Zo wordt je data gehackt en gelekt

Het woord ‘selfie’ is het populairste woord van 2013 volgens het Nederlandse publiek. Maar online woordenboek Dictionary.com komt met een heel ander woord van het jaar:  privacy. Geen toeval dat die twee samen in de spotlights staan, stelt Sprout-expert Arthur van der Wees.

 
De populariteit van de selfie toont aan hoe gangbaar en aantrekkelijk de combinatie van persoonlijke data, cloud, mobiel, lokaal en sociale media inmiddels is. Het zelf delen van data is leuk! Maar het feit dat privacy een populair zoekwoord is, geeft ook aan, dat het delen van data tegelijkertijd als een groot risico wordt gezien. Bedrijven en mensen maken zich zorgen maken over het delen van data door anderen. Bijna dagelijks lezen we immers over data die gehackt, getrackt of gelekt zijn. Los daarvan komt iedere Nederlander gemiddeld in 1.500 online en offline databestanden voor.

Data zijn valuta

We zitten al 20 jaar in de informatiemaatschappij, en data zijn niet alleen de nieuwe valuta maar ook een essentieel smeermiddel van de economie, als opvolger voor olie, gas, water, metalen en andere grondstoffen. Je data worden omgezet in geld, en zijn alleen om die reden dus goud waard.  Nu steeds meer data online wordt verstrekt en gegenereerd, is het hoog tijd serieuze aandacht te besteden aan het woord ‘data’.

Sleutelwoorden

Als het gaat om die data delen, weggeven en opslaan, kan niemand zich in 2014 nog langer op zijn onwetendheid beroepen. Het basisbesef zou moeten zijn dat je eigen data van grote waarde is. Weeg daarom drie sleutelwoorden zorgvuldig af bij de omgang met het nieuwe goud:
 

  •   Keuze: welke gegevens je wanneer deelt of weggeeft;
  •   Controle: wie wat kan gebruiken, en;
  •   Transparantie: wat ermee wordt gedaan.

 

Deze vijf punten geven wat meer handvatten voor hoe je met je data moet omspringen:

1. Commercieel getrackt

Google, Facebook en Twitter; bijna alle succesvolle technologiebedrijven verdienen miljarden met je data. Gewoon omdat je daarvoor, bewust of onbewust, een keuze hebt gemaakt en ‘opt-in’ toestemming hebt gegeven, zodat zij die data kunnen combineren en inzetten voor profilering, advertenties en doorverkoop. Als daar een gratis dienst of functionaliteit tegenover staat, lijkt dat redelijk. Maar worden je data niet voor meer gebruikt dan je wilt of had verwacht? In de VS is men op dit moment bijvoorbeeld bezig met een grootschalig onderzoek naar de handel in data van mindervermogenden, waarmee bedrijven consumentengedrag proberen te voorspellen zonder dat daarvoor toestemming is verleend.

2. Gehackt of gelekt door technische fouten

Of bedrijven of overheden je data nu wel of niet voor een gerechtvaardigd doel gebruiken, een foutje waardoor data worden gelekt zit een klein hoekje. Soms gebeurt het doordat software-updates/releases fouten bevatten of niet goed worden doorgevoerd (zoals dat het afgelopen jaar bij onder meer Facebook, LinkedIn en Google gebeurde). En soms doordat IT-infrastructuur en haar IT-personeel onvoldoende oog hebben voor het scheiden van vitale data. Zo werden onlangs een halve maand lang, in de drukke decemberperiode, 40 miljoen creditcardgegevens samen met de veiligheidscodes gestolen bij de Amerikaanse grootgrutter Target. De meeste bedrijven en instellingen weten niet of en door wie er is ingelogd in hun systemen, laat staan of ze op dit moment gehackt worden.

3. Gehackt of gelekt van binnenuit

De ‘inside job’ binnen een bedrijf of organisatie gebeurt vaker dan je denkt. Niet alleen vorig jaar bij Google, maar dus zelfs ook bij de NSA. Mollen komen overal voor.

4. Gehackt van buitenaf

Door de overheid
De wereldberoemde mol Edward Snowden liet zien wat we allemaal al wisten: overheden, zolang ze voldoende budget hebben, kijken stiekem mee. Geautoriseerd met wettelijke grondslag of na rechterlijke toetsing danwel ongeautoriseerd. De Politiewet in Nederland geeft bijvoorbeeld verregaande bevoegdheden om data te verzamelen en op te slaan. Zolang ‘men’ het voor een onderzoek ‘relevant genoeg’ vindt, is dat wettelijk, zonder rechtelijke toetsing, toegestaan. Ja, Nederland en andere landen in Europa hebben minstens evenveel en soms zelfs meer bevoegdheden tot datatoegang dan andere landen. En de meeste hebben onderling zogenaamde Mutual Legal Assistance Agreements (‘MLAT’) waarmee het internationaal uitwisselen van data gemakkelijk wordt gemaakt.

Door hackers
Maar vergeet ook de hobbyist of professionele hacker buiten de overheid niet; sommige weten met ‘data hostage’ behoorlijk wat chaos te creëren danwel een onbehoorlijke boterham te verdienen. Een goed voorbeeld hiervan is wifi-hacking. Gratis wifi is geweldig, als je zeker weet wie die wifi aanbiedt en dat die partij te vertrouwen is. Je gaat toch ook niet aan een onbekende gevoelige data doorgeven? Toch gebeurt dat op dit moment steeds vaker, bijvoorbeeld doordat personen inloggen op onbekende wifi in steden of vliegvelden, geplaatst door cybercriminelen geplaatst, waarmee ze wachtwoorden en e-mailverkeer kunnen opvangen en hergebruiken. Dit gebeurde onlangs structureel met klanten van vermogensbeheerders.

5. Gelekt door nieuwsgierigheid of domheid

Er is geen middel tegen stommiteiten. Of toch wel? Een bestand met 40.000 klanten dat blijkbaar toegankelijk is, kopiëren op een laptop die niet is beveiligd en die vervolgens verliezen, zoals medewerkers van Ziggo presteerden, dat mag eenvoudigweg niet gebeuren. De dataketen is daar blijkbaar niet geregeld en niet afgeschermd. Dit terwijl een dergelijke vitale dataketen tegenwoordig toch even belangrijk is als de voedselketen, of een farmaceutische productieketen. Toen onlangs een extern onlinebeveiligingsbedrijf als voorbeeld op een parkeerplaats van een bank USB-sticks rondstrooide met het logo van die bank, was het grootste deel daarvan binnen een uur ongeautoriseerd in de computers van die bank gestopt.

Gewaarschuwd mens

Datalekken, hacking, tracking en andere privacyinbreuk of (on)geautoriseerde datatoegang zijn onderdeel van het dagelijkse leven. Gewenst maar vooral ongewenst. Met bewustwording, logisch nadenken en adequate maatregelen op maat kan elk persoon, onderneming en instelling beoordelen en kiezen welke data wanneer online te gebruiken, en hoe die te controleren. Data zien als een driedimensionaal object, en die splitsen in diverse kwalificaties, componenten, niveaus en gebruiksduur is daarvoor noodzaak.
 
Hoe dan ook, commerciële exploitatie, beveiliging en criminaliteit blijft een kat- en muisspelletje. De menselijke onwetendheid of fout zal een van de grootste issues blijven, maar een gewaarschuwd mens telt voor twee. Dat moet een bijzondere selfie worden.

Arthur van der Wees is partner bij Arthur's Legal