‘100 procent veiligheid bestaat niet’

Alexander Leeuw en Haro Kraak, 16 oktober 2011

Het is chaos bij de ICT van de overheid. Websites van gemeentes zijn lek, met DigiD wordt gefraudeerd en Diginotar bleek eenvoudig te kraken. Hoog tijd voor drastisch ingrijpen, daar lijken alle partijen het over eens. Hackers, burgers en nu ook de overheid. In een brief aan de Kamer stelt minister Donner (Binnenlandse Zaken, CDA) op 11 oktober dat “digitale informatie-uitwisseling een essentieel onderdeel is geworden voor het functioneren van de Nederlandse samenleving”, maar dat “ICT beveiliging bij overheidsorganisaties te kort schiet”. Zo kan het niet langer, zoveel is duidelijk, maar hoe moet het wel? “Er is een mentaliteitsverandering nodig”, zegt Koen Martens, woordvoerder van de Nederlandse hackersgemeenschap.

Nadat circa dertig gemeentelijke websites vorige week uit de lucht werden gehaald omdat ze onveilig bleken, kwam D66 met een nieuw plan. Zij willen hackers betrekken bij de beveiliging van overheidswebsites. Voordat burgers hun privégegevens vrijgeven, moeten de websites door hackers getest worden op mogelijke lekken. Verantwoord hacken moet beloond worden, in plaats van afgestraft, vindt D66-Kamerlid Wasilla Hachchi.

Brenno de Winter, hacker en journalist, vindt het plan onzin: “Die vrouw probeert ook eens wat intelligents te zeggen.” Het idee getuigt volgens hem van een “totaal gebrek aan realiteitszin”. Dat er wel samenwerking tussen hackers en de overheid mogelijk is laat hij dagelijks zien. De Winter is initiatiefnemer van ‘Lektober’, gedurende de maand oktober toont hij elke dag een lek aan bij de overheid. “Ik help de overheid door ze op fouten te wijzen, al wordt dat niet altijd gewaardeerd.” De gedachte om websites vooraf te testen is volgens De Winter naïef. “Diensten worden pas kwetsbaar als ze gebruikt worden, je kan niet door één keer testen veiligheid garanderen”, zegt hij.

Toch zijn de uitspraken van Hachchi een stap in de goede richting. “Hackers zijn nu bang voor vervolging, ze durven niet altijd een lek aan te tonen”, zegt Koen Martens. In september stuurde hij namens de verenigde Nederlandse hackerspaces een brandbrief naar de overheid. De boodschap: de beveiliging van ICT diensten is niet in orde, de privacy van de burger is in het geding. “Dat werd toen best goed opgepakt”, zegt Martens, “in totaal wilden 120 zetels er wat aan gaan doen.” Toch is het sindsdien keer op keer fout gegaan. Kan je dat de overheid kwalijk nemen? Volgens Martens wel: “100 procent veiligheid bestaat niet, maar nu zitten we op 10 procent, dus is er nog genoeg werk te doen.”

Het eerste wat moet gebeuren is een nieuwe status voor klokkenluiders. Nu wordt de hacker eerder bestraft dan beloond als deze een fout aanwijst. “Er heerst op dit moment een klimaat waarin de boodschapper wordt gestraft”, schrijft Martens in de brandbrief. De noodzaak om hier verandering in te brengen is inmiddels opgepikt door de politiek. Kamerlid Pierre Heijnen (PvdA), die ICT in zijn portefeuille heeft, wil dat hackers die ter goeder trouw handelen de status van klokkenluiders krijgen, en dus beschermd worden.

Om het probleem echt op te lossen moet men naar de bron kijken. “Bedrijven en overheden hebben de drang om zoveel mogelijk gegevens te verzamelen”, zegt Martens, “je kan jezelf afvragen of dat wel allemaal nodig is.” Ook De Winter is het hiermee eens: “Het gaat pas fout als privacygevoelige gegevens worden opgeslagen.” Hij vindt in Kamerlid Hachchi een bondgenoot. Volgens haar moet “het kabinet niet meer privacygevoelige gegevens digitaal opslaan dan strikt noodzakelijk”. Dat scheelt vaderlandslievende hackers nog werk ook.