Afgelopen maart had ik het voorrecht om bijna drie weken in Japan rond te zwerven. Dit was voor werk, community, onderwijs en mijn persoonlijke agenda een verrijking van mijn wereldbeeld. Iedereen die mij een beetje kent, weet dat ik graag kennis en kunde deel op het gebied van hacking en cybersecurity. Dit is ook de reden waarom ik veel tijd steek in zaken zoals OrangeCon, de hackerspace Randomdata, Hack in The Class, DIVD, en nog veel meer. Thuis hebben ze daar soms hun bedenkingen bij, omdat het veel tijd en energie kost. Is dat erg? Nee, want uiteindelijk begrijpen ik en mijn omgeving mijn persoonlijke levensdoel prima: “Building a secure world.”
In Japan werd mij overduidelijk dat we in de westerse wereld de afgelopen decennia iets zijn kwijtgeraakt: het collectief. Daarmee bedoel ik het samenwerken aan een groter doel. In Japan is dit veel normaler. Als je bijvoorbeeld op vakantie wilt, overleg je met je collega’s of zij je werk kunnen overnemen. Als je dan terugkomt van vakantie, neem je wat cadeautjes voor hen mee als dank. Een ander voorbeeld van het Japanse collectief is op het gebied van veiligheid: mensen werken vaak vrijwillig om bijvoorbeeld ouderen te leren hoe zij veilig online kunnen gaan.
Een vergelijkbaar voorbeeld van collectieve actie komt uit Cuba. Daar loste de overheid een probleem met de stroomvoorziening op door alle oude, energieverslindende koelkasten op eigen kosten te vervangen. Zo’n aanpak is effectief, maar niet direct overdraagbaar op onze westerse samenleving. Toch denk ik dat we in Nederland zouden moeten nadenken over een “security collectief”. Wat als we iedereen gratis antimalware of incident response zouden aanbieden? Zouden we dan niet minder interessant worden voor criminelen en Nederland minder aantrekkelijk voor hen?
Gelukkig hebben we in Nederland collectieve gemeenschappen zoals de hackerspaces en DIVD. DIVD heeft afgelopen jaar met 150 vrijwilligers bijna 1,3 miljoen kwetsbare IP-adressen geïdentificeerd en de eigenaren genotificeerd. Dat is een prestatie die laat zien wat een groepje securiin ty-enthousiastelingen kan bereiken. Zo’n inzet is indrukwekkend – het komt neer op gemiddeld 1700 kwetsbaarheden per vrijwilliger per jaar. Ik ken organisaties die minder impact maken qua vulnerability management. Voor de nieuwe generatie wordt er door organisaties als Hackshield al echt geïnvesteerd in collectieve veiligheid. Dat is geen makkelijke taak, maar jeugd is vaak een mooie motivatiefactor. Toch blijft de vraag: hoe zit het met onze ouderen, het MKB, de scholen? Educatie en een vangnet zijn er maar beperkt, en als het misgaat is het maar de vraag of hulp hen tegemoet komt.
Wat ik helaas ook zie, is dat organisaties soms wel investeren in het “security collectief,” vaak onder het motto van MVO (Maatschappelijk Verantwoord Ondernemen), maar ik vraag me soms af of de “M” niet voor marketing staat. Ik zou graag zien dat meer organisaties investeren in het security collectief, niet alleen voor het marketingverhaal, maar omdat we samen de wereld veiliger kunnen maken.
Waarom zouden we moeten investeren in het collectief? Criminelen werken als een soort ecosysteem dat elkaar nodig heeft om succes te boeken— noem het ook een collectief. Aan de beschermende kant zou ik graag een vergelijkbare ontwikkeling zien: eentje waarin het normaal wordt om bijvoorbeeld slachtoffers te notificeren, ook al is dat niet direct jouw taak, mocht je op informatie stuiten van slachtoffers. Of om hulp en samenwerking aan te bieden aan bedrijven en personen die slachtoffer zijn geworden en wellicht geen mitigatie kunnen betalen (Incident Response is immers niet goedkoop). Ik denk zelfs dat het uiteindelijk goedkoper is om gezamenlijk op te treden.
Ook vraag ik me af waar de faciliterende partijen van criminaliteit staan in deze collectieve verantwoordelijkheid; het is echt veel te makkelijk om criminele activiteiten te ontwikkelen op een gehuurde server en het vinden van informatie over hoe je crimineel wordt is easypeasy, denk aan Telegram en YouTube. Daarom zou ik willen voorstellen: zullen we wat meer voor elkaar zorgen? Niet omdat het moet, maar omdat we samen een stukje veiliger worden.
Barry van Kampen
Voormalig mede-oprichter van The S-Unit en oprichter van OrangeCon.