Afgelopen vrijdag, 10 oktober, was de salon in De Balie in Amsterdam van 12.00 tot 13.00 uur het toneel van een fishbowl-sessie over privacy en security op internet. Drie experts met verschillende achtergronden gaven hun ideeën en inzichten over internetsecurity: Sally Deffor van de Open Knowledge Foundation, Sacha van Geffen van Greenhost en Remy de Boer van True. Het aanwezige publiek mocht inspringen en nam deel aan deze levendige discussie. Lees hier een kort verslag van Security Engineer Remy de Boer.
Open data en security
De discussie ging met name over privacy en security op internet. Het hoofdonderwerp van het Open Development Camp was open data en de onderwerpen privacy en security passen daar goed bij in de zin dat er natuurlijk voorzichtig moet worden omgegaan met data. Een van de punten die in de discussie naar voren kwam, was dat bepaalde data juist niet open moet zijn en hoe je ervoor zorgt dat je dit kunt bewerkstelligen.
Hoe zeker ben je zeker van je data?
Er werd gesproken over het feit dat de beveiliging van data bij public clouds als Amazon of Google minder gegarandeerd zou kunnen worden vanwege onder andere Amerikaanse privacyregels (en de informatie die bijvoorbeeld uit de ‘Snowden-zaak’ naar voren kwam). Zodoende kwam het belang van kleinere internetserviceproviders (ISP’s) naar voren. De meeste deelnemers van de discussie waren van mening dat kleinere ISP’s, zoals True, voorzichtiger omgaan met data van klanten. Onder andere omdat zij niet zomaar informatie overhandigen aan partijen, zonder dat de politie of overheid met een gerechtelijk bevel komt. De manier waarop je dit doet, kun je als kleinere ISP nou eenmaal iets meer case-by-case aanpakken, ondanks dat de Nederlandse wetgeving ook dwingend kan zijn in sommige gevallen. Enkele praktijkvoorbeelden werden besproken.
Niet-gouvernementele organisatie (NGO’s)
Met name de niet-gouvernementele of ook wel non-gouvernementele organisaties vinden het fijn dat de kleinere ISP’s secuur omgaan met klantendata. Voor NGO’s is privacy en beveiliging heel erg belangrijk en dat is ook wat ze veelal naar buiten brengen. Maar gaan ze wel zo zorgvuldig om met deze issues? De mate waarop NGO’s omgaan met privacy en datasecurity loopt uiteen en uit de voorbeelden die gegeven worden, komt naar voren dat participanten en het publiek vinden dat NGO’s in sommige gevallen secuurder om zouden kunnen gaan met data.
PGP-encryptie
Een ander onderwerp dat aan bod kwam, was het beveiligen van je eigen communicatie door middel van PGP (Pretty Good Privacy = versleutelingsmethodes op internet). Een discussiepunt was dat de methode goed werkt om je e-mails te beveiligen of versleutelen, maar dat het voor de meeste mensen zonder technische achtergrond veel te ingewikkeld is om het effectief te gebruiken. Dit zou kunnen verbeteren door PGP gebruiksvriendelijker te maken en misschien zou het zelfs standaard aan moeten staan om ervoor te zorgen dat het algemeen gebruikt gaat worden.
Is volledige bescherming mogelijk?
Als laatste werd opgemerkt dat je jezelf nooit helemaal tegen van alles kunt beschermen. De beste manier om je data privé te houden, is om het op je eigen server te houden en niet enkel op te slaan binnen een ‘public cloud’. Je moet je software up-to-date houden en de beveiliging actief aanpakken op een eigen server, maar dan heb je het wel zelf in de hand en dat is wel een veilige gedachte.
Securitymaatregelen optimaliseren
De conclusie van de discussie is wanneer je volledige zekerheid wilt hebben over privédata je een groot deel van de security in eigen beheer zou moeten doen. Echter gezien de benodigde expertise en mate waarop je dat zou moeten inrichten, is dit vaak ondoenlijk voor organisaties. De experts geven aan dat je dan in ieder geval over elk onderdeel binnen je online omgeving zou moeten weten hoe het zit met de privacymaatregelen die er getroffen zijn. Sommige delen kun je met een hostingpartij – die uitgebreide securitydiensten aanbiedt – bespreken hoe je in de praktijk samen maatregelen kunt treffen om risico’s het hoofd te bieden. Zij helpen je ook met de implementatie van het aangehaalde PGP om e-maildata beter te beschermen.
Note: Wist u dat?
a. De ISO-27001 (informatiebeveiliging) methodiek een uitgebreide checklist bevat om na te gaan welke securitymaatregelen er binnen de IT-operaties getroffen zijn en een groot gedeelte van de securityrisico’s worden vastgelegd. Bruikbare informatie om overzicht te krijgen over securityonderdelen.
b. True – sinds 2013 – een dedicated securityafdeling (specialisten fulltime actief) heeft die 24×7 speurt naar mogelijke beveiligingsrisico’s en continu verbeteringen aangaande security binnen platformen doorvoert.
De securityafdeling van True voert onder andere securityscans uit. Mocht u met ons van gedachte willen wisselen over mogelijke securityissues binnen uw omgeving dan gaan we graag met u zitten.
E-book: Security & compliance voor digitale organisaties
Wereldwijd nemen digitale aanvallen in rap tempo toe en de nieuwe privacywet staat voor de deur. In dit e-book lees en leer je:
- praktische tips voor betere websecurity;
- wat de privacywet betekent voor webbouwers;
- wat je van een hostingprovider mag verwachten.
