Ondermijning als verdienmodel

Beeld: Pakhuis de Zwijger, PdZ x NRCZijn telefoon bleef maar overgaan, vertelde dataspecialist Jesse Luk, nadat NRC Handelsblad een lang artikel publiceerde over zijn software om bijstandsfraude op te sporen. Drie Nederlandse gemeenten testen inmiddels of ze met het pakket van Totta Datalab de pakkans van fraudeurs kunnen vergroten.

Totta heeft zelflerende software ontwikkeld, die gevoed is met de gegevens van duizenden geregistreerde bijstandsfraudeurs. Hun datapatronen zijn in kaart gebracht, en daaruit is een algoritme gedestilleerd. Nu kan Totta’s model op basis van het verleden de huidige fraudeurs herkennen. Daarnaast kijkt de data-analyse naar uitschieters, via een zogeheten anomaliedetector: daarmee identificeren ze mensen die flink van het gemiddelde afwijken. Totta’s aanname is dat ook zij fraudeurs zijn.

Nadat Totta’s data-analyse mogelijke fraudeurs heeft aangewezen, zoeken controleurs uit of de verdenking terecht is. Dat moet ook wel: bij zulke beslissingen is de menselijke toets verplicht. Een computer mag niet zelfstandig beslissen dat iemands uitkering moet worden gestopt, noch vaststellen dat iemand een misdrijf heeft begaan.

Hoe accuraat is Totta’s analyse? Luk is opgetogen: van de honderd mogelijke fraudeurs die zijn model aanwijst, stellen controleurs nadien bij de helft metterdaad fraude vast. Maar daarbij zitten ook gevallen die de gemeenten al ontdekt hadden. De toegevoegde waarde schat Luk op 25 tot 30 procent.

Maar dat betekent ook – en dat is vrij ernstig – dat Totta in de helft van de gevallen mensen als mogelijke fraudeurs aanwijst, terwijl er na uitgebreid onderzoek niets van die beschuldiging kan worden hardgemaakt. Daarover haalt Totta de schouders op: bij de helft waarbij nader onderzoek géén fraude aantoonde, konden toch nog best fraudeurs zitten, stelt Luk. Mogelijk was het menselijke onderzoek simpelweg minder effectief dan zijn algoritmes…?

Op een bijeenkomst met Totta afgelopen week in Pakhuis de Zwijger vroeg ik door. Is het niet vreemd dat zelfs nadat menselijk onderzoek – waarbij bovendien veel meer datasets in stelling kunnen worden gebracht dan Totta mag gebruiken – Totta eerder twijfelt aan de capaciteiten en middelen van de controleurs, dan aan zijn eigen algoritmes? Is het niet een schending van burgerrechten dat mensen nu worden aangemerkt als verdachten, op basis van gegevens over andermans gedrag in het verleden? En is het geen ondermijning van rechtsstatelijke principes, wanneer een invasief onderzoek – want invasief is het per definitie, wat die controleurs doen – nu niet langer worden getriggerd door daadwerkelijke, concrete aanwijzingen, maar op grond van een theoretisch vermoeden?

Daar had Luk niet echt antwoord op. Mooi toch dat we fraude zo beter kunnen opsporen? En hun datamodel was zelflerend, dan haal je die systeemfoutjes er toch uiteindelijk vanzelf uit? Maar een fijn verdienmodel is het wel, die ondermijning van de rechtsstaat.

Ondermijning

zwemmen of verzuipenNiemand hoeft medelijden met Facebook te hebben: het bedrijf wist precies wat er gaande was – erger: het had zijng software erop ingericht – maar deed tegenover de buitenwereld of zijn neus bloedde. In 2015 bleek al dat via apps die derden op Facebook konden laten circuleren, niet alleen gegevens van de gebruikers van die apps konden worden geoogst, maar ook die van al hun contacten.

Facebook waarschuwde gedupeerden niet, noch stelde het toezichthouders op de hoogte van dit datalek – nee, Facebook ontkende. Het veranderde stilletjes iets aan zijn software, en dat was dat.

Dat maakte Zuckerbergs excuses van afgelopen week uiterst goedkoop: ‘vertrouwen beschaamd… fouten gemaakt … ervan geleerd … nooit meer doen’, zo’n soort riedel.

Inmiddels had Cambridge Analytica al een paar jaar vrijelijk kunnen stunten met de hoogst gevoelige gegevens die ze aan 50 miljoen Amerikanen hadden ontfutseld, en had het die benut voor gerichte online campagnes ten bate van presidentskandidaat Donald Trump.

Vorig jaar moest Facebook ook al bakzeil halen. Het was onbestaanbaar dat hun netwerk was gebruikt voor de massale verspreiding van nepnieuws, betoogde het bedrijf nog in september: het ging hooguit om 3000 valse berichten. In november 2017 gaf het toe dat er inderdaad op grote schaal neppagina’s en nepberichten op Facebook waren rondgepompt, meestal door Russische bronnen. In totaal zijn die berichten door circa 126 miljoen Amerikanen gezien, moest het bedrijf bekennen. En weer waren de excuses goedkoop: ze zouden een tooltje bouwen dat mensen zou waarschuwen – anderhalf jaar na dato – als zij nepnieuws hadden geliked. (Dat tooltje is er overigens nooit gekomen.)

Overheden zijn traag, internationale beteugeling is lastig, toezichthouders secuur en hun werk tijdrovend. Als wetten en sancties uitblijven, is het enige dat nog helpt: stemmen met de voeten.

Nu helpt het niet bijster veel als individuele gebruikers hun account wissen, maar het is een teken aan de wand dat #DeleteFacebook de afgelopen week zo’n opgang maakte. Ook zijn veel gebruikers eindelijk eens gaan opvragen welke gegevens Facebook allemaal van ze heeft opgeslagen, en dus: verkocht (kijk onder ‘Settings’, ga naar ‘General’, kies ‘Download a copy of your Facebook data’, lees en huiver.)

Maar interessanter is dat andere bedrijven er nu de buik van vol krijgen. Unilever dreigde in februari te stoppen met advertenties op Facebook en YouTube als die bedrijven niet snel iets tegen nepnieuws zouden ondernemen. Multimiljardair Elon Musk verwijderde woedend zijn bedrijfspagina’s voor zowel SpaceX als Tesla van Facebook, elk met een paar miljoen fans; en investeerders verkochten zoveel aandelen in het bedrijf dat de koers van Facebook met vijf miljard dollar kelderde.

Boycot, divest and sanctions: wellicht werkt die strategie. Maar inmiddels heeft Facebook het vertrouwen in de democratie een ongekende klap toegebracht.

 
Foto: Flickr, mkhmarketing

Kies met wijsheid

unitedNa de doodse stilte van GroenLinks de afgelopen week over het voor de zoveelste keer geschonden demonstratierecht of de nauwgezette achtervolging door extreemrechts van Zwarte Piet-protesteerders, krijg ik redelijk mijn bekomst van de partij die zolang de mijne was.

Waar Klaver dezer dagen wel druk mee was: hengelen naar het ‘gewone’ volk. ‘Als het alleen maar gaat over identiteit, migratie en andere sociaal-culturele thema’s, wint rechts. Wij willen vanaf nu de nadruk leggen op geld, werk en de macht van het bedrijfsleven,’ zei hij, en kondigde een ‘kantinetoernee langs fabrieken, voetbalclubs en schaftketens’ aan. O hemel, GroenLinks gaat de strijd met de SP aan, compleet met nauw verholen mannelijkheidsideologie. (De werksters in de thuiszorg en de schoonmaak beschikken zelden over kantines.)

Kies je opponenten met wijsheid, Klaver.

Ik vrees dat wanneer GroenLinks het níet over migratie heeft, dat terrein helemaal in handen valt van rechts en extreemrechts: dat zou een doodenge ontwikkeling zijn. Los daarvan: waarom is ‘identiteit’ ineens zo in het verdomhoekje gekomen bij GroenLinks?

Van een term als diversiteit word ik persoonlijk ook niet vrolijk. Die is me te cosmetisch: hup, een vrouw erbij, en iemand met wat meer kleur, en klaar ben je, zelfs al heb je verder nog geen sikkepit in je beleid veranderd. Ook ‘identiteitspolitiek’ vind ik een gemankeerde term. Het zijn immers niet de vrouwen, de migranten, de homoseksuele, de transseksuele of zwarte mensen die zichzelf uit eigen beweging zo benoemden: zij, wij, zijn door anderen in die hokjes geduwd. En we krijgen straf als we daaruit willen breken.

En laten we wel zijn: de mensen die zeuren dat identiteitspolitiek zo hinderlijk is, zijn meestal juist diegenen die zelf grote groepen mensen met gemak als ‘anders’ hebben gelabeld – niet de mensen die graag uit die hokjes willen stappen. Temeer daar zulk hokjesdenken altijd elkaar uitsluitende paren gebruikt: wit/zwart, man/vrouw, hetero/homo; hokjes waarbij de een boven de ander staat, en stilletjes de norm is – en dus nooit om verantwoording of uitleg wordt gevraagd.

Identiteitspolitiek en hokjesdenken gaan om niets anders dan mensenrechten, daar moet je als GroenLinks nooit badinerend over doen. Maar Klaver wil liever op kantinetoernee.

Er zijn andere partijen die me trekken, maar de vrees dat ze de kiesdrempel niet halen, weerhoudt me steeds. Mijn ideale partij zou een fusie zijn tussen Artikel1/Bij1 en de PiratenPartij. De een is geweldig in het nadenken over inclusie, over mensenrechten en identiteit, en weet hoe je coalities bouwt tussen uiteenlopende groepen mensen. De ander excelleert in nadenken over publiek versus privaat, over openbare ruimte, privacy, surveillance en technologie.

Zou zo’n partij deelnemen aan de Amsterdamse gemeenteraadsverkiezingen, dan won die subiet mijn hart – en mijn stem.

Tweespalt onder de bewakers

drm slotGisteren kwam het tot een publieke breuk tussen twee groepen die elk het web wensen te redden. Aan de ene kant staat het World Wide Web Consortium (W3C), dat de standaarden voor het web definieert – en dus de regels voor browsers en hun achterliggende protocollen. W3C werd in 1994 opgericht door Tim Berners-Lee, de uitvinder van het web en van html; hij is nog altijd de directeur ervan.

Aan de andere kant staat de Electronic Frontier Foundation (EFF), zeg maar de Amerikaanse grote zus van Bits of Freedom, die in dit conflict tal van internationale associaties van bibliotheken, veiligheidsexperts, advocaten, professoren en burgerrechtenverdedigers achter zich weet. Plus – het moet worden gezegd – ook een flink deel van de werknemers van het W3C zelf.

Wat je noemt een majeure clash. Wat is er zo omstreden aan de nieuwe standaarden van het W3C?

Om video’s en andere visualisaties in browsers te laten zien, zijn nu vaak externe plug-ins nodig. Die zijn niet altijd veilig: denk aan alle zwakheden waarmee Adobes Flash haar gebruikers in de afgelopen jaren heeft opgezadeld. Zodoende dacht het W3C: laten we regels opstellen waarmee browsers zulke dingen voortaan zelfstandig kunnen afhandelen. ‘Wacht even’, zeiden de grote content distributors toen – denk Netflix, Amazon, tv- en filmmaatschappijen – ‘wij bieden hoofdzakelijk beschermd materiaal aan op het web, en dan moet je onze bescherming dus óók inbouwen in die nieuwe browserprotocollen van jullie’.

En dat deed W3C, onder groot protest van iedereen die heeft gezien welke ellende zowat ieder recent systeem voor digital rights management (drm) heeft aangericht. Zo is het verbreken van drm, ook voor onderzoeksdoeleinden, in allerlei landen inmiddels tot strafbaar feit verheven. Dat maakt onderzoek naar zwakheden en lekken tot een riskante onderneming, zelfs op universiteiten.

W3C weigerde een clausule in haar nieuwe standaarden op te nemen die zulke onderzoekers zou vrijwaren. Ook voor legaal hergebruik van auteursrechtelijk beschermd materiaal wilden ze geen provisies opnemen; citaten, satire, educatie, studie: het valt allemaal buiten de nieuwe standaarden.

En waar W3C gewoonlijk op basis van consensus tot nieuwe standaarden komt, lieten ze het nu plots op een stemming aankomen. De voorstanders haalden minder dan zestig procent van de stemmen, maar dat volstond. De nieuwe standaarden van het W3C werden deze week een feit.

Gisteren stapte de EFF officieel uit het W3C, en publiceerde een open brief waarin ze haar overwegingen uiteenzette. ‘Er is amper een onafhankelijke techneut te vinden die denkt dat drm werkt. Toch heeft het W3C besloten om de zakelijke belangen van bedrijven die niets met webontwikkeling van doen hebben, te laten prevaleren. [..] Het W3C geeft nu vrij baan aan bedrijven die hun privileges eerder hebben misbruikt.’

Als ik u was, zou ik mijn browser de komende jaren niet updaten.

Dat ontbrak er nog maar aan

Re-enacted PutinAl een paar jaar hebben we te maken met nepnieuws. Onderdeel daarvan zijn foto’s die creatief worden hergebruikt. Oude beelden van Spaanse tasjesdieven actief in eigen land worden opnieuw gepost als zijnde moslims die recent in een Noord-Europese stad een vrouw beroven, om het verhaal te bewijzen dat ‘we’ sinds de komst van vluchtelingen in de afgelopen twee jaar worden ‘overstroomd’ door buitenlandse criminelen – dat werk. [Zie voor een recent voorbeeld van zulk nepnieuws deze diskwalificatie van een tweet van Flip Dewinter, de voorman van Vlaams Belang.]

Het kan nog een stuk erger. Een Duits-Amerikaanse onderzoeksgroep is al geruime tijd bezig met software die YouTube video’s in real-time kan aanpassen. Ze gebruiken daarbij een tussenpersoon die zittend voor een webcam allerlei grimassen trekt, die vervolgens direct worden verwerkt in een gezicht uit een bestaande video. Zo kun je met Face2Face in een paar minuten tijd een ingrijpend veranderde versie van een bestaand filmpje opnemen.

De groep gaf vorig jaar een video vrij waarop een dikkige man met een driedagenbaardje al bekkentrekkend met een eerder opgenomen GW Bush wordt gemixed, zodat president Bush ineens overtuigend allerlei tics vertoont terwijl hij zijn betoog afsteekt; daarna laat een andere jongeman president Poetin met verve lachen en schmieren.

Een tweede onderzoeksgroep presenteerde deze week een techniek om bestaande mensen nieuwe teksten in de mond te leggen. Een vertrouwd gezicht wordt softwarematig tot in zijn vezels ontleed – hoe zitten die mond en lippen in elkaar, hoe bewegen de ogen en wangen tijdens het spreken? Dat videomodel kan dan na enige training en met wat fine-tunen kersverse teksten uitspreken, als waren ze authentiek.

Ze toonden een paar proefjes met Obama: hij stak vrij overtuigend een nooit gehouden toespraak af, hij sprak grijs en wel een tekst uit die oorspronkelijk in zijn studentenjaren was opgenomen, en het meest onrustbarend was wel dit: de Obama Bot diste verzonnen zinnen op die door een Obama-imitator waren ingesproken.

Overtuigende, maar totaal valse videobeelden: dat was nu net wat nog ontbrak in onze toch al zo riante verzameling nepnieuws. De techniek is nog maar pril, maar met pech zijn binnen een paar jaar zelfs videobeelden van interviews en speeches niet langer meer te vertrouwen.

De onderzoekers achter de Obama Bot zeiden hoopvol dat, wanneer je zo’n techniek eenmaal onder de knie hebt, het daarna ook een stuk makkelijker is om instrumenten te ontwikkelen waarmee je het daadwerkelijke gebruik ervan kunt opsporen. Dat moge zo zijn, maar haast geen enkele nieuwsconsument doet dat. Zodra een ogenschijnlijk onrustbarende foto op Twitter of Facebook verschijnt, wordt die overhaast doorgegeven en onder grote verontwaardiging verder verspreid; zelden controleren mensen of de foto en de erbij vermelde context daadwerkelijk authentiek zijn.

We willen te graag dat wat we vrezen metterdaad waar is. En we krijgen steeds meer middelen in handen om de werkelijkheid naar onze angsten om te vormen.

Overheid maakt internet kwetsbaar

137‘Hadden ze hun systemen maar moeten updaten.’ Die uitspraak heb ik de afgelopen dagen vaak gehoord naar aanleiding van de WannaCry worm – helaas ook uit de mond van computerexperts. Was het maar zo simpel. U en ik kunnen onze computers inderdaad makkelijk updaten, maar in complexe omgevingen is dat een helse klus.

Neem de Britse ziekenhuizen die al vroeg door WannaCry werden getroffen. Veel apparaten die scans maken – van echo’s tot CT of MRI – draaien onder Windows XP. Dat valt die ziekenhuizen niet kwalijk te nemen, wél de fabrikanten ervan; maar die denken amper aan bescherming tegen virussen of hackers. Wanneer je zulke oude computers in je ziekenhuisnetwerk hebt, kun je de updates van andere computers niet klakkeloos installeren: voor je het weet kan je imaging software niet meer met de rest van de ziekenhuissystemen praten. Elke update of patch vergt derhalve een plan, uitgebreid vooronderzoek, en gedegen testen.

Bovendien heb je daarvoor budget nodig: tijd is geld, ook in de gezondheidszorg. En net als in Nederland zit de gezondheidszorg in Engeland buitengewoon krap in beide. Het geld dat hen voor ICT is toebedeeld, wordt bovendien verslonden door het vermaledijde elektronisch patiëntendossier. Dus verwijt die ziekenhuizen die ineens al hun patiëntgegevens gegijzeld zagen alsjeblieft niets: heus, dat komt neer op blaming the victims.

Wie wel schuld draagt? Allereerst natuurlijk de bende die deze worm op internet heeft losgelaten. Hoe haal je het in je hoofd om massaal een virus te verspreiden dat ziekenhuizen, energiebedrijven en nucleaire onderzeeërs treft (ja, ook die draaien vaak nog op Windows XP)?

Maar de meeste blaam treft de NSA, de Amerikaanse veiligheidsdienst. De WannaCry worm maakt vrijwel zeker gebruik van een uitgelekt beveiligingsgat dat eigenhandig door de NSA is ontwikkeld. Recent dumpten de Shadow Brokers een grote hoeveelheid zogeheten zero day exploits, oftewel gaten in software die nog niet bij de fabrikant bekend waren. De NSA benut zulke lekken en denkt dat ze, door die voor zich te houden, het alleengebruik erover heeft. Na de datadump hebben tal van softwarehuizen, waaronder MicroSoft, allerijl patches uitgebracht.

Maar dat mocht in dit geval niet baten: onder meer omdat Windows XP al een paar jaar geleden ‘obsolete’ is verklaard en dus niet meer wordt onderhouden. (Het siert MicroSoft zeer dat ze afgelopen weekend subiet een patch voor XP, Windows 8 en Windows Server 2003 uitbrachten waarmee je het NSA-lek alsnog kunt dichten.)

Wat de WannaCry-uitbraak vooral duidelijk maakt: veiligheid is geen veiligheid wanneer risico’s geheim worden gehouden, noch wanneer de bescherming ertegen alleen in handen is van overheidsorganisaties die menen diezelfde lekken te eigen bate te mogen aanwenden, en ze om die reden niet openbaar maken – of zelfs, zoals nu het geval was, verder uit wil ontwikkelen.

Het echte nieuws over WannaCry is dat MicroSoft een zeer strenge waarschuwing uitdeelde aan overheidsdiensten die denken dat ze lekken voor zichzelf kunnen houden. ‘Overheden overal ter wereld moeten dergelijke kwetsbaarheden niet langer verzamelen, maar ze delen met fabrikanten en gebruikers. Doen ze dat niet, dan worden burgers daar het slachtoffer van.’

Overigens: ook de Nederlandse veiligheidsdiensten verzamelen graag zulke gaten, en houden die voor ons geheim. Ons parlement vond dat een goed idee. Nu weten we exact waarom dat ronduit stupide is.

De wondere wereld van Philips

Philips heeft zich toegelegd op persoonlijke verzorging, en wil liefst een heel netwerk van apparaten produceren die samen de medische conditie van consumenten in de gaten houdt. “Wij maken producten die twee, drie keer per dag letterlijk in aanraking komen met mensen. Apparaten voor in je mond, op je huid of apparaten waarmee je je voedsel bereidt of je huis schoonhoudt,” legde vicepresident Liat Ben-Zur afgelopen weekend in deze krant uit.

Ben-Zur roemde hun bluetoothtandenborstel. Via de bijbehorende app kun je je eigen ‘poetsprestaties’ in kaart brengen, maar binnenkort moet de tandenborstel ook het aantal bacteriën in je mond kunnen meten. “Daar kunnen tandartsen en mondhygiënisten mee aan de slag.”

Bloeddruk- en hartslagmeters, glucose en insulinecheckers, slimme weegschalen en thermometers. Babyflesjes die de temperatuur, de gedronken hoeveelheid en het tempo waarin de melk wordt gesabbeld in de gaten houdt, maar die via een netwerkverbinding ook de wifilampen een paar watt dimt wanneer de baby drinkt.

Er zitten echter wel wat haken en ogen aan Philips’ wondere wereld. Zo zijn dergelijke apparaten over het algemeen allerbelabberdst tegen inbraak beveiligd. Slimme thermostaten zijn al veelvuldig door hackers gegijzeld: pas wanneer je hen afkoopt, geven ze je de macht over de temperatuur in je eigen huis terug. Tot die tijd zit je thuis in de kou of in de hitte. Pacemakers en insulinepompen blijken eenvoudig op afstand bestuurbaar te zijn, en kunnen door onwelwillenden worden geïnstrueerd een dodelijke dosis af te geven.

Philips bewaart al deze semi-medische gegevens in een eigen cloud, waarvan ze de veiligheid uiteraard roemen. Maar wat er precies in die cloud gebeurt – welke gegevens bewaart Philips, hoe lang houden ze die vast, met wie delen ze die, krijg je zelf als ‘originator’ van de gegevens de volledige beschikking erover, kun je je je eigen gegevens ook wissen, kun je zelf bepalen met wie ze wanneer worden gedeeld, en onder welke omstandigheden? – is hoogst ondoorzichtig.

Kun je je eigen historische poets- of bloeddata exporteren wanneer je wilt overstappen op een ander merk tandenborstel of glucosemeter? Waarom werkt Philips op deze markt zo nauw samen met zorgverzekeraars? Delen ze daar informatie mee? Vallen deze proto-medische data onder het vrij strikte regime van het medisch beroepsgeheim, of worden ze – omdat Philips nu eenmaal geen medische instantie is – beschouwd als ‘persoonlijke gegevens’, die van oudsher minder bescherming genieten? Met welke medici en semi-medici wordt deze informatie gedeeld?

Dat Philips vorig jaar openlijk pleitte voor een wet die burgers hun medische dossier makkelijker per categorie met allerlei zorgverleners laat delen, is in dat kader weinig vertrouwenwekkend. ‘Privacy staat goede zorg in de weg,” meende Philips. Voorlopig vertrouw ik mijn tandarts toch net wat meer dan hun tandenborstel.

Ironie

De Russische hack van de mails van de Amerikaanse Democratische Partij is deels via Nederlandse servers uitgevoerd. Het was ronduit smullen geblazen voor de pers toen duidelijk werd dat een van de betrokken servers eigendom is van een medewerker van de digitale-burgerrechtenorganisatie Bits of Freedom.

Rejo Zenger – want om hem ging het – houdt, zoals veel privacyvoorvechters, een Torserver in de lucht. Tor is een gedegen protocol, oorspronkelijk ontwikkeld door Amerikaanse inlichtingendiensten (aan ironie geen gebrek in dit verhaal) om de herkomst van internetverkeer nauwgezet te verwijderen, terwijl de bestemming en de boodschap zelf intact blijven. Een Torserver houdt bij waar een bericht naartoe moet, verwijdert de vorige afzender en stuurt het pakket kersvers verpakt naar de volgende Torserver, die precies hetzelfde doet. Steeds een schil van de ui eraf en een nieuwe schil eromheen. Op die manier is de verzender van een bericht na afloop niet meer te traceren, terwijl de integriteit van het bericht gegarandeerd is.

Tor wordt wereldwijd gebruikt door dissidenten, klokkenluiders, journalisten en NGO’s in kritische gebieden en door gewone burgers die in dictatoriale landen wonen. Veel onrustbarend nieuws zou zonder Tor nooit zijn weg naar de rest van de wereld hebben kunnen vinden: Tor heeft talloze mensen vervolging bespaard.

Uiteraard wordt Tor ook voor minder verheven doelen gebruikt: ook leveranciers van kinderporno en de drug- en wapenhandel maken er gebruik van. Er zijn manieren bedacht om dergelijk abject verkeer binnen het netwerk te minimaliseren, maar uitsluiten dat je eigen server voor onfrisse zaken wordt gebruikt is simpelweg onmogelijk. En zo werden de principes van een voorvechter van privacy misbruikt om een vuige hack uit te voeren.

Haha, dat krijg je er nu van: wie privacy voorstaat, faciliteert akelig misbruik en foute mensen. Moet je maar niet zo naïef zijn! Weg met privacy, dan zijn we allemaal een stuk veiliger! Dat was de teneur van de berichtgeving.

Maar dat komt neer op zeggen dat we de snelwegen of het openbaar vervoer moeten afschaffen omdat criminelen die soms gebruiken om aan de politie te ontkomen. Het legitieme gebruik en het publieke belang van die infrastructuur is immens, en moet je nu heus een complete faciliteit opheffen omdat iemand er misbruik van heeft gemaakt?

Zenger zelf gaf het enige redelijke antwoord: ‘Veel belangrijker dan het Tor-netwerk is: hoe zorg je ervoor dat digitale infrastructuur veilig is? Dit soort aanvallen door grote spelers als Rusland, Iran, China en de VS is niet te voorkomen, maar het internet is wel beter te beveiligen. Daar ligt een taak voor de overheid.’

Laat nu diezelfde overheid eind vorig jaar hebben besloten dat ze zero-day exploits – nieuw gevonden beveiligingslekken – niet bekend zal maken, omdat ze die zelf wil gebruiken.

Dat is de ware ironie van dit verhaal.

Waar geen rook is

Veel kranten brachten de afgelopen week grote artikelen over een nieuw apparaatje dat Philip Morris binnenkort introduceert: een sigaret die niet brandt. Het apparaat is op proef uitgezet in Japan, Zwitserland en Italië; de tabaksgigant maakt zich nu op voor een wereldwijde introductie. ‘Ik denk dat er een tijd komt dat deze alternatieve producten zo zijn ingeburgerd dat we samen met overheden kunnen werken aan een uitfasering van sigaretten,’ zei de topman van Philip Morris vroom tegen de BBC.

De IQOS – zo heet het ding, een acroniem voor ‘I quit original smoking’ – verbrandt tabak niet, maar verwarmt die. Daardoor reken je af met de grootste schade van het roken: je inhaleert niet langer verbrand materiaal. Zowel verkopers als consummenten zijn goed te spreken over het ding. In een jaar tijd heeft de IQOS 2,5% van de markt in Tokyo veroverd, en 70% van de gebruikers is erdoor van het roken afgestapt.

Maar toch speelt Philip Morris heilig boontje. Zij zijn degenen geweest die het roken decennia hebben gepusht, die rapporten over de kwalijke effecten ervan in de doofpot wilden stoppen. Momenteel zitten ze, net zoals de andere tabaksfabrikanten, klem tussen enerzijds de overheid en anderzijds hun voormalige klanten. Want die laatste groep roert zich steeds meer: soms met rechtszaken waarin ex-rokers schadeclaims indienen, zoals nu ook in Nederland gebeurt, en soms door een veel ‘gezonder’ alternatief voor het roken te kiezen: de e-sigaret.

De e-sigaret is in Nederland nog amper aangeslagen, deels omdat er hoofdzakelijk negatief over wordt geschreven: flutonderzoeken waarin de vermeende schadelijkheid van dampen wordt opgeklopt krijgen absurd veel aandacht, positief nieuws haalt de krant zelden. Maar de IQOS krijgt in de pers prompt het voordeel van de twijfel.

De e-sigaret lijkt een beter alternatief dan de IQOS. Goedkoper, minder schadelijk (de IQOS wordt geschat op 80% minder ongezond dan de sigaret; dampen op 95%), en wendbaarder: er zijn duizenden smaakjes en tientallen uitvoeringen op de markt.

Philip Morris stuurt echter aan – best begrijpelijk hoor, voor een multinational: ze willen natuurlijk wél tot in lengte der dagen winst blijven maken – op een duur systeem waarvan je alle onderdelen bij hen moet kopen en steeds moet vervangen, en dat je als gebruiker zelf niet kunt bijvullen of onderhouden.

Toch hoop ik dat de IQOS een daverend succes wordt. Het moet gezegd: het lijkt een simpel, degelijk systeem te zijn, en anders dan bij dampen is er nauwelijks een drempel: je kunt de IQOS straks gewoon bij de tabaksbalie kopen.

Minder roken is voor iedereen gezond, dat is buiten kijf, en alles wat daartoe bijdraagt verdient onze steun.
Maar het blijft raar dat het gezondere alternatief voor de IQOS, de e-sigaret, door de pers nog steeds de grond wordt ingeboord. Want anders dan IQOS-gebruikers zijn dampers écht van de tabak af.

Staaltje vakmanschap

De noodbrug stond vol toeschouwers. Nu verzamelen zich er vaak kijkers wanneer er ergens in de publieke ruimte mannen met groot materieel aan de slag zijn, maar dit was ronduit spectaculair: met twee kranen zou een brug worden teruggeplaatst. De Franekereindsbrug, gebouwd in 1914, was in mei van dit jaar weggetakeld en elders volledig gerestaureerd. Nu lag de oude dame gestrekt op een boot, kreeg ze twee grote banden omgegord, en ging ze de lucht in om daarna voorzichtig op het draaimechaniek langs de kademuur te worden gezet.

De wapens aan weerszijden waren opnieuw geverfd, al het staal en gietijzer was secuur gerestaureerd, de lijsten en geklonken hekken waren bijgewerkt. De brug stond strak in de verf. Ze kan weer vijftig jaar mee.

Een paar jaar geleden wist ik niet dat je staal en gietijzer kon restaureren. De vrouw die anders bewees, was Lilian Fopma, dochter van een Harlingse smid. Ze heeft een aantal Amsterdamse monumenten onderhanden genomen – een oud wachthuisje van het GVB, een klassiek urinoir (de welbekende ‘krul’), de stalen kozijnen van de eerste openluchtschool in Amsterdam, en nog zo het een en ander. Het wachthuisje heb ik van een hoop verroest schroot weer opgebouwd zien worden tot een robuuste schuilplaats, bestand tegen weer en tijd.

Nu was Lilian de projectleider van de restauratie van deze brug. Na de Franekereindsbrug volgen er nog twee, die de draaibrug als zusjes flankeren. Maar dat zijn ophaalbruggen, een stuk eenvoudiger qua achterliggend mechaniek dan een draaibrug.

De draaibrug steunt op een getande stalen cirkel van zo’n twee meter doorsnee, met in het midden een massieve pijler. De bovenkant daarvan is slechts acht centimeter in doorsnee en licht hol – en daar rust die héle brug op, als-ie open staat. En zo zou hij terug worden geplaatst: de brug moest op de millimeter precies op die pijler worden gezet, de tandwielen eronder moesten exact om de getande ring vallen.

Samen met de opzichter kroop Lilian in het draaiwerk. De tonnen wegende brug hing inmiddels pal boven ze, werd minutieus in de juiste positie gemanoeuvreerd, en zakte toen langzaam over ze heen. Het ene moment zag je nog een flard van hun oranje en gele werkjassen, het andere moment verdwenen ze uit zicht en zaten ze opgesloten binnenin de brug.

Het duurde en duurde maar. Verwachtingsvol keek iedereen naar het luik in het wegdek van de brug: daaronder zat het draaimechaniek, daarin stak je de lier waarmee je de brug, als-ie later weer in bedrijf was, met de hand en heel veel kracht kon opendraaien. Dat luik, dáár moest Lilian zometeen weer uit komen.

Om de spanning te breken stelde ik me voor hoe zij en de opzichter met veren hoofdtuien en glitterpakjes uit het luik zouden springen. Godlof, daar piepte haar veiligheidshelm boven het brugdek uit!

Een uur later meldde Lilian opgetogen dat het draaimechaniek werkte. Ze had het zelf al geprobeerd.