Verantwoordelijkheid & Ransomware
De afgelopen dagen werd de paniek om het vastlopen van de gehele internet en de op computers draaiende delen van de maatschappij – alles dus – weer opgejaagd naar grote hoogten. Vandaag lijkt het mee te vallen, ik heb er verder nog niets over gehoord. Maar wie had nu eigenlijk de verantwoordelijkheid, wie zou aanspreekbaar moeten zijn?
De verhalen van een wereldwijde klopjacht op de daders is al bijna net zo ritueel als de paniek die sinds vrijdag de media overspoelde. Je krijgt de indruk dat de journalistiek vooral bang is zèlf gevolgen te ondervinden van de problemen die zijn ontstaan. Want als er iets gebeurt waar de media van denken dat het henzelf raakt, draait de megafoon geregeld stevig overuren. Maar nu media nog nergens getroffen blijken, en journalisten nog steeds in allerhande ziekenhuizen worden behandeld, is de paniek iets bedaard. Zodat er tijd is om aandacht te besteden aan de schuldvraag, een andere traditionele journalistieke hobby. Microsoft, eigenaar van de software die de problemen gaf, begon al te wijzen:
Mijn eerste reactie was: ja, kunst, het was jullie product. Maar na enig nadenken besefte ik dat het zo simpel niet ligt. Integendeel, helaas.
Niet alleen omdat de NSA de oorzaak bleek, maar omdat geheime diensten er gebruik van maken dat er in software gaten zitten waarmee computers gehackt kunnen worden. Via deze achterdeur zijn we dus alsnog beland in de discussie van vorig jaar, waarin de Amerikaanse geheime diensten van Apple en haar iPhone eisten dat ze die naar believen zou moeten kunnen decrypten.
En het pijnlijke is natuurlijk dat Apple met deze gebeurtenis haar gelijk heeft gehaald met haar weigering: je kunt geheime diensten niet vertrouwen, zelfs niet met vertrouwelijke informatie:
Microsoft is niet blij dat de NSA het lek onder de pet heeft gehouden. Daardoor werd het beveiligingsprobleem niet eerder opgelost. Microsoft-topman Brad Smith zegt in de verklaring dat een vergelijkbaar scenario bij conventionele wapens zou zijn als het Amerikaanse leger een aantal tomahawk-raketten zou zijn kwijtgeraakt.
“Dit toont het gevaar aan als overheden beveiligingsproblemen verzamelen.” Overheden wereldwijd zouden dit als een wake-upcall moeten zien en beter moeten nadenken over hoe ze digitale wapens gebruiken, zegt Microsoft.
En Nederland? Nederland ook, natuurlijk.
In Nederland verzamelt de AIVD ook beveiligingsproblemen in software om doelwitten te hacken. Ook wil het kabinet dat de politie de bevoegdheid krijgt om verdachten te hacken. Binnenkort buigt de Eerste Kamer zich daarover. Critici vrezen dat door de politie verzamelde lekken ook door kwaadwillenden kunnen worden misbruikt, zoals nu gebeurde bij de NSA.
Dit verklaart ook waarom de Nederlandse politie vorige week zo’n heftige inval deed bij verkopers van versleutelde telefoons. Dat iets crimineel ingezet kan worden is blijkbaar al voldoende om ergens voor te worden opgepakt. Niet dat dat in dit geval niet klopte. Maar desondanks geeft de ijver van de politie te denken, als je g=het vergelijkt met hun activiteiten die de burger bedreigen, en niet de Nederlandse staat.
De verantwoordelijkheid voor de paniek van afgelopen weekend lag dus primair op het bordje van opsporingsdiensten – en hun fixaties. Dat is geen conclusie waar je blij van wordt.
Maar de overheid ziet dat natuurlijk helemaal anders: