Podium

Arjen Kamphuis en de publieke zaak in de digitale wereld

Deze week verschijnt het Engelstalige boek Infosecurity (Gran knows why), gewijd aan Arjen Kamphuis, de Nederlandse computer security specialist die in augustus 2018 in Noorwegen verdween. Deze verdwijning is nooit opgehelderd. De Noorse politie vermoedt dat Kamphuis overleden is bij een kajakongeluk. De onderstaande tekst is de Nederlandse vertaling van de inleiding van het boek.

Beeld: Jillis Groen

In het begin van 2014 werd Arjen Kamphuis geïnterviewd door het online kanaal London Real. Toen hem daar de vraag gesteld werd of hij de NSA-klokkenluider Edward Snowden als een held beschouwt, antwoordde Arjen:

“I think that he is a hero in the sense that he very consciously made a choice to make his own life a hell of a lot more difficult for a greater good.”

We kunnen constateren dat deze omschrijving evengoed op Arjen zelf van toepassing is. Ook hij maakte zijn eigen leven moeilijker door zijn uitgesproken en principiële houding. Hij was daarbij voor een groot deel gedreven door het algemeen belang. Hij had een dwingende manier van praten, soms op het drammerige af, maar hij was gedreven en betrokken en had bijna altijd gelijk. Nu ik dit schrijf zie ik hem tot leven springen, mij met zijn scherpe blik aankijken en me de priemende vraag stellen: vertel me, bij welk onderwerp had ik dan geen gelijk?

Arjen zette zich in voor de publieke zaak, met name in de digitale wereld, waarbij voor hem een aantal onderwerpen nauw samenhing: bescherming van grondrechten, open source software, met name in de publieke sector, security en soevereiniteit, surveillance en privacy, machtsmisbruik door overheden en bedrijven. In deze inleiding geef ik enige achtergrond bij deze onderwerpen, vanuit de gedachte dat waar Arjen zich voor inzette, nog steeds zeer actueel is. Ik beschouw hem daarin op zijn minst als een ʻNederlandse held’.

Binnen de informatica speelt het vakgebied van de computerbeveiliging (ook wel computer security genoemd) een speciale rol. Waar de meeste informatici gericht zijn op leuke dingen die je met computers kunt doen, ligt de nadruk bij computerbeveiligers niet op zulke gewenste functionaliteit, maar meer op wat je aan nare dingen kunt doen met computers: bijvoorbeeld, bij jou op je laptop inbreken om je (persoons)gegevens te stelen zodat de aanvaller zich als jou voor kan doen (identiteitsdiefstal), of jouw communicatie afluisteren om je daarmee voor schut te zetten, of om je journalistieke bron te achterhalen, of om je als dissident op te sluiten. Bij het vakgebied computerbeveiliging hoort een professionele vorm van wantrouwen. Aan die houding zijn security specialisten vaak aan te herkennen. In iedere situatie denken ze: maar als die nou zus-of-zo doet, dan …; zijn we daar op voorbereid, en hoe herstellen we na eventuele (deels) geslaagde aanvallen? Zo’n houding kan onwelkom zijn, of vermoeiend, maar het is essentieel gebleken in de huidige digitale wereld dat zulke mensen er zijn en dat ze serieus genomen worden, bijvoorbeeld wanneer uit ondoordachte gemaksoverwegingen weer eens voorgesteld wordt om digitaal te gaan stemmen.

Iets algemener gesteld gaat computerbeveiliging over regulating access to assets, dat wil zeggen over het reguleren van toegang tot digitale zaken. Het is altijd al zo geweest – maar in onze moderne samenleving sterker dan ooit – dat informatie macht geeft: als ik bepaalde dingen over jou weet, kan ik daar in positieve of negatieve zin gebruik van maken om jouw leven te beïnvloeden. Dat geldt des te sterker voor een staat die veel over zijn ingezetenen weet en het geweldsmonopolie heeft om die kennis en macht heel concreet te maken. Geëngageerde specialisten in computerbeveiliging, zoals Arjen Kamphuis, zijn zich er sterk van bewust dat het reguleren van digitale toegang direct samenhangt met de machtsverhoudingen in de samenleving. Daarom bewegen zij zich graag in politieke en ethische discussies.

Programmatuur (software) vertelt een computer wat te doen. Veel beveiligingsproblemen ontstaan wanneer die software programmeerfouten bevat, of stiekem dingen doet die niet de bedoeling zijn. De beste remedie daartegen is om de software open source te maken. Daarbij wordt de broncode die de programmeur ingetypt heeft openbaar gemaakt, zodat iedereen in principe zelf kan zien hoe de software werkt. Het idee daarbij is dat verborgen achterdeurtjes met onbedoelde functionaliteit zichtbaar worden en dat eventuele fouten gedetecteerd kunnen worden door deskundigen die de software controleren. Bij de open source gedachte hoort ook dat iedereen die publiekelijk beschikbare software kan gebruiken, zonder kosten. Belangrijke software (Linux, Apache, …) is open source en vervult een cruciale rol in de mondiale ICT-infrastructuur. Bedrijven zijn vaak minder happig om hun software open source te maken, vooral omdat ze bang zijn dat daarmee hun werkwijze openbaar wordt en door anderen overgenomen kan worden. Dit argument verliest steeds meer aan kracht, nu verdienmodellen in de ICT gebaseerd raken op cloudgebaseerde diensten en niet zozeer op de verkoop van software. Organisaties die blijven vasthouden aan blackbox (gesloten, niet-open, proprietary) software roepen daarom, terecht, steeds meer wantrouwen op.

In 2002 heeft de Tweede Kamer de motie-Vendrik aangenomen, die de overheid ertoe aanspoort meer gebruik te gaan maken van open source software. Dit heeft geleid tot het overheidsprogramma OSOSS: open standaarden en open source software, dat echter niet goed van de grond gekomen is door actieve tegenwerking vanuit de commerciële sector, en door gebrek aan steun en inzet binnen de overheid zelf. Arjen Kamphuis heeft zich luid en actief met deze ontwikkelingen bemoeid en was over het uitblijven van een doorbraak van open source software zowel boos als teleurgesteld, om verschillende redenen.

• Hij vond om ideologische redenen dat alle software die voor een publieke taak gebruikt wordt open source moest zijn omdat de (publieke) macht volgens hem transparant moet functioneren. Dit is en blijft een sterk punt dat oorspronkelijk ook ten grondslag lag aan de motie-Vendrik, maar politiek nooit echt goed opgepakt en doorgezet is.

• Hij kon werkelijk niet begrijpen waarom de Nederlandse overheid miljarden uitgeeft aan commerciële software terwijl gratis open source software beschikbaar is – of zo nodig ontwikkeld kan worden. Deze grote uitgaven blijven jaar-na-jaar doorgaan vanwege de lock-in die met blackbox software gepaard gaat, waardoor de overheid geen kant op kan. Ik denk dat Arjen hier iets te optimistisch is geweest over de moeite die het organisaties kost om over te schakelen op open source software en daarmee meer in eigen hand moeten nemen. Vooral publieke organisaties kopen risico’s liever af, bij een externe leverancier, dan dat ze zelf actief aan de slag gaan met zoiets ingewikkelds en ongrijpbaars als software – en daarmee zelf (bestuurlijk en politiek) risico lopen.

• Deze lokale ontwikkelingsmogelijkheid van open source software diende volgens Arjen systematisch gestimuleerd te worden, als investering in Nederland (of in Europa), en niet in veelal Amerikaanse commerciële software leveranciers. Hierbij schuwde hij niet om te spreken over soevereiniteit, van Nederland of van Europa. Dit soevereiniteitsargument vindt de laatste jaren wel meer weerklank in de politiek nu steeds duidelijker wordt dat Europa vermalen dreigt te worden in de strijd tussen China en de Verenigde Staten, ook op digitaal gebied. En inderdaad, met gerichte investeringen in de ontwikkeling van open source software kan Europa een eigen positie opbouwen en daarmee garanderen dat Europese waarden in software verankerd worden.

• In lijn hiermee benadrukte Arjen graag dat het gebruik van open source software leidt tot betere beveiliging en ook enige bescherming kan bieden tegen privacyschendingen via systematische surveillance door assertieve inlichtingendiensten. De Snowden onthullingen zijn voor hem een bevestiging geweest van wat hij altijd al vermoedde, en een motivatie om nog steviger te pleiten voor een transparante overheid die burgers beschermt.

Op Arjen kenmerkende wijze schreef hij over deze punten: “Ergens wordt langdurig de ontstellende schaal van geldverspilling, het in gevaar brengen van de cybersecurity van Nederland en de schending van de privacy van miljoenen Nederlanders goed gevonden.” Deze formulering duidt op een element van samenzweringsdenken in zijn analyses, maar ook op het besef dat hij geen goed zicht en grip had op waar en hoe de cruciale besluitvorming over publieke ICT plaatsvindt in Nederland. Hij realiseerde zich ten volle dat de zaken die hem bezighielden groots waren en dat er grote tegenkrachten en belangen spelen. Juist daarom heeft hij de strijd tegen dit “ergens” met grote betrokkenheid en gedrevenheid gevoerd. Helaas moeten we constateren dat nog veel te weinig politici het strategische en geopolitieke belang van deze publieke zaak in de digitale wereld onderkennen en tot hun eigen onderwerp gemaakt hebben. De drive waarmee Arjen hen scherp hield, wordt node gemist.

Bart Jacobs is hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen

Het boek ‘Infosecurity (Gran knows why)’ verschijnt gelijktijdig met een expositie over het werk van Arjen Kamphuis op het gebied van informatiebeveiliging. Kunstenaar Jillis Groen heeft, gebaseerd op foto’s van Dennis van Zuijlekom en onderzoek in Noorwegen, een serie schilderijen gemaakt over de verdwijning van Arjen Kamphuis. De expositie wordt van vrijdag 24 januari tot en met 16 februari gehouden in de voormalig Christus Koning-kapel aan de Koningsweg in Arnhem, naast het hoofdgebouw van Hack42, een community waar Arjen Kamphuis persoonlijk bij betrokken was.

Komende zaterdag (25 oktober) besteedt Argos (radio) aandacht aan Arjen Kamphuis en het boek ‘Infosecurity (Gran knows why)’. De uitzending van Argos is van 14.00 – 15.00 uur op NPO Radio 1.

  • Raymond Alexander (VNG Realisatie) | 22 januari 2020, 18:46

    Inspirerende blog, Bart. Wat een bevlogen mens moet Arjan geweest zijn. En wat een prachtige idealen. Er zijn recent mooie ontwikkelingen gaande op dit gebied. Foundation for public code, Stichting Privacy by design. Ook het gemeentelijk initiatief Common Ground breekt een lans voor de publieke waarde in de informatiesamenleving, the “Data of the Commons”. Toch knaagt er ook iets aan me. Ik las onlangs de boeken “Het internet is stuk” van Marleen Stikker en “Het is oorlog maar niemand die het ziet” van Huib Modderkolk. Huiveringwekkend. Ik moest denken aan alle ondermijnende activiteiten van dat gedeelte van de mensheid dat om allerlei redenen het niet zo goed voor heeft met de rest. Maken we het deze lieden niet heel erg makkelijk door de privacy zo goed te beschermen dat zij digitaal helemaal niet meer te volgen zijn? Zit er ook niet iets goeds in het feit dat we allemaal een klein beetje privacy opofferen ten behoeve van de instandhouding van onze rechtstaat? Begrijp me goed, ik moet er ook niet aan denken te moeten leven in een land als China dat uit lijkt te groeien tot een digitale surveillance staat. Maar ik huiver ook als ik lees hoe de onderwereld de bovenwereld digitaal ondermijnt en we daar weinig aan lijken te kunnen doen. Voor het doel van dit gesprek reken ik sommige inlichtingendiensten ook maar tot de digitale onderwereld.

  • Viola | 3 februari 2020, 01:32

    Maar waar vind je die systemen? Check ook bv op de website van NLnet de meest recente ontwikkelingen in open source projecten, zoals deze: nlnet.nl/project/pitchfork/

    En daarnaast, vooral voor overheden: een organisatie is zo zwak als de zwakste schakel: it security basic training in mensentaal voor ambtenaren en bedrijven (via bv mijn website, maar ook anderen doen dat) (zie nieuwsitem over Rijksmuseum Twenthe en reactie van de directeur: “zoiets verwacht je toch niet?” wel dus. Het is essentieel je goed te informeren).

    En, nog een leuk nieuwtje, afgelopen week gebeurde er dit:
    Het ticket-systeem van tolwegen in Tjechie zou 16 miljoen kosten, maar ze vonden dat wel erg veel, dus een aantal programmeurs maakten tijdens een hackathon in 48 uur een gratis systeem: Bravo Tomas Vondracek e.a. En dat zouden wij met onze overheidssystemen ook veel meer moeten doen. http://www.zeit.de/digital/internet/2020

    check ook: publiccode.eu/nl/
    #open #software #free software #Hoe organiseer je een goede hackathon: http://www.hackopen.org #hackopen #hackathons

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren