EDP-Auditor, nummer 1 2004, p.40-44. De computer de wet gesteld Interview met Bart Jacobs, hoogleraar computerbeveiliging [Gehouden in nov. 2003, BJ.] John de Koning In dit nummer van 'de EDP-Auditor' een kort interview met een persoon die in 2003 in de media opviel vanwege zijn duidelijke mening over transparantie. Met zijn inaugurale rede, uitgesproken op 16 mei 2003 heeft hoogleraar computerbeveiliging prof. dr. B.P.F. Jacobs een bijdrage geleverd aan de discussie over openheid van (software)systemen. Hij heeft openheid hoog in het vaandel staan en roept de consumenten en burgers op om assertief eisen te stellen aan de ICT-infrastructuur. Jacobs ziet ook internationaal een steeds grotere vraag ontstaan naar onafhankelijke auditing en certificering van ICT-systemen. Inleiding =========   "Security is a very broad topic, ranging from mathematics (esp. cryptography) to law" staat te lezen op de website van de Security of Systems (SoS) Group. Belangrijkste onderzoeksgebieden voor deze werk-groep, ingesteld door de Katholieke Universiteit Nijmegen zijn: Java program security, smart cards and applied cryptography. De afdeling informatica heeft als thema `kwaliteit van software'. Daarbinnen heeft hoogleraar Jacobs als onderzoeksthema `beveiliging en correctheid van programma's. Hij is tevens projectleider van de onderzoeksgroep SoS In zijn in mei 2003 uitgesproken inaugurele rede1 `De computer de wet gesteld' gaf de hoogleraar aan dat hij de indruk heeft dat juridische aspecten binnen de informatica misschien niet voldoende aandacht krijgen. Het voorstel voor de nieuwe auteurswet2 verpest de sfeer in het onderzoek naar computerbeveiliging, verklaarde hij in de Computable van 29 augustus 2003.   Jaarlijks presenteren privacy- en burgerrechtenorganisaties in verschillende landen de "Big Brother Awards".  In 2003 is de hoogleraar gevraagd om, samen met 5 deskundigen, als jurylid op te treden voor de Nederlandse "Big Brother Awards".  Minister van justitie, Piet Hein Donner heeft een award gekregen omdat hij te veel aandacht heeft voor veiligheid en te weinig voor privacy. Als voorbeeld noemde de jury het geheimhouden van aftapcijfers en de introductie van de algemene identificatieplicht.   Hier volgt een weergave van het  interview dat ik hield met Bart Jacobs. Kunt u in het kort iets vertellen over de SoS groep en wat u doceert ? De groep is voortgekomen uit, laat ik zeggen, ouderwetse programma correctheid. Laten zien dat programma's: "doen wat ze moeten doen".  De grote wetenschappelijke uitdaging voor ons is het efficiente gebruik van computers om programma's te controleren, speciaal voor de programmeertaal Java. Met ons onderzoek naar programmabeveiliging staan we qua innovatie aan de wereldtop. Vanuit dat werk zijn we steeds meer richting security opgeschoven. Mijn favortiete definitie van security is: `regulating access to assets'. In het begin was het vooral een wiskundige aangelegenheid, waarbij mooie cryptografische technieken bedacht zijn zoals RSA.  Als je nu ziet hoe die systemen in de praktijk worden gebruikt, dan gaat er nogal eens wat mis. Na analyse blijkt bijna altijd dat het met de cryptografie wel goed zit maar dat de problemen liggen op het gebied van programmatuur en/of de protocollen die worden gebruikt. In de SOS groep ligt de nadruk niet zo zeer op de cryptografie --- op dat gebied is in Eindhoven een sterke groep aanwezig --- maar op de programmatuur en protocollen.   De groep is de laatste jaren flink gegroeid, veelal extern gefinancierd, en heeft zich breder georiënteerd. Er is bijvoorbeeld nadrukkelijk belangstelling voor juridische- en maatschappelijke aspecten van computer-security. Dat is van belang omdat we steeds afhankelijker worden van de ICT-infrastructuur. Kijk je naar de cruciale ICT-infrastructuur die in Nederland bestaat, dan weten maar een paar honderd mensen hoe het werkt. Bijna al die mensen hebben een NDA (Non Disclosure Agreement) ondertekend en zijn gebonden aan geheimhouding. Wat dat betreft zitten wij in de universitaire wereld in een onafhankelijke positie en die koester ik dan ook. Wij hebben de mogelijkheid om te zeggen: `werkt het nu wel zo?'. Mensen uit het bedrijfsleven kunnen dat veel minder. In hun arbeidsvoorwaarden staan vaak allerlei beperkende regels staan over externe contacten. Het hoort bij het hoogleraarschap dat je een maatschappelijke rol hebt. Dit neem ik heel serieus. Tijdens uw inauguratie rede gaf u aan dat de werkelijk interessante zaken geheim zijn en volgens een nieuwe wet ook nog niet eens onderzocht mogen worden. Letterlijk zei u::  "kan die man niet beter direct zijn afscheidsrede houden ?".  Vanwaar deze somberheid ? Omdat het heel moeilijk is om details (specificaties) en implementaties boven tafel te krijgen. Als voorbeeld gebruik ik nog wel eens de elektronische autosleutels. Het zijn simpele systemen waar iedereen mee bekend is. Ze regelen de toegang tot je auto, maar het is niet duidelijk hoe ze werken. Om een praktijkvoorbeeld te geven: na een voordracht liep ik met een collega naar buiten en toen die op zijn elektronische autosleutel drukte gingen er twee auto's, van hetzelfde merk, open. Nu zou ik een mooi onderzoeksplan kunnen opstellen met als uiteindelijke doel de beveiliging van auto's te verbeteren. Maar je kunt je wel voorstellen dat de automobielindustrie helemaal niet ingenomen is met dergelijke onderzoeksplannen. Er zou immers kunnen blijken dat hun producten niet optimaal beveiligd zijn, waardoor hun imago schade oploopt, hun auto's misschien teruggehaald moeten worden ter vervanging van het sleutelsysteem en uiteindelijk hun omzet mogelijk daalt. Nu kan ik de leverancier opbellen en vragen hoe het elektronische autosleutelsysteem werkt, maar ik kan je vertellen wat hun reactie is'. Een collega van u, Jaap-Henk Hoepman heeft samen met 30 andere deskundigen een open brief aan de leden van de vaste kamercommissie Justitie gezonden omdat er in Nederland een wetsvoorstel bij de Tweede Kamer ligt dat mogelijk schadelijk zou kunnen zijn voor onderzoek en onderwijs. In uw rede roept u o.a. de politiek op om nog eens kritisch naar het wetsontwerp te kijken. Is hierop een reactie gekomen ?              `Vanuit de politiek is er nog geen reactie gekomen. Er zijn wel debatten geweest in de Kamercommissie. Daar zijn dit soort issues aan de orde geweest. Minister Donner heeft daar afwijzend op gereageerd.  Het is volgens de minister niet de bedoeling om wetenschappers te vervolgen, ze moeten echter wel verantwoord bezig zijn. Maar wat is verantwoord bezig zijn?   De wet maakt het in ieder geval moeilijker om als onafhankelijke partij te evalueren. De wet stelt de verkeerde dingen strafbaar. Wat naar mijn mening strafbaar zou moeten zijn is het illegaal verspreiden van auteursrechtelijk materiaal, niet het doorbreken van beveiliging. Stel ik zou hekkenspecialist zijn, ik noem maar wat, en DNB gaat een nieuw hoofdkantoor bouwen met een speciale kluis. Er komt een speciaal hek omheen en ik zou zeggen `dat hek moet je niet nemen want daar kom je zo en zo doorheen', dan zou ik volgens de nieuwe auteurswet strafbaar zijn. Dat gaat een beetje ver. U bent pleitbezorger voor "openheid en transparantie". In uw rede geeft u aan dat het onacceptabel is dat in onze rechtsstaat twijfel bestaat over de betrouwbaarheid en integriteit van een zeer veel gebruikt bewijsmiddel, namelijk het tapkamersysteem. Heeft de rechtelijke macht niet te snel vertrouwen in de gebruikte techniek ? Kennelijk wel, ja. Als rechter en Hoge Raad moet je daarin wel heel voorzichtig opereren. Ik vind dat bij gerezen twijfel over mogelijke achterdeurtjes in de gebruikte systemen een diepgaand onderzoek op zijn plaats is. Van de precieze werking is niets bekend. Eigenlijk hadden zulke gesloten, ongecertificeerde systemen voor een publieke taak nooit aangeschaft moeten worden.' Mensen hebben vertrouwen in de stemcomputers. Is dit vertrouwen gerechtvaardigd ? Binnen zekere marges moet je kunnen vertrouwen. We rijden ook over bruggen terwijl niemand echt kan uitsluiten dat die dingen instorten. Je moet duidelijk maken dat daar goed naar gekeken is. Als het over stemmachines gaat mag er wat mij betreft iets meer openheid worden betracht.   In Ierland heeft men op basis van de Wet Openbaarheid van Bestuur geporbeerd de softwarcodes van stemmachines te krijgen. Toen heeft de regering moeten toegeven dat ze zelf de softwarecodes niet eens hadden. Ik betwijfel of de Nederlandse overheid wel beschikt over de codes die de stemmachines gebruiken. Waarbij ik niet wil insinueren dat de stemmachines hier in Nederland niet goed werken maar het gaat mij vooral om het principiële punt. Bij de stemmachines is de zaak niet aangevochten, bij de afluisterapparatuur wel. En dan geeft de overheid / rechtelijke macht nog geen openheid van zaken. Hoeveel openheid is er nodig om mensen vertrouwen te geven in dit soort zaken ?   Het ministerie van Binnenlandse Zaken heeft ons benaderd om een audit ofwel evaluatie te doen op de gebruikersproef, `kiezen op afstand'. Dat is de mogelijkheid om via het internet en via de telefoon te stemmen. Dit jaar (2004) komt er waarschijnlijk een proef voor de Europese verkiezingen met dit systeem. Bij dit project zie je dat het ministerie veel opener is.'   Kunt u daar iets meer van vertellen ?   Nee, ik kan op dit moment alleen vertellen dat we het (gratis) doen. Afgesproken is dat we er niets over vertellen totdat de minister aan de kamer heeft gerapporteerd.  Openheid wil nog niet zeggen dat je vertrouwen schendt. Wij hebben erop gestaan dat wij over de proef mogen vertellen wat we willen. Dat daar een termijn over wordt afgesproken is redelijk. We zijn niet aan geheimhouding gebonden, ik heb duidelijk voor openheid gepleit. Stel dat wij een lek in het systeem zouden vinden, dan kan je dit niet direct aan de grote klok hangen. Je moet de verantwoordelijke in zo'n geval een redelijke termijn geven om dit te herstellen. Het is even wennen aan openheid en kritiek, maar als je het op een constructieve manier brengt dan heeft iedereen er wat aan.'     In 2006 moeten toch alle software binnen de overheid  voldoen aan open standaarden ? `Het grote vuur van de overheid zie ik nog niet, maar het speelt wel. Voor een groot deel is het natuurlijk ook onbekendheid met de materie. Het programma OSOS6  is meer coördinerend, heel grote initiatieven zie ik nog niet. Wel zie ik op lokaal niveau (gemeente) initiatieven om een deel van de werkplekken om te schakelen op Linux. In een bureauomgeving is daar praktisch alles mee te doen.   Mensen denken er wel over na, zo ben ik uitgenodigd om in Ede bij het Leger een voordracht te geven over dit soort dingen'. Bruce Schneier schrijft in zijn boek `secrets & lies', "a good system design is secure even if the details are public". In uw oratie verwees  u naar de van oorsprong Nederlandse cryptograaf Auguste Kerkhoff  (bl.19) die dit al in 1831 verkondigde. Is Open Source Software wel goed te beveiligen ?   Het intuïtieve snelle antwoord is `nee', maar in de praktijk blijkt dat OSS wel degelijk goed te beveiligen is.   Meer dan 50% van het mondiale e-mailverkeer bestaat uit spamm. Met wetgeving (spammwet) wordt gepoogd om hier een eind aan te maken.   Terwijl spyware legaae te gebruiken software is. Zou een wetgever hier niet wakker van moeten liggen ?   Vaak staat er wel in de licence agreement, die niemand leest, dat je ermee instemt dat gegevens van je computer verzameld worden. Als je accept aanklikt en akkoord gaat met installatie, dan ben je dus zelf die sukkel die dat doet. Het probleem is dat je niet weet wat je installeert daarom heb je keurmerken en onafhankelijke certificaten nodig. In de consumentenmarkt bestaat dat niet of nauwelijks. Gebruik open source software. Dit geeft geen garantie dat er geen kwade dingen in je software zitten, maar je mag hopen dat het sneller ontdekt wordt.   Het is goed om attent te zijn op spyware maar bij wie die taak ligt om de consument te beschermen tegen dit soort software is onduidelijk. Om nu te roepen dat moet de overheid doen gaat wat ver. Het moeilijke punt bij wetgeving is dat je goed moet kunnen omschrijven wat spyware is.   Hoe ziet u de rol van de IT Auditor ?   `Ik ben natuurlijk vooral geinteresseerd in de evaluatierol op het gebied van computer security. Wat een  IT-auditor precies doet op dat gebied en hoe ver een evaluatie gaat, is mij niet duidelijk. Ik vind dat het, in de wereld van de compyter security, heel belangrijk is om een onafhanieljke evaluatie te hebben. Wat ik iedere keer tegenkom is dat de zaak vaak gesimplificeerd wordt op het hoogste niveau naar één-bits-informatie. Is het veilig of is het niet veilig. Zo werkt het niet. Je moet eerst aangeven wat betekend `veilig' ? Wat wil je beveiligen ? Wat zijn je assets ? Je moet een risicoanalyse doen. Gewoon roepen `het is veilig' dat zegt niet zo veel'.   Heeft u nog een advies voor `bv Nederland' ?   `Om te beginnen: kijk eens serieus naar open source software (OSS). Dit is ook voor het bedrijfsleven interessant. Het is vrij te downloaden en als je een computer koopt zonder Windows dan scheelt het een paar honderd euro's. Ten opzichte van het Windows licentiesysteem ben je onafhankelijker.  Ik zou iedereen willen aanmoedigen om met OSS te experimenteren. Bied als bedrijf ruimte en mogelijkheden. Kijk of er een afdeling is die ermee wil beginnen. Misschien zijn er binnen het bedrijf wel gemotiveerde mensen zijn die ermee willen werken. Zelf gebruiken wij Linux   Ook zou er op het gebied van evaluatie, en vooral evaluatie door onafhankelijke partijen meer gedaan kunnen worden. Ik denk dat Nederland zich daarin goed zou kunnen proffileren. Wij in Nederland hebben internationaal vaak een onafhankelijke rol. We hebben hier het Internationale Strafhof en dat soort zaken. Voor het bouwen van systemen heb je een enorme infrastructuur nodig. Door het Ministerie van Economische Zaken wordt er serieus gekeken om op het gebied van computersecurity wat meer van de grond te krijgen. Binnen mijn vakgebied, toegespitst op de evaluatie van systemen is dit interessant om uit te bouwen. Iets waar Nederland een aardige rol in zou kunnen spelen, het is kennis intensief en je kunt er goed geld mee verdienen.   Voor het bouwen van systemen heb je een enorme infrastructuur nodig, waarvan je je kunt afvragen of Nederland deze altijd kan leveren respectievelijk altijd beschikbaar heeft. In de evaluatiewereld kun je als kleinere partij een belangrijkere rol spelen. Evaluatie is naar mijn mening van een hoger niveau activiteit dan bouwen. Voor het bouwen heb je kennis van zaken nodig. Terwijl je bij evaluatie bovendien ook nog moet kunnen redeneren over het systeem. Op meta niveau dus.   Bijvoorbeeld de chipkaarten. In het bouwen van deze systemen heeft Nederland geen grote rol. Maar TNO heeft een belangrijke positie in het evalueren van de chipkaarten, daarin zijn we als land een serieuze speler.       Verder doet het ministerie van Economische Zaken een serieuze poging om op het gebied van computer security wat meer van de grond te krijgen. Binnen mijn vakgebied, toegespitst op de evaluatie van systemen, is dit interessant om uit te bouwen. Het is een terrein waarop Nederland een aardige rol zou kunnen spelen: het is kennisintensief en je kunt er goed geld mee verdienen.'     Afsluiting Ter afsluiting van dit interview een citaat uit de rede die mij er toe gebracht heeft dit interview af te nemen:   "Het vakgebied van computerbeveiliging is breed en multidisciplinair: het strekt zich uit van cryptografische wiskundige technieken tot rechten.  Bovendien komt men er zeer uiteenlopende types tegen, variërend van kwajongens en wetenschappers tot burgerrechtactivisten en geheimagenten. Computerbeveiliging behoort duidelijk tot de spannendste deelgebieden van de hedendaagse informatica."