Zelfs met alle dreigende onzekerheid rond de wereldwijde COVID-19-pandemie moet systeembeveiliging voorop blijven staan in de planning van bedrijven.
Bedrijven over de hele wereld sluiten hun deuren op grond van lokale, provinciale of nationale decreten, omdat de angst voor COVID-19 voorzichtigheid met zich meebrengt met betrekking tot openbare bijeenkomsten. Het is niet verwonderlijk dat hackers de ongekende mogelijkheid van chaos en paniek hebben benut om zwakke punten in informatietechnologiesystemen te onderzoeken. Eén van die systemen toevallig was het Amerikaanse ministerie van Volksgezondheid en Human Services, wat de daad gezien de omstandigheden nog flagranter maakt.
Maar het probleem reikt verder dan hackers en bedreigingen voor bedrijven en individuen. In tijden van crisis komen ook de burgerlijke vrijheden in gevaar, en cryptografie biedt vaak een schild tegen ongegronde inbreuken door de overheid.
Dus of u nu een bedrijf bent dat zich zorgen maakt over het betalen van server- en beveiligingskosten tijdens deze economische onrust, of een individu bent dat uw digitale activa beschermt, cryptografie kan u goed van pas komen.
Hackers zullen opportunistisch blijven
Het is een ongelukkig bijproduct van crises, maar hackers kunnen sociale, economische en financiële chaos voor hun eigen gewin hanteren.
Hackers bijvoorbeeld gelanceerd een gedistribueerde denial-of-service-aanval tegen het ministerie van Volksgezondheid en Human Services vorige maand in een poging de reactie op COVID-19 te vertragen. Het huidige verhaal doet de hack duidelijk kwaadaardig lijken in zijn poging om de reactie op de pandemie langzamer te maken, maar er zit waarschijnlijk meer achter het verhaal.
Het stijgende aantal gevallen en bij uitbreiding het oppotten van medische gegevens onder een geconsolideerd overheidssysteem biedt hackers de kans om met gevoelige informatie onder te duiken. Bovendien, wanneer noodmaatregelen snelle reacties uitlokken, kan een groot deel van de systeembeveiliging bestaan uit een lappendeken van protocollen die niet grondig zijn getest aan de achterkant.
Zaken die vanuit het veld – zoals ziekenhuizen, geïmproviseerde testcentra, enz. – worden geüpload naar overheidsservers die de huidige COVID-19-statistieken verzamelen en weergeven, kunnen bijvoorbeeld ernstige beveiligingsfouten bevatten vanwege de snelheid van hun ontwikkeling. Applicaties die door kleine teams zijn ontwikkeld om artsen in tijden van crisis te helpen, voldoen mogelijk ook niet aan de beveiligingsnormen, met name de Health Insurance Portability and Accountability Act – gewoonlijk HIPAA genoemd – nalevingswetten, die esoterisch zijn en buiten het bereik van de meeste technologiegerichte ingenieurs vallen.
Hackers, die op zoek zijn naar medische gegevens die tegen een hoge waarde op de zwarte markt kunnen worden verkocht, beschouwen dit waarschijnlijk als een goudmijn. Het hackincident tegen het ministerie van Volksgezondheid is waarschijnlijk niet het eerste, en zal ook niet het laatste zijn, van aanhoudende pogingen om prominente beveiligingssystemen te infiltreren.
Cryptografie biedt een nuttige verdedigingslaag tegen dergelijke inbraken. Het maskeren van medische gegevensidentificatoren en andere gevoelige informatie is mogelijk met een verscheidenheid aan cryptografische standaarden die tegenwoordig beschikbaar zijn. Veel projecten in de cryptosector richten zich expliciet op financiële toepassingen, maar de cryptografische modules voor het beschermen en verifiëren van gevoelige gegevens vertalen zich uitstekend naar andere sectoren, zoals de gezondheidszorg.
Dat wil niet zeggen dat cryptografie een wondermiddel is voor de aanhoudende gevolgen van COVID-19. In sommige gevallen gebruiken overheden het dilemma heimelijk als een methode om de encryptie volledig te ondermijnen, zoals in de VS gebeurt.
Overheidstoezicht wint tijdens de crisis heimelijk de voorkeur
Verborgen achter alle krantenkoppen over de rente van de Federal Reserve, de tanking van de S&P 500 en de COVID-19-zaken, ging een wetsvoorstel schuil dat diepgaande gevolgen heeft op het gebied van cryptografie.
Amerikaanse congresleden staan bekend als het EARN IT-wetsvoorstel voorgestelde een wetsvoorstel dat de Amerikaanse regering effectief de mogelijkheid zou geven om toegang te krijgen tot ‘elke digitale boodschap’. Het wetsvoorstel zou een consortium van wetshandhavingsinstanties creëren onder leiding van het ministerie van Justitie, dat een standaard verificatiemechanisme zou instellen voor elk digitaal bericht. Als het bericht geen gebruik maakt van de standaard “verificatie” van de technologie van de overheid om het bericht te authenticeren, kunnen de verzendende/ontvangende partijen voor de rechter worden gedaagd en in de vergetelheid raken.
Wat cryptografie betreft is dit een rampzalig wetsvoorstel. Het voorgestelde document vermijdt op slimme wijze het expliciete gebruik van het woord ‘encryptie’, maar de taal geeft aan dat cryptografie illegaal zou worden, omdat niet alle berichten tussen twee tegenpartijen privé kunnen zijn. De overheid krijgt een achterdeur.
Encryptie zou standaard illegaal worden omdat het de privacy en authenticatie van een bericht tussen twee partijen waarborgt, waardoor een derde partij niet in de inhoud van het bericht kan snuffelen.
Het wetsvoorstel bevindt zich nog in de beginfase, maar het laat eens te meer zien dat regeringen niet goedkeuren van het wijdverbreide gebruik van encryptie onder het publiek. Of het nu de Clipper-chip is schandaal van de jaren negentig of de subversieve actie van het Congres die wordt gemaskeerd door een nationale crisis, de inspanningen van de regering zijn volhardend.
Gelukkig houdt cryptografie – wat empirisch gezien alleen maar wiskunde is – zich niet aan de grillen van hackers, overheden of mogelijkheden om de invloed ervan te ondermijnen. De grassroots-encryptiebeweging, gestart door cypherpunks en ondersteund door de cryptogemeenschap, heeft de technologie verspreid in een mate die waarschijnlijk niet zal verdwijnen bij een fiatdecreet.
Bedrijven die de turbulente COVID-19-situatie doorstaan: vergeet niet rekening te houden met uw veiligheid in deze kwetsbare tijden. Onthoud als individu dat cryptografie uw vriend is beschermen uw burgerlijke vrijheden tijdens een volksgezondheidscrisis.
De meningen, gedachten en meningen die hier worden uitgedrukt, zijn alleen van de auteur en weerspiegelen niet noodzakelijk de meningen en meningen van Cointelegraph.
Dr Huang Lin is mede-oprichter en CTO van Suterusu, een project dat betrouwbare privacytechnologie ontwikkelt. Hij heeft een Ph.D. diploma's in toegepaste cryptografie en privacybehoudende gedistribueerde systemen van de Shanghai Jiao Tong University en de University of Florida. Hij heeft als postdoctoraal onderzoeker aan de Ecole Polytechnique Federale de Lausanne gewerkt aan toegepaste cryptografie voor genomische privacy en op blockchain gebaseerde data-monetisatie.