Datalekkerij

In de Britse pers is het bijna een hobby geworden: rapporteren over ontsnapte persoonlijke gegevens. Toen een handvol ambtenaren kort na elkaar cd’s kwijtraakten met daarop de gegevens van miljoenen burgers, compleet met hun adres, geboortedatum, gezinssamenstelling, bankrekening en soms zelfs hun saldo, is de pers daar buitengewoon alert geworden op het probleem en nu verschijnt er bijna elke week wel een artikel over interne documenten die open en bloot op websites staan, wagenwijde lekken in software en verloren of verkeerd bezorgde cd’s met persoonsgegevens.

Ook de houding van het publiek is veranderd. De Britten dachten aanvankelijk, net als Nederlandse burgers. ‘ach nou ja, stom van ze, maar wat kun je daar nu helemaal mee’. Dat veranderde rap nadat een populaire presentator hardop zei dat onverlaten toch niks hadden aan de wetenschap wat zijn naam, gironummer en geboortedatum waren. Twee dagen later wist-ie beter: op basis van die ogenschijnlijk onschuldige gegevens had iemand kunnen inbreken op zijn bankrekening en een maandelijkse automatische overschrijving naar een goed doel aangemaakt.

Het kostte de presentator handenvol werk om de inbreuk ongedaan te maken. Ik geloof dat-ie zich heeft neergelegd bij de al gepleegde overmaking (hij kon het geld ook gerust missen), maar probeer als gewone burger maar eens een kennelijk door jezelf gedane overschrijving ongedaan te maken. Vanaf dat moment sloeg de sfeer in de Britse pers om. Data breaches – want zo heten die ongelukjes met persoonsgegevens – zijn nu groot nieuws in Engeland. Er struikelen tegenwoordig zelfs ministers over.

De Nederlandse pers is nog lang niet zover. Niet dat zulke dingen hier nooit gebeuren, in tegendeel. Alleen ziet niemand de nieuwswaarde er van in.

Vorige week ontdekte het business magazine Z24 dat ergens op een website een intern document van MeesPierson Bank te kijk stond. MeesPierson is een tak van Fortis die alleen klanten met meer dan een miljoen euro als klant aanneemt. Het document bevatte een overzicht van de rijkste klanten: naam, rekeningnummer, wat voor investeringen ze hebben gedaan, hun hypotheek en hun spaartegoeden. Het incident trok amper aandacht. Vier regeltjes in een krant, een kort stukje op een gespecialiseerde website, dat was al. En de ontdekkers waren nog wel journalisten – mensen met een goede ingang tot de pers. IJzersterk verhaal, goede contacten, en toch: minimale berichtgeving.

Soms denk ik: hadden we hier maar zo’n charitatieve hacker, iemand die op een humoristische manier aantoont dat onze tentoongespreide gezapigheid over zulke datalekkerij dom en kortzichtig is – want dat is het. Hoe kunnen we enerzijds accepteren dat onze maatschappij afhankelijk is geworden van gegevensstromen, dat ons hele hebben & houden, onze rechten & plichten, staan of vallen met wat er over ons is vastgelegd, en anderzijds tolereren dat overheden en bedrijven zo vaak laks zijn met diezelfde gegevens?

Verwant daaraan: hoe kan een overheid die wil dat we ons voor alles identificeren, brakke OV chipkaarten accepteren die zo makkelijk te vervalsen zijn als de Mifare chip? Hoe kan diezelfde overheid steunen op vingerafdrukken, die immers in twintig seconden te jatten en na te maken zijn?

Een samenleving die steunt op datastromen kan het zich niet permitteren slordig te zijn met diezelfde gegevens. Het wordt tijd dat we gaan nadenken over datahygiëne: hoe voorkomen we vervuiling en lekken van data, hoe beschermen we gegevens, hoe verifiëren we ze – en dus: hoe beschermen we onszelf.

» Zie ook mijn overzicht van Dutch Data breaches.


Aantal reacties: 1

  1. Thomas J. Boschloo ≡ 25 Jul 2008 ≡ 04:47

    Ik vind dit bericht nogal schokkend:

    http://www.security.nl/article/12870/1/Defensie_verliest_weer_USB_stick_met_vertrouwelijke_gegevens.html

    Stel dat je man bij de BBE werkt die de mogelijke 9-11-ers van morgen ‘s nachts van hun bed lichtten met groot gevaar voor eigen leven. Dan komt de familie van die gepakte (en aan een martel regime uitgeleverde) terroristen in het bezit van een lijst met alle BBE-ers in actieve dienst. Dan ga je je toch goed om de veiligheid van je kinderen zorgen maken! Dit mag helemaal niet gebeuren _waar_dan_ook_ in Defensie! Zeker geen tweede keer!

    Als je goud bezit dan doe je het ook niet in een holle boom in je achtertuin? Dat stop je in een zware kluis met bewakers en camera’s en honden. Waarom gaan we dan wel zo om met onze digitale gegevens? Op een dag gaat het mis en heeft Al-Qaida een anti-terreur lijst van vliegtuig passagiers van Nederland naar Amerika en reken maar dat ze met een creatieve aanval zullen komen waarbij ze ook nog hun minder radicale geloofsgenoten ontzien! (Die eten immers Halal).

    Dat wordt weer dansen in de straten van Palestina. En de politiek maar reageren over hoe verwerpelijk het is om om zo’n aanslag in de straat te juichen. En hoe geciviliseerd we toch in het westen zijn en dat wij nooit op straat in de lucht zullen schieten.

    Echt Karin, ze leren het NOOIT!! En als ze het leren zijn vele onschuldige inwoners van dit land collectief de lul hiervan..

    (P.S. Of de gegevens van BBE-ers op straat lagen in het artikel hierboven weet ik niet. Ik weet wel dat hun functioneren bij hun acties valt of staat bij het geheim zijn van hun identiteit!)

Schrijf een reactie

E-mail adressen worden niet getoond noch aan derden doorgegeven.
Verplichte velden zijn gemarkeerd met een *