Home Security ‘Achterdeurtjes’ zorgen niet voor een betere cyberveiligheid

‘Achterdeurtjes’ zorgen niet voor een betere cyberveiligheid

G DATA CyberDefense -
99

De laatste jaren hebben steeds meer organisaties hun data naar de Cloud verplaatst. Dit, omdat het zorgt voor veel voordelen. Organisaties kunnen dankzij de Cloud bijvoorbeeld eenvoudiger altijd bij hun data, gebruik maken van op het web gebaseerde applicaties en sneller schalen dan ooit tevoren. Helaas stelt de verschuiving naar de Cloud gebruikers en organisaties ook onnodig bloot aan privacy schending en fraude door cybercriminelen. Daarom willen steeds meer overheden een wet waarmee zij exploitanten van versleutelde communicatiesystemen kunnen dwingen een ‘achterdeurtje’ (backdoor) in te bouwen.

Cloud Act

De Verenigde Staten hebben in 2018 al een wet ingesteld die de overheid toegang geeft tot ‘achterdeurtjes’. De Cloud Act geeft de Amerikaanse overheid de bevoegdheid om via een bevelschrift of dagvaarding providers te dwingen persoonsgegevens over te dragen, ongeacht waar deze persoonsgegevens zich bevinden. Daarnaast maakt de Cloud act het ook mogelijk om bilaterale afspraken te maken tussen de VS en andere landen om persoonsgegevens uit te wisselen in het kader van opsporing. Maar zorgen deze ‘achterdeurtjes’ wel voor een beter cyberveiligheid?

Zijn ‘achterdeurtjes’ wel veilig?

Voorstanders zeggen dat cybercriminelen en andere misstanden eenvoudiger op te sporen zijn dankzij ‘achterdeurtjes’.  Aan de andere kant betekent het ook dat Europese bedrijven en dataopslag in Europa niet immuun zijn voor Amerikaanse wetgeving. Data die volledig in Europa worden verwerkt en opgeslagen vallen soms onder deze wetgeving, waardoor overheidsdiensten de data kunnen opvragen.

Als Europese organisaties er dus zeker van willen zijn dat niemand toegang heeft tot gevoelige data, doen ze er in ieder geval verstandig aan om geen gegevens te verwerken via een bedrijfseenheid die een zakelijke relatie heeft met een bedrijf dat in de Verenigde Staten zit, zoals een Amerikaanse dochter. Als er toch een zakelijke relatie bestaat met een bedrijf in de Verenigde Staten, dan mag het Amerikaanse bedrijf geen bezit, bewaring of controle hebben over de gegevens die zijn opgeslagen in de Europese Unie.

In geen geval mag er sprake zijn van een Amerikaanse moeder, aangezien deze zou worden geacht het bezit van of de controle over de gegevens van haar dochter te hebben. Europese organisaties doen er daarom verstandig aan om altijd hun data via een Europees bedrijf te verwerken.

Bovendien kleven er aan ‘achterdeurtjes’ nog meer nadelen. Het inbouwen van ‘achterdeurtjes’ in software is sowieso onveilig. Ze kunnen door iedereen die weet waar het ‘achterdeurtje’ zich bevindt, worden geopend. Dit kunnen niet alleen overheidsdiensten zijn, maar ook cybercriminelen, terroristen en vijandige inlichtingendiensten.

Hierdoor kunnen ze eenvoudig fungeren als de doos van Pandora, waardoor kwaadwillenden eenvoudig toegang kunnen krijgen tot data.

De veronderstelling dat overheidsinstanties niet kwetsbaar zijn is naïef. Er zijn tal van voorbeelden dat ook overheden weleens getroffen worden door cyberaanvallen. Als providers ‘áchterdeurtjes’ moeten openzetten zodat overheidsdiensten hun werk beter kunnen doen, zullen bestaande systemen van providers verzwakt worden en er uiteindelijk een nog grotere problemen ontstaan.

Data opslaan in Europa

Dit is tevens ook één van de redenen waarom wij bij G DATA CyberDefense garanderen dat er geen ‘achterdeurtjes’ worden opengezet voor veiligheidsdiensten. Daarnaast beloven wij dat het verzamelen van persoonlijke informatie en telemetriedata tot een minimum beperkt blijft. Bovendien wordt alle informatie in Europa opgeslagen en verwerkt. Dit is belangrijk voor organisaties die privacy en de AVG/GDPR serieus nemen.

Daarnaast kunnen ‘achterdeurtjes’ ervoor zorgen dat goed functionerende securityprotocollen niet meer goed werken. De huidige security systemen zijn zo ontworpen dat het niet zomaar mogelijk is om toegang te krijgen tot het systeem. Hierdoor zouden de meeste prestaties van de protocollen teniet worden gedaan en nieuwe moeten worden ontwikkeld. Bovendien is het dan ook maar de vraag of deze nieuwe protocollen van dezelfde kwaliteit zijn.

Meer complexiteit

Kortom, het is nonsens dat ‘achterdeurtjes’ zorgen voor meer veiligheid. Integendeel, het is onveiliger en het zorgt voor veel meer complexiteit bij zowel providers als gebruikers. Voor providers betekenen verplichte ‘achterdeurtjes’ dat ze veel veranderingen moeten doorvoeren. Daarnaast zorgt de wetgeving ook voor gebruikers veel problemen. Als het ene land wel verplicht ‘achterdeurtjes’ invoert en het andere land niet, wordt het voor organisaties veel lastiger om te bepalen welke provider ze moeten kiezen.

Als Europese organisaties er dus zeker van willen zijn dat niemand toegang heeft tot gevoelige data, doen ze er in ieder geval verstandig aan om hun data altijd via een Europees bedrijf te verwerken. Daarnaast hoop ik dat Europa niet dergelijke wetgeving invoert, want ‘achterdeurtjes’ zorgen niet voor een betere cyberveiligheid. Integendeel, ze openen ook deuren voor cybercriminelen, meer complexiteit en dus minder cyberveiligheid.

Dirk Cools, Country Manager BeLux en Frankrijk bij G DATA CyberDefense

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in