Integratie
Haal Hackers in huis Marieke Vos
Haal hackers in huis Door: Marieke Vos Uit: Digitaal Bestuur, Special maart 2009
Doet de overheid genoeg om ongenode gasten buiten de digitale voordeur te houden? Nee, zeggen twee informatiespecialisten die de overheid nauwlettend volgen. Hun advies: betrek hackers bij de beveiliging van systemen. “Er wordt te weinig nagedacht over privacy en beveiliging bij de IT-projecten van de overheid. Deze twee aspecten horen vanaf het begin van de ontwikkeling meegenomen te worden, ze horen als het ware bij het bakmeel van de cake. Maar nu zijn beveiliging en privacy vaak het toefje slagroom dat er achteraf op gezet wordt”, zegt Arjen Kamphuis. Hij werkt als strategieconsultant bij Gendo en adviseert onder meer financiële instellingen over informatiebeveiliging. Hij noemt zichzelf geen hacker, want “die naam geef je jezelf niet. De community van hackers moet dat doen”. Overigens wil hij graag kwijt dat de term hacker in de publieke opinie onterecht een negatieve klank heeft: “Men verwart hackers met criminelen die technologie misbruiken. Die noemen wij ‘crackers’ en zij maken geen deel uit van onze community.” Een hacker is iemand die op een creatieve manier naar technologie kijkt, aldus Kamphuis. Volgens Menso Heus, business developer bij internetprovider XS4ALL en ook lid van de hackerscommunity, is een hacker vooral iemand die op een andere manier denkt en kijkt: “De standaardvraag bij een bepaalde techniek of procedure is voor ons: is dit veilig? Kan ik het ergens voor gebruiken waar het niet voor bedoeld is en wat is dan het risico?” Als je met zo’n blik naar technologie en procedures kijkt, hoe doet de overheid het dan? “Sommige onderdelen van de overheid, zoals het ministerie van Defensie, gaan heel consciëntieus om met IT-beveiliging”, zegt Kamphuis. Hij noemt als voorbeeld het emailsysteem dat Defensie in de jaren negentig in Bosnië inrichtte: “Dat was een zeer veilige, op open sourcetechnologie gebaseerde e-mailinfrastructuur. De inhoud van de berichten werd versleuteld, net als het verkeer tussen de mailservers.” Veel andere ITprojecten van de overheid verlopen echter een stuk minder goed. Kamphuis en Heus zien daar een aantal redenen voor. Eén van de belangrijkste is de dominantie van een politieke agenda. Kamphuis: “Daardoor wordt de vraag of de genomen maatregelen de gestelde doelen gaan verwezenlijken, niet gesteld.” Hij noemt dit het ‘rijdende-treinfenomeen’: een beslissing is genomen en het project dendert voort, ook als blijkt dat het niet goed gaat. Politieke realiteit Het project Walvis is daar een voorbeeld van. Toezichthouders twijfelden al in 2003 over de haalbaarheid van dit project, de premie-inning van werknemersverzekeringen. “Toch duurde het tot 2006 voordat de zaak plofte, anderhalf miljard euro bleek vergeefs geïnvesteerd. Dit had niets te maken met techniek, maar alles met de politieke realiteit: het moest af, ook al werkte het niet.” Andere in het oog springende voorbeelden van dit fenomeen zijn de ov-chipkaart en het Elektronisch Patiëntendossier (EPD), zegt Kamphuis. Bij de ov-chipkaart werd herhaaldelijk gewaarschuwd voor veiligheidslekken, onlangs werd zelfs de software gepubliceerd waarmee de kaart is te kraken. En het EPD dreigt de onveiligheid in de zorg te vergroten, stelt Kamphuis, die de zorgsector al jaren volgt. “In 2005 ondernamen enkele informatiespecialisten een hackpoging, waaruit bleek dat zij netwerken in ziekenhuizen konden overnemen. Men kon tot in het digitale röntgenapparaat kijken en zelfs foto’s manipuleren.” De beveiliging is nog steeds niet verbeterd, stelt Kamphuis, maar de invoering van het EPD gaat door. Dit zijn voorbeelden van projecten die redelijk in de openbaarheid worden uitgevoerd, zodat
http://digitaalbestuur.nl/special/
1
zichtbaar wordt wat er misgaat. “Wij kunnen als buitenstaander niet zien wat er intern allemaal bij de overheid gebeurt. Maar ik heb geen enkele reden om aan te nemen dat het daar anders of beter gaat”, zegt Kamphuis. Dat er te weinig over beveiliging en privacy wordt nagedacht bij het ontwerp en de ontwikkeling van ICT bij de overheid, komt volgens Kamphuis en Heus door een gebrek aan kennis. Kamphuis: “De gemiddelde bestuurder heeft bij wijze van spreken net geleerd hoe hij moet e-mailen! Er is geen inhoudelijk begrip van hoe bijvoorbeeld internet werkt.” Nou hoeft een politicus of bestuurder niet precies te weten hoe de techniek in elkaar steekt, maar enig begrip zou er toch moeten zijn. Kamphuis vergelijkt het met een auto: iedereen die auto rijdt, weet dat er brandstof in moet die wordt verbrand in de motor, die vervolgens de wielen aandrijft. “Dat begrip ontbreekt als het gaat om netwerken, computers en software. Dan is het alsof je een kaart wilt ontwerpen met een groep kardinalen die nog steeds denkt dat de aarde plat is. Het onbegrip zit zo diep, dat als een leverancier zegt dat het met de veiligheid van een product wel goed zit, dat blindelings wordt geloofd.” Expertmeetings Op zich hoeft dit gebrek aan kennis geen probleem te zijn, als men zou openstaan voor adviezen van externen, zeggen Heus en Kamphuis. Maar dat gebeurt niet. “Inmiddels is toch wel bekend welke onderzoekers en andere specialisten men om advies kan vragen. Maar ik ken geen instantie die dit doet. Alleen kamerleden laten zich voorlichten”, zegt Heus. “Als ik nu wil meedenken over zaken die internetproviders aangaan, zoals de bewaarplicht, dan moet ik eerst alle stukken zien te bemachtigen, vaak met een beroep op de Wet Openbaarheid van Bestuur. Dan moet ik erachter komen wie erover gaat, die bellen of mailen en dan maar hopen dat ze contact met mij opnemen”, zegt hij. Zowel Kamphuis als Heus zijn ervan overtuigd dat beveiliging en privacy vele malen beter zouden worden als er in expertmeetings en op andere manieren meer kennis van buiten gehaald zou worden. “De overheid ontwikkelt nu meestal via het principe ‘security by obscurity’: geheim houden wat je doet. Maar dat principe werkt niet, dat is al vele malen aangetoond. Je kunt met een groep experts iets slims bedenken, er is altijd iemand op deze wereld die slimmer is”, zegt Kamphuis. Hij noemt de beveiligingscode voor DVD’s, die in een miljoenenverslindend project werd bedacht en vervolgens door een Noorse jongen werd gekraakt. “Als je vanaf het begin dat soort jongens laat meedenken, dan kom je veel verder”, zegt Kamphuis. Heus verwoordt het zo: “Hoe meer ogen ergens naar kijken, hoe meer je ziet.” Deze manier van ontwikkelen vergt echter een flinke attitudewijziging. Men zal transparant moeten worden in wat men doet en niet bang moeten zijn om kennis van buiten te halen. Dat hoeft niet ingewikkeld te zijn, zegt Heus: “Ik zou in een weekend best kosteloos naar een document willen kijken en maandag mijn opmerkingen willen sturen. Maar dat moet dan wel mogelijk gemaakt worden.” Eerlijk en open Naast de druk van politieke agenda’s, onwetendheid en het onvoldoende benutten van externe kennis, noemen Kamphuis en Heus het een belangrijk euvel dat er niet helder naar maatregelen en doelstellingen wordt gekeken. “De vraag of de gestelde maatregelen het probleem echt oplossen, wordt vaak niet gesteld. Men doet meestal maar wat”, oordeelt Kamphuis. Het kinderpornofilter is daar een voorbeeld van: dat zou het verspreiden van kinderporno tegen moeten gaan. “Maar dat doe je niet met een filter, maar met het opsporen van de daders en het uitschakelen van servers met dit materiaal. In het plan stond dat men servers in Europa zou uitschakelen en dat het filter bedoeld was voor materiaal dat van buiten de EU kwam. Op de lijst van te filteren servers stond echter ook een aantal uit Nederland. Die hadden nooit op die lijst mogen staan, maar door justitie aangepakt moeten worden. Bovendien bleek dat er in 2006 met 200 aangiftes van kinderporno niets was gedaan. Dan bekruipt mij persoonlijk toch het
http://digitaalbestuur.nl/special/
2
gevoel dat zo’n filter er vooral is voor het verstoppen van het probleem, niet het oplossen ervan”, zegt Heus. Een eerlijke toetsing van maatregelen en veel meer openheid in IT-projecten, dat zijn de adviezen van Kamphuis en Heus aan de overheid. En tot slot moet elke bestuurder, projectleider en politicus zich bij een project afvragen: kan ik dit ergens voor gebruiken waar het niet voor bedoeld is en wat zijn dan de risico’s? Met andere woorden: kan het stuk?
Security-uitdagingen voor 2009 GOVCERT.NL, het Computer Emergency Response Team van de Nederlandse overheid, voorziet drie belangrijke uitdagingen op het gebied van security in 2009. Ze hebben allemaal te maken met cybercrime, wat volgens woordvoerder Ella Broos een professionele, criminele bedrijfstak is geworden. “Er is een ondergrondse economie ontstaan van internetcriminaliteit, waarin onder meer wordt gehandeld in creditcardgegevens en professionele teams zichzelf verhuren voor bijvoorbeeld het kraken van bankgegevens.” De drie belangrijke uitdagingen zijn: Technisch: Computercriminelen maken steeds meer gebruik van kwetsbaarheden in alle internetbrowsers. Dit zal in 2009 sterk toenemen. Thuisgebruikers, bedrijven en overheden moeten dus zorgen dat zij alert zijn en deze lekken dichten, met de patches (reparatiesoftware) van softwareleveranciers. Veiligheid van thuisgebruik: In 2008 is al gesignaleerd dat internetcriminelen het in toenemende mate op thuiscomputers gemunt hebben. Dat zal alleen maar toenemen als thuisgebruikers hun computers niet goed beveiligen. Banken, internetserviceproviders, soft- en hardwareleveranciers, de overheid en andere organisaties zullen in 2009 de thuisgebruiker wijzen op de noodzaak van een goede beveiliging. Er zal een forse stap voorwaarts worden gemaakt in het bewustzijn van de risico’s van internetten, zegt Broos. Opsporing: Door een intensieve samenwerking in de veiligheidsketen zullen in 2009 een paar grote internetcriminelen of criminele organisaties worden opgerold, stelt Broos. GOVCERT denkt dat er vooral botnets zullen worden ontmanteld, dat zijn netwerken van computers die zijn overgenomen door internetcriminelen. Deze botnets worden gebruikt voor allerlei internetcriminaliteit, zoals spam en het stelen van banken creditcardgegevens. “Er is een versterkte samenwerking met onder andere de KLPD en het Openbaar Ministerie op het gebied van cybercrime. Daar zullen we in 2009 de resultaten van zien.”
http://digitaalbestuur.nl/special/
3