Deze week verschijnt het Engelstalige boek Infosecurity (Gran knows why), gewijd aan Arjen Kamphuis, de Nederlandse cybersecurityspecialist die in augustus 2018 spoorloos verdween tijdens een vakantie in Noorwegen. Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen, schreef onderstaand voorwoord.

In het begin van 2014 werd Arjen Kamphuis geïnterviewd door het online kanaal London Real. Toen hem daar de vraag gesteld werd of hij de NSA-klokkenluider Edward Snowden als een held beschouwt, antwoordde Arjen:

"I think that he is a hero in the sense that he very consciously made a choice to make his own life a hell of a lot more difficult for a greater good.”

We kunnen constateren dat deze omschrijving evengoed op Arjen zelf van toepassing is. Ook hij maakte zijn eigen leven moeilijker door zijn uitgesproken en principiële houding. Hij was daarbij voor een groot deel gedreven door het algemeen belang. Hij had een dwingende manier van praten, soms op het drammerige af, maar hij was gedreven en betrokken en had bijna altijd gelijk. Nu ik dit schrijf zie ik hem tot leven springen, mij met zijn scherpe blik aankijken en me de priemende vraag stellen: vertel me, bij welk onderwerp had ik dan geen gelijk?

Ik beschouw hem daarin op zijn minst als een ʻNederlandse held’.

Bart Jacobs, hoogleraar Computerbeveiliging

Arjen zette zich in voor de publieke zaak, met name in de digitale wereld, waarbij voor hem een aantal onderwerpen nauw samenhing: bescherming van grondrechten, open source software, met name in de publieke sector, security en soevereiniteit, surveillance en privacy, machtsmisbruik door overheden en bedrijven. In deze inleiding geef ik enige achtergrond bij deze onderwerpen, vanuit de gedachte dat waar Arjen zich voor inzette, nog steeds zeer actueel is. Ik beschouw hem daarin op zijn minst als een ʻNederlandse held’.

Binnen de informatica speelt het vakgebied van de computerbeveiliging (ook wel computer security genoemd) een speciale rol. Waar de meeste informatici gericht zijn op leuke dingen die je met computers kunt doen, ligt de nadruk bij computerbeveiligers niet op zulke gewenste functionaliteit, maar meer op wat je aan nare dingen kunt doen met computers: bijvoorbeeld, bij jou op je laptop inbreken om je (persoons)gegevens te stelen zodat de aanvaller zich als jou voor kan doen (identiteitsdiefstal), of jouw communicatie afluisteren om je daarmee voor schut te zetten, of om je journalistieke bron te achterhalen, of om je als dissident op te sluiten. Bij het vakgebied computerbeveiliging hoort een professionele vorm van wantrouwen. Aan die houding zijn security specialisten vaak te herkennen. In iedere situatie denken ze: maar als die nou zus-of-zo doet, dan …; zijn we daar op voorbereid, en hoe herstellen we na eventuele (deels) geslaagde aanvallen? Zo’n houding kan onwelkom zijn, of vermoeiend, maar het is essentieel gebleken in de huidige digitale wereld dat zulke mensen er zijn en dat ze serieus genomen worden, bijvoorbeeld wanneer uit ondoordachte gemaksoverwegingen weer eens voorgesteld wordt om digitaal te gaan stemmen.

Iets algemener gesteld gaat computerbeveiliging over regulating access to assets, dat wil zeggen over het reguleren van toegang tot digitale zaken. Het is altijd al zo geweest - maar in onze moderne samenleving sterker dan ooit - dat informatie macht geeft: als ik bepaalde dingen over jou weet, kan ik daar in positieve of negatieve zin gebruik van maken om jouw leven te beïnvloeden. Dat geldt des te sterker voor een staat die veel over zijn ingezetenen weet en het geweldsmonopolie heeft om die kennis en macht heel concreet te maken. Geëngageerde specialisten in computerbeveiliging, zoals Arjen Kamphuis, zijn zich er sterk van bewust dat het reguleren van digitale toegang direct samenhangt met de machtsverhoudingen in de samenleving. Daarom bewegen zij zich graag in politieke en ethische discussies.

Programmatuur (software) vertelt een computer wat te doen. Veel beveiligingsproblemen ontstaan wanneer die software programmeerfouten bevat, of stiekem dingen doet die niet de bedoeling zijn. De beste remedie daartegen is om de software open source te maken. Daarbij wordt de broncode die de programmeur ingetypt heeft openbaar gemaakt, zodat iedereen in principe zelf kan zien hoe de software werkt. Het idee daarbij is dat verborgen achterdeurtjes met onbedoelde functionaliteit zichtbaar worden en dat eventuele fouten gedetecteerd kunnen worden door deskundigen die de software controleren. Bij de open source gedachte hoort ook dat iedereen die publiekelijk beschikbare software kan gebruiken, zonder kosten. Belangrijke software (Linux, Apache, …) is open source en vervult een cruciale rol in de mondiale ICT-infrastructuur. Bedrijven zijn vaak minder happig om hun software open source te maken, vooral omdat ze bang zijn dat daarmee hun werkwijze openbaar wordt en door anderen overgenomen kan worden. Dit argument verliest steeds meer aan kracht, nu verdienmodellen in de ICT gebaseerd raken op cloudgebaseerde diensten en niet zozeer op de verkoop van software. Organisaties die blijven vasthouden aan blackbox (gesloten, niet-open, proprietary) software roepen daarom, terecht, steeds meer wantrouwen op.

Cybersecurity-expert Arjen Kamphuis verdween in 2018 van de radar, tijdens een vakantie in Noorwegen. Hoe dat heeft kunnen gebeuren is nog altijd een mysterie. Kamphuis was een zeer bekende ICT-expert en privacy-activist. Hij riep mensen op zich beter te verdedigen tegen online gevaren als: identiteitsfraude, spionage en privacyschendingen. Kamphuis adviseerde overheden, maar onderhield ook banden met Wikileaks-voorman Julian Assange. De omstandigheden rondom zijn verdwijning riepen daarom vragen op: was het een ongeluk? Of had het iets met zijn werk te maken? Vragen die onbeantwoord blijven. De Noorse politie vermoedt dat Kamphuis overleden is bij een kajakongeluk en heeft de zaak inmiddels gesloten. Zijn lichaam is nooit gevonden. 

In 2002 heeft de Tweede Kamer de motie-Vendrik aangenomen, die de overheid ertoe aanspoort meer gebruik te gaan maken van open source software. Dit heeft geleid tot het overheidsprogramma OSOSS: open standaarden en open source software, dat echter niet goed van de grond gekomen is door actieve tegenwerking vanuit de commerciële sector, en door gebrek aan steun en inzet binnen de overheid zelf. Arjen Kamphuis heeft zich luid en actief met deze ontwikkelingen bemoeid en was over het uitblijven van een doorbraak van open source software zowel boos als teleurgesteld, om verschillende redenen.

Zo vond hij om ideologische redenen dat alle software die voor een publieke taak gebruikt wordt open source moest zijn omdat de (publieke) macht volgens hem transparant moet functioneren. Dit is en blijft een sterk punt dat oorspronkelijk ook ten grondslag lag aan de motie-Vendrik, maar politiek nooit echt goed opgepakt en doorgezet is.

Hij kon werkelijk niet begrijpen waarom de Nederlandse overheid miljarden uitgeeft aan commerciële software terwijl gratis open source software beschikbaar is - of zo nodig ontwikkeld kan worden. Deze grote uitgaven blijven jaar-na-jaar doorgaan vanwege de lock-in die met blackbox software gepaard gaat, waardoor de overheid geen kant op kan. Ik denk dat Arjen hier iets te optimistisch is geweest over de moeite die het organisaties kost om over te schakelen op open source software en daarmee meer in eigen hand moeten nemen. Vooral publieke organisaties kopen risico’s liever af, bij een externe leverancier, dan dat ze zelf actief aan de slag gaan met zoiets ingewikkelds en ongrijpbaars als software - en daarmee zelf (bestuurlijk en politiek) risico lopen.

Deze lokale ontwikkelingsmogelijkheid van open source software diende volgens Arjen systematisch gestimuleerd te worden, als investering in Nederland (of in Europa), en niet in veelal Amerikaanse commerciële softwareleveranciers. Hierbij schuwde hij niet om te spreken over soevereiniteit, van Nederland of van Europa. Dit soevereiniteitsargument vindt de laatste jaren wel meer weerklank in de politiek nu steeds duidelijker wordt dat Europa vermalen dreigt te worden in de strijd tussen China en de Verenigde Staten, ook op digitaal gebied. En inderdaad, met gerichte investeringen in de ontwikkeling van open source software kan Europa een eigen positie opbouwen en daarmee garanderen dat Europese waarden in software verankerd worden.

In lijn hiermee benadrukte Arjen graag dat het gebruik van open source software leidt tot betere beveiliging en ook enige bescherming kan bieden tegen privacyschendingen via systematische surveillance door assertieve inlichtingendiensten. De Snowden onthullingen zijn voor hem een bevestiging geweest van wat hij altijd al vermoedde, en een motivatie om nog steviger te pleiten voor een transparante overheid die burgers beschermt.

Op Arjen kenmerkende wijze schreef hij over deze punten: “Ergens wordt langdurig de ontstellende schaal van geldverspilling, het in gevaar brengen van de cybersecurity van Nederland en de schending van de privacy van miljoenen Nederlanders goed gevonden.” Deze formulering duidt op een element van samenzweringsdenken in zijn analyses, maar ook op het besef dat hij geen goed zicht en grip had op waar en hoe de cruciale besluitvorming over publieke ICT plaatsvindt in Nederland. Hij realiseerde zich ten volle dat de zaken die hem bezighielden groots waren en dat er grote tegenkrachten en belangen spelen. Juist daarom heeft hij de strijd tegen dit “ergens” met grote betrokkenheid en gedrevenheid gevoerd. Helaas moeten we constateren dat nog veel te weinig politici het strategische en geopolitieke belang van deze publieke zaak in de digitale wereld onderkennen en tot hun eigen onderwerp gemaakt hebben. De drive waarmee Arjen hen scherp hield, wordt node gemist. 

Dit voorwoord verscheen eerder deze week ook bij iBestuur. Het boek ‘Infosecurity (Gran knows why)’ verschijnt gelijktijdig met een expositie over het werk van Arjen Kamphuis op het gebied van informatiebeveiliging. Kunstenaar Jillis Groen heeft, gebaseerd op foto’s van Dennis van Zuijlekom en onderzoek in Noorwegen, een serie schilderijen gemaakt over de verdwijning van Arjen Kamphuis.

Argos over cybersecurity