Onveilige apps bedreiging voor privacy

Een digitale wereld die vrij en open is, maar ook veilig. Hoe organiseer je dat? Daarover praten ruim 1.500 experts uit 100 landen donderdag en vrijdag in Den Haag op de Global Conference on CyberSpace (GCCS2015). Een van de oplossingen is meer aandacht voor informatiebeveiliging bij het begin van digitale ontwikkeltrajecten. Ontwikkelaars van nieuwe apps en interactieve webplatforms kijken namelijk zelden naar het borgen van persoonsgevoelige informatie.

“Elke grote hack haalt het nieuws, zoals vorige week toen IS-sympathisanten korte tijd de Franse tv-zender TV5Monde overnamen”, vertelt Wouter van Rooij van ict-dienstverlener Sogeti. “De actie toont maar weer aan hoe kwetsbaar het digitale domein is. Tegelijkertijd stuit je steeds op dezelfde fouten waardoor het hackers wel erg makkelijk gemaakt wordt.”

Voor een belangrijk deel ligt onze privacy in de vuurlinie door de stortvloed aan nieuwe applicaties die wij op onze smartphones installeren. Daar zitten onbekende bij, maar ook digitale A-merken zoals Uber (taxidienst) en Airbnb (kamerverhuur). Deze brengen vraag en aanbod bij elkaar en bieden particulieren zelfs zicht op een extra zakcentje. Heel sympathiek, maar voor de beveiliging van de persoonlijke gegevens die ze in handen krijgen hebben deze pareltjes van de deeleconomie minder oog.

“Slechts 20 procent is echt bezig met het beschermen van gevoelige informatie”, aldus Van Rooij. “Met als gevolg dat bijna elke nieuwe app voor je smartphone een bedreiging vormt voor je privacy.” Als ethical hacker speurt Van Rooij naar de zwakke plekken in software en ict-omgevingen. “Daarin verschil ik niet van andere hackers, behalve dat ik na een kraak mijn opdrachtgever adviseer hoe het lek te dichten.”

“Overgrote deel app-bouwers opereert tamelijk naïef en onvolwassen”
Talrijk zijn de bedrijven met een discutabele privacy-waarborg die Wouter van Rooij tijdens zijn kraaksessies tegenkomt. Hoogst opmerkelijk, zeker sinds Julian Assange (Wikileaks) en NSA-klokkenluider Edward Snowden hebben aangetoond hoe kwetsbaar de digitale identiteit van burgers en consumenten is. Je zou op zijn minst verwachten dat bedrijven hun online-klanten inmiddels verzekeren dat hun gegevens niet bij wildvreemden in handen vallen.

Gaat het hierbij om doelbewuste roekeloosheid? Van Rooij gelooft van niet. “Het overgrote deel van de app-bouwers opereert tamelijk naïef en onvolwassen. Ze zijn vooral bezig met het maken van een goed functionerende applicatie. Werkt het en werkt het het best, die vragen houdt ze bezig. Mogelijke verdere consequenties van hun vinding zijn van latere zorg.”

“Alleen de werkelijk groten krijgen een tweede kans”
Vaak onderneemt een onderneming pas actie als ze zelf de pijn ondervindt van haar privacy-nonchalance. “Je zag het begin dit jaar bij Uber toen hackers daar ineens hun slag bleken te hebben geslagen. De adressen en rijbewijsnummers van 50.000 bijbaan-chauffeurs lagen op straat, mogelijk ook van Uber-chauffeurs buiten de Verenigde Staten. Dat vind je als Nederlandse Uber-rijder niet fijn, zeker nu Justitie Uber strijdig met de wet heeft beoordeeld en je als bestuurder de kans loopt op een strafblad. Als je dan vermoedt dat jouw naam door een hack ineens bij het Openbaar Ministerie ligt, dan word je toch zenuwachtig.”

Voor Uber was het reden om Joe Sullivan, tot deze maand beveiligingschef van Facebook, aan te trekken. “Met een geschatte marktwaarde van meer dan 17 miljard dollar kan Uber zich een tweede hack niet veroorloven. Zowel geldschieters als klanten accepteren dat niet.” Dus huurt Sullivan ethical hackers als Van Rooij in om tegen beloning het systeem te kraken, in de wetenschap dat zo de mazen in het beveiligingsnet het snelst en het best worden gedicht.

Toch is naar het oordeel van Van Rooij de Sullivan-move een voorbeeld van de put dempen als het kalf verdronken is. “Ik vind het onvoorstelbaar dat een zichzelf respecterende app-ontwikkelaar of een bedrijf met een sterke online-verdienpoot al niet vanaf het eerste begin informatiebeveiliging volledig meeneemt in de ontwikkelplannen. Simpelweg omdat databeveiliging en privacywaarborging onherroepelijk op je pad komen. En als je dan niets hebt geregeld, kan het zomaar de ondergang van je business betekenen. Want alleen de werkelijk groten krijgen een tweede kans.”