Parlementair forum cybersecurity
Enkele weken geleden was ik te gast in Genève voor het parlementair forum "Shaping the Information Society", waarbij de driedubbele uitdaging van Cyber-Security centraal stond: Information, Citizens and Infrastructure. Dit in het kader van de World Summit on the Information Society (WSIS), georganiseerd door de Verenigde Naties, de International Telecom Union en de Interparlementary Union. Ik mocht er ons land vertegenwoordigen namens de Kamer, samen met Rik Daems voor de Senaat en Eric, medewerker van de PS.
Best een interessante driedaagse. Er werd niet alleen gediscussieerd over cyberveiligheid, met thema's als dataretention en zo, maar vooral over de aanpak in de verschillende landen en onderlinge samenwerking. Zo vinden veel problemen hun oorsprong in landen die het niet al te serieus nemen met internetveiligheid, of ontwikkelingslanden die niet altijd de middelen hebben om in te grijpen. Ook het feit dat recent 3 fibers werden aangelegd naar Oost-Afrika leidde niet alleen tot vooruitgang inzake ontwikkeling en telecom, maar helaas ook tot een serieuze toename van aanvallen op doelwitten aldaar, en vanuit locaties aldaar. Samenwerking en gecoördineerde acties zijn duidelijk nodig. Kenya bvb probeert dit op genuanceerde manier aan te pakken: door enerzijds een nieuwe "Bill of Rights" in de grondwet op te nemen die de vrijheden en rechten van de burgers vastlegt, en nu de telecomwetgeving aan te passen en hiermee in overeenstemming te brengen. Een pleidooi voor een internationaal strafhof voor cybercrime was ook nooit ver weg.
Vanuit Symantec wees men erop dat cybercrime eigenlijk niet nieuw is, wel dat dergelijke zaken nu op grotere schaal gebeuren. Men moet dan ook opletten met wetgeving hierrond: creditcardskimming met een PC kan gewone "kleine criminaliteit" zijn, maar evengoed een aanval op grote industriële installaties. We moeten ook nadenken of we hier voldoende middelen voor inzetten (een logisch pleidooi voor iemand van een veiligheidsbedrijf): de schade van cybercrime is mogelijks groter dan de schade veroorzaakt door verkeersovertredingen, terwijl de investeringen in manschappen/politie niet meteen equivalent zijn.
Duidelijk is ook dat vele procedures niet echt aangepast zijn en dikwijls een bureaucratisch gegeven zijn. Er is dikwijls voldoende bewijsmateriaal voorhanden, bvb IP-adressen die opduiken in mailinglists, waarbij zich moet afvragen of een IP-adres valt onder "personal data" en wel gebruikt mag worden in een onderzoek. Drastisch vereenvoudigen en versnellen van procedures is de boodschap hier, waar ik helaas ook (nog) niet het fijne van weet.
Typisch voor deze sector is natuurlijk dat wetgeving steeds achter de ontwikkelingen aanholt. Het is een ware uitdaging om een evenwicht te vinden tussen een al te strikte, steeds aan te passen wetgeving, en een wetgeving met algemene principes die geëinterpreteerd dienen te worden door een soort regulator of administratief rechtscollege, wat dan weer de democratie uitholt. Zelf denk ik dat daar een middenweg mogelijk is, waarbij (interpretatie)beslissingen van de regulator bekrachtigd worden door een regering of geëvoceerd kunnen worden door een parlement. By default vertrouwen en snelle wijzigingen mogelijk dus, maar met behoud van democratisch recht en mogelijkheid tot terugfluiten.
Een ander voorbeeldje hierin is bvb dat privacy-wetgeving de overheid belet om privacygevoelige data (quasi alles dus) in het buitenland te bewaren. Een dynamische cloud met ook een datacenter in pakweg Finland of de States behoort (nog) niet tot de mogelijkheden. Iets waar we volgens mij ook werk van moeten maken, al dienen we daarvoor eerst nog een cultuuromslag teweeg te brengen bij onze overheid dat niet iedereen op zijn eigen eilandje de eigen data en diensten dient te beheren. Dit leidt immers tot hallucinante toestanden, zoals bij het BIPT waar een overrompeling van www.bestetarief.be tot een crash leidde en men inderhaast 3 bijkomende server plaatste waaruit de websitebezoeker zelf te kiezen had. Een gemeenschappelijke dynamisch schaalbare basisinfrastructuur is hier echt een must. We moeten duidelijk leren leven met delegeren van dergelijke diensten en veiligheidsvoorzieningen, terwijl we die wel steeds ten volle moeten begrijpen.
Interessant ook was natuurlijk de (informele) uitwisseling met buitenlandse collega's. Zo is men in Denemarken bezig met een "communal cloud", waarbij de centrale overheid een dienstenplatform voor de lokale overheden ontwikkelt en centraal beheert. Heel interessant en ook hier te bekijken, als je 't mij vraagt!
2 reacties
Het is een feit dat wetgeving vaak achterloopt op de technologische ontwikkelingen. Of het nu gaat over (tele)communicatie, mechanische of bio technologie, IPv6 of de ggo-aardappel, er is vaak een bepaalde vorm van angst, onzekerheid en twijfel. Alle respect voor de VN en de ITU maar als ik anno 2011 het woord “cyber-“ zie moet ik spontaan terugdenken aan de vorige eeuw toen cyberpunks met PlayStations zogezegd kernkoppen konden lanceren. Ik was helaas niet aanwezig op dit forum, maar ik heb het gevoel dat er nog steeds dezelfde sfeer heerst.
Regulering van het internet is altijd een moeilijk punt. Op dit moment is er al regulering door bijvoorbeeld het BIPT. Verder zijn er nog onafhankelijke organisaties zoals ICANN, RIPE, IETF, W3C, ISO/IEC, ITU, … die de noodzakelijke IP adressen uitdelen, standaarden schrijven, ... in het algemeen het noodzakelijke (netwerk) management die de compatibiliteit en stabiliteit van de netwerken moet garanderen, en ja dit werkt!
Maar als ik dan voorstellen zie onder de slogan van “geciviliseerd internet” moet ik toch wel even slikken. Zo is er bijvoorbeeld de Franse HADOPI wetgeving en het “three strikes” beleid (die de MR ook bij ons wilt introduceren) die toch wel de principes van onze rechtsstaat ondermijnt.
De wettelijke problemen bij cloud computing gaan veel verder dan de privacy wetgeving, het is een wettelijk probleem in het algemeen. Denk bijvoorbeeld maar aan gegevens ivm godslastering, homoseksualiteit, … dat hier geen probleem is maar in bv. Saoedi-Arabië wel. Het falen van de bestetarief.be website lijkt me niet een “cloud” probleem. Een load balancer of een reverse proxy zou dit probleem ook oplossen.
Om af te sluiten nog een oud (humoristisch) filmpje over de -helaas- overleden Ted Stevens, de gewezen voorzitter van de commissie verantwoordelijk voor de regulering van communicatietechnologie in de VS: http://www.dailymotion.com/video/x7ujg_ted-stevens-and-those-internet-tu...
Yennick,
Bedankt voor je reactie. Wees gerust, het ging over meer dan het cyberverhaal dat je beschrijft. Zo bijvoorbeeld ook over rechten en vrijheden, zoals in de case Kenya die ik beschreef. Over standaarden en zo werd niet gerept, buiten heel even toen het over de digitalisering van het parlement ging, over het ter beschikking stellen van (wetgevende) informatie. Wat de rest van standaarden betreft en de werking van het internet betreft, is dit inderdaad in handen van gedecentraliseerde onafhankelijke organisaties, wat volgens mij het beste is, goed werkt en best ook zo blijft. Terechte bedenking ook bij de Hadopi -wet.
Zaken mbt godslastering en homoseksualiteit (censuurtoestanden) hebben volgens mij echter weinig te maken met cloud computing. Wat bestetarief.be betreft, is het probleem vooral een kortstondige load, gebrek aan voldoende capaciteit om die load op te vangen, en gebrek aan deftige loadbalancing eens die capaciteit er was. Dit terwijl er op andere diensten massaal capaciteit in overvloed was. Dat krijg je als elke dienst dat op haar eigen eilandje zelf wil doen. Zulke zaken gebeuren beter meer gecentraliseerd, in een soort cloud, waar dit efficiënter verdeeld wordt.
Plaats een nieuwe reactie