aan Keepass, 7-zip, en Tor. Het probleem van onveilige dependencies is daarmee niet ineens weg, maar je draagt wel bij aan een structurele oplossing.