Cyberexpert Bruce Schneier 2017 zat vol cyberrampen. Veiligheidsexpert Bruce Schneier pleit voor strengere regels. „De VS doen niets; ik heb mijn hoop gevestigd op Europa.”
Als 2017 ons iets leerde was het dat niemand veilig is voor hackers – ook niet degenen die ons moeten beschermen. De Amerikaanse geheime dienst werd bestolen, cybersecuritybedrijf Fox-IT werd gehackt, antivirusbedrijf Kaspersky geïnfiltreerd.
Ook nog: gijzelsoftware die ziekenhuizen en bedrijven platlegde, gehackte gadgets en webdiensten, Uber die inbrekers geld gaf om te zwijgen over 57 miljoen gestolen profielen. Niet een maar drie (!) miljard gehackte Yahoo-accounts. Conclusie: 2017 was een rampjaar voor de cyberveiligheid.
„Nou…” klinkt het vanonder een grijze alpinopet, „dat valt wel mee. 2017 was even erg als anders.”
Bruce Schneier (1963) is een Amerikaanse cryptoloog, auteur en veiligheidsexpert. Hij schreef boeken als Data and Goliath over dataverzameling en Liars and Outliers over terrorismebestrijding.Op zijn blog schneier.com bespreekt hij actuele ontwikkelingen in cybersecurity. In zijn vrije tijd speelt Schneier percussie en schrijft hij restaurantrecensies. Zijn favoriete gerecht als hij in Nederland is: de rijsttafel.
Bruce Schneier doceert aan de universiteit van Harvard, werkt voor IBM en adviseerde dit jaar het Amerikaanse Congres over de hack bij dataverzamelaar Equifax. Daar werden uiterst persoonlijke gegevens van 145 miljoen Amerikanen en Britten gestolen, waarvoor de Equifax-topman het veld moest ruimen.
Schneier was deze maand in Nederland voor een IBM-congres. Dat bedrijf nam vorig jaar Resilient over, waar Schneier technisch directeur is. Maar hij reist vooral de wereld rond als veiligheidsgoeroe; auteur van veertien boeken en een blogger die de kunst verstaat om technologie in heldere taal uit te leggen.
In zijn laatste boek Data and Goliath analyseert Schneier de grenzeloze dataverzameling door bedrijven en overheden en legt uit hoe de samenleving zich aan massasurveillance kan ontworstelen. Met technologie hebben zijn boeken nog weinig te maken, met politiek en beveiligingsbeleid des te meer. Een nieuw boek verschijnt in september, over de kwetsbaarheden van het internet of things; online machines en apparaten.
Wordt het nooit saai of voorspelbaar om over cybersecurity te praten?
„Natuurlijk wel. Maar als jij me geen voorspelbare vragen stelt, dan loop ik niet weg bij dit gesprek.”
Waarom was 2017 in uw ogen geen rampjaar voor cybersecurity?
„Er waren de afgelopen tien jaar elke paar maanden wel ernstige hacks en inbraken. Ik denk niet dat de afgelopen maanden erger waren. De toename zit ’m vooral in de groeiende aandacht in de pers. Als het rustig lijkt, betekent dat dat de pers druk is met iets anders.”
En hackersgroep The Shadow Brokers dan, die hackgereedschap van de Amerikaanse geheime dienst stal en zorgde voor een wereldwijde uitbraak van gijzelsoftware?
„Dat was vooral een ramp voor de NSA [Amerikaanse geheime dienst, red.] zelf. Niet een vernedering, maar een regelrechte ramp – erger dan de klokkenluider Edward Snowden. Het is duur, het haalt de moraal onderuit en het is een drastische beperking van de mogelijkheden van de Amerikaanse inlichtingendienst.”
Lekken zulke geheimen uit omdat de NSA zoveel onderdelen uitbesteedt?
„Bij de hele Amerikaanse overheid, zeker de defensietak, is erg veel uitbesteed, al sinds Reagan president was [1981-1989, red.]. Ik denk dat dat een vergissing is. Niet alleen uit het oogpunt van veiligheid, maar ook vanwege aansprakelijkheid en goede beheersbaarheid. Als de overheid kritieke functies gaat uitbesteden, dan verliest zij veel expertise en controle over de methodologie.”
Met Trumps nieuwe belastingplan moet de Amerikaanse overheid nog verder afgeslankt worden.
„Het is belachelijk, dat Amerikaanse, libertijnse idee dat de overheid per definitie slecht is of incompetent. Alsof iemand beter wordt zodra je de instantie verandert die hem of haar betaalt.”
Toch verscheen u in het Congres om uitleg te geven over de Equifax-hack. Wat deed u daar?
„Politici wilden weten wat ze eraan kunnen doen. Het antwoord is natuurlijk: niets. Want in de VS luidt de vraag eigenlijk: wat kunnen we doen zonder dat we iemand kwaad maken? Alles wat de overheid besluit, zal iemand irriteren. Iemand die je campagnegeld heeft gegeven. Dat is het probleem in de VS.”
Equifax en Uber waren voorbeelden van hoe je niet met datadiefstal om moet gaan. Doen anderen het beter?
„Bedrijven hebben zich ontwikkeld. Dat moesten ze ook wel omdat veiligheid belangrijker werd, meer een zorg van de raad van bestuur. Het niveau van de bedreiging neemt niet toe, maar het niveau van het besef van de risico’s wel. En dat is goed.”
Hoe ervaart u de verschillen in de Verenigde Staten en de Europese Unie als het gaat om privacy?
„De VS doen niets; ik heb mijn hoop gevestigd op Europa. De EU is de regulerende supermacht van de wereld. Europa heeft een beleid voor privacy en dataveiligheid: de GDPR, de algemene data- en privacyverordering die in mei 2018 ingaat, zal een enorme impact op de rest van de wereld hebben. Dat is het voordeel van een grote markt als de EU. Als Europa een regel bedenkt, moet iedereen ’m volgen.
„De boetes in de VS zijn vaak afrondingsfoutjes voor zulke grote bedrijven. De EU legt tenminste stevige boetes op; 2,4 miljard euro voor Google – dat voelt het bedrijf wel. Net als Apple dwingen om 13 miljard euro aan achterstallige belastingen te betalen. That stuff is good.”
Amerikaanse techbedrijven klagen dat de EU hen aan banden legt.
„Natuurlijk zeurt en klaagt de techindustrie dat de overheid ons met rust moet laten. Dat slaat nergens op. Amerikanen snappen niet dat een overheid ook goed kan doen. Dat besef is er in de EU wel.”
U werkt zelf ook voor een groot Amerikaans techbedrijf.
„Wat ik je vertel is niet de IBM-mening, maar de Bruce-mening. IBM huurt mij niet in om hun standpunt te vertolken, daar hebben ze andere mensen voor. IBM houdt waarschijnlijk niet van regulering, zoals elk ander bedrijf. Maar IBM zou het juist veel beter doen met regulering; grote bedrijven kunnen tenminste aan de regeltjes voldoen.”
Is er iets veranderd nu uw bedrijf onder IBM valt?
„Het is commercieel gezien interessant. Grote bedrijven kopen immers graag van grote bedrijven, niet van start-ups die hun continuïteit nog moeten bewijzen. Naarmate technologie laagdrempeliger wordt, zullen bedrijven meer uitbesteden, ook hun beveiliging. Dat geldt niet voor overheden – die zijn van een ander kaliber. Of voor banken – die hebben soms duizenden veiligheidsexperts in dienst.”
In uw boek ‘Data & Goliath’ bent u zeer kritisch over datahongerige bedrijven en overheden. Beschouwt u zichzelf als een activist?
„Ik schrijf op wat ik vind, maar ik doe niets. Ik verstrek hooguit woorden aan de echte activisten. Ik leg thema’s uit aan ‘non-techies’; eerst over cryptografie en computerveiligheid, de economie, psychologie, sociologie en nu over veiligheidsbeleid. Het is een goede ontwikkeling dat meer techexperts zich met politiek gaan bezighouden. Van oudsher denken technologiemensen dat het alleen maar om technologie draait, maar het gaat juist om beleid.”
Mijdt u bewust sociale media?
„Niet vanuit veiligheidsoverwegingen, maar het vreet gewoon tijd en dat wil ik niet. Ik zit niet op Facebook of LinkedIn en mijn zus beheert mijn Twitter-account, die retweet automatisch wat ik op mijn blog schrijf. Dat heeft wel effect op mijn sociale leven, ik mis verjaardagsfeestjes of speciale momenten van mensen. Ik kon daar makkelijk voor kiezen, want ik groeide er niet mee op. Mensen van een jaar of twintig hebben die mogelijkheid niet, omdat hun leven zich op sociale media ontwikkelt. Iedereen moet daarin zijn eigen keuze maken.”