Deze website gebruikt cookies

Voor een volledige werking van de website worden cookies op uw computer gezet.
Daarnaast worden cookies geplaatst voor het bijhouden van bezoekersgedrag binnen Google Analytics, de werking van social media knoppen en reactiemogelijkheiden op blogberichten.
Wil je meer informatie over hoe www.lokaalbestuur.nl om gaat met uw privacy en welke cookies worden opgeslagen, lees dan ons cookiebeleid.

Inloggen mijn CLB

Gebrekkige cybersecurity, datalekken en de privacy in het geding

Kirsten Verdel

Veel overheidswebsites en databases zijn onvoldoende beveiligd. Soms gaat het mis: dan verschijnen er nieuwsberichten over gegevens van burgers die op straat zijn komen te liggen. Of dat een gemeentesite gehackt is en daarom even platligt. Meestal is de reactie er één van schouder ophalen. Het college belooft beterschap, dicht het lek en er volgen wat kritische raadsvragen, maar daarna is het allemaal snel weer vergeten. Een zorgelijke ontwikkeling, vinden experts. Nu steeds meer systemen aan elkaar gekoppeld zijn en steeds meer data worden gedigitaliseerd, wordt de kans op datalekken, hacks en criminele activiteiten steeds groter. En daarmee ook de impact.

Het scheelde niet veel of alle Rotterdammers konden meelezen met de mails van Aboutaleb. Ook blijkt meer dan een derde van alle overheidswebsites geen beveiligde verbinding te hebben. Bij zorgwebsites is dat zelfs het geval bij maar liefst twee derde. Op deze wijze kunnen privacygevoelige gegevens door iedereen worden afgetapt.

Ernstig, maar zolang er niet naar je burgerservicenummer (BSN) wordt gevraagd, kan er weinig gebeuren. Toch? Ethisch hacker Mischa van Geelen waarschuwt dat je daar niet gerust op moet zijn. ‘Het BSN is het middel om te communiceren met de overheid. Zelfs als een gemeente op een contactformulier niet vraagt naar het BSN, zetten mensen het er vaak zelf bij om behulpzaam te zijn. Als die informatie dan onderschept wordt, wat bij een onbeveiligde site eenvoudig te doen is, heeft dat vergaande consequenties. Als ik jouw BSN heb, kan ik namens jou bellen en zeggen dat ik jou ben. Je kunt een paspoort ongeldig laten verklaren of er één aanvragen, en je kunt iemands zorgverzekering opzeggen. En nog erger: je kunt allerlei toeslagen aanvragen en het geld naar een eigen rekening laten overmaken. De gevolgen zijn echt veel groter dan veel mensen vaak denken.’

Het is niet per se uit onwil dat de beveiliging zo lek is als een mandje

‘Cross side scripting’ komt het meest voor, zegt Van Geelen. ‘Een hacker heeft dan de code van een overheidswebsite gekraakt en stuurt jou als bezoeker van die site automatisch een link. Jij denkt dat die van de overheidswebsite komt, klikt door en infecteert zo ongemerkt je computer.’

Ook het Noordwijkse PvdA-GroenLinks raadslid Louis Koppel benadrukt het gevaar van onbeveiligde overheidswebsites en identiteitsfraude. ‘Als iemand je BSN, een geboortedatum en een naam heeft, dan ben je er al. Meer is niet nodig. En het gebeurt ook. Google er maar eens een keer op en lees de drama’s maar. Het komt veel vaker voor dan je denkt, en het zal in de toekomst zeker niet afnemen.’

Koppels vakgebied is automatisering, informatisering en gegevensbeheer. Dat geeft hem wellicht een voorsprong op lokale politici die minder ingevoerd zijn in ICT-vraagstukken, maar gebrek aan kennis hoeft geen belemmering te zijn, zo bezweert hij. ‘Met logisch nadenken kom je er ook. Als je als gemeente privacygevoelige informatie aan mensen vraagt, moet dat altijd beveiligd zijn. Dus ook op contactformulieren op de site. En als iemand een brief stuurt naar de gemeente die dan openbaar wordt gemaakt, scan deze dan ook eerst even op privacygevoelige informatie. Dus ook op informatie in die brieven over derde partijen.’

Er gebeuren soms gekke dingen op het gebied van privacy. Zeker in gemeenteland, zegt Koppel. ‘In Noordwijk kregen alle raadsleden een jaar of vier gelegen allemaal een iPad. Daarvoor moesten we allemaal een Apple ID aanvragen. Prima, maar daarna moesten we de iPad inleveren bij systeembeheer. Of we even onze login en wachtwoord konden achterlaten, anders konden ze de software niet installeren. Alsof je even je pincode moet geven bij het afrekenen. Ik heb de griffier gevraagd of die wel goed bij zijn hoofd was.’

Denk na over beleid

Van Geelen is duidelijk over de vraag wat lokale politici kunnen doen als ze zelf weinig verstand hebben van ICT. ‘Laat de systemen gewoon testen. Er zijn genoeg bedrijven die daarin gespecialiseerd zijn. De gemeente kan daarnaast zelf ook een security officer aanstellen. Zo iemand kan de privacy en beveiligingsvraagstukken beleidsmatig en technisch op orde brengen.’

Daar horen ook politieke keuzes bij over wat je wel en niet toestaat, zegt van Geelen. ‘Kijk bijvoorbeeld hoe je omgaat met ethische hackers. Oftewel, mensen die systemen en netwerken onderzoeken op beveiligingsfouten die kwaadwillende hackers zouden kunnen misbruiken.’ Van Geelen, zelf ethisch hacker, heeft wat dat betreft wisselende ervaringen. ‘Toen ik in Alkmaar woonde en de gemeente tipte over een lek, kreeg ik een boze ICT’er aan de lijn die dreigde met aangifte!’

Etisch hacken kan heel nuttig zijn

‘In mijn huidige woonplaats Haarlem gaan ze daar gelukkig anders mee om. Ook daar heb ik de website aan een onderzoek onderworpen. Al snel kwam ik erachter dat je onbeperkt kon inloggen op hun systeem. Daardoor liepen ze het risico om slachtoffer te worden van een brute force attack,’ zegt Van Geelen. Simpel gezegd komt dat erop neer dat een kwaadwillende hacker miljoenen login- en wachtwoordcombinaties kan invoeren tot de goede combinatie eruit rolt. ‘De oplossing is even eenvoudig als doeltreffend: stel een maximaal aantal inlogpogingen in.’

Als gemeente kan je ervoor kiezen om ethisch hacken te vervolgen of te ondersteunen. ‘Als je als ethisch hacker kwetsbaarheden direct meldt, niks achterhoudt en geen geld vraagt, zie ik niet in wat je er als gemeente op tegen kan hebben. Het Nationaal Cyber Security Centrum (publiek-private organisatie die cybersecurity bij overheid probeert te versterken, red.) ondersteunt dat ook. Gemeenten kunnen “responsible disclosure”-clausules opstellen. Als raadslid kan je het college van B&W onder druk zetten om dit ook daadwerkelijk te doen.’

Vrijheid in gevaar

Maar ook als de beveiliging op orde is en de privacy van burgers beschermd is, zijn we er nog niet, vindt Rejo Zenger van Stichting Bits of Freedom. ‘Nu gemeenten en provincies steeds meer met ICT doen, komt de vrijheid van burgers in het geding. Tamelijk abstract, maar daarom niet minder belangrijk. Alles is tegenwoordig gedigitaliseerd: van parkeren via kentekenregistratie, vergunningaanvragen, gemeentebelastingen tot de kadastergegevens. Je kunt het zo gek niet bedenken of het staat in het systeem. Stel je nu eens voor wat er gebeurt als die gegevens ineens op straat liggen. Al zou het maar om de parkeergegevens gaan. Ik kan me goed voorstellen dat je niet wilt dat de hele wereld weet dat je iedere week voor de deur van de psychiater parkeert.’

‘Toen dat kentekenparkeren werd bedacht, hebben ze waarschijnlijk niet gedacht aan het feit dat die gegevens opgeslagen moeten worden,’ zegt Zenger. ‘En al helemaal niet dat de Belastingdienst of een uitkeringsinstantie die gegevens in een later stadium zouden kunnen opvragen. Waar willen we de grens leggen? Hoe meer data er aan elkaar gekoppeld worden, hoe minder vrijheid we hebben.’ Het is daarnaast zorgelijk dat overheden er steeds vaker voor kiezen om gegevens binnen te slepen. Om kwaadwillende figuren te pakken, worden alle burgers in de gaten gehouden.

De vrijheid van burgers is in het geding

'Een van de gevolgen is dat je je als burger minder vrij voelt, je voelt je bekeken en beperkt in je bewegingsruimte,’ denkt Zenger. ‘Dat is een psychologisch gegeven. Nu bekend is dat de Amerikaanse NSA bepaalde zoektermen monitort, voelen journalisten zich minder vrij om naar bepaalde termen te googelen. Ook hier is zoiets niet ondenkbaar. Daarmee komt onze democratie in gevaar: mensen moeten in vrijheid kunnen handelen.’

Hoewel begrippen als vrijheid en privacy al snel als een vervan-mijn-bed-show klinken, is het gevaar dat deze waarden verdwijnen maar al te reëel, constateert Zenger. ‘Vraag jezelf dus af of het verzamelen van al die gegevens echt nodig is. Simpel gezegd: wat je niet hebt, hoef je niet te beveiligen en kan je niet kwijtraken.’ En ga daarbij niet voorbij aan de morele kant van het verhaal. ‘Veel overheidsinstanties doen steeds meer met ICT, omdat het efficiënter zou zijn. Voor het gemak vergeten ze dan wel dat die digitalisering grote maatschappelijke consequenties kan hebben. Wanneer de vrijheid in het geding is, moet je het gewoon niet doen. Hoe goedkoop en efficiënt het ook mag zijn.’

Weinig geld, onvoldoende kennis, geen bewustzijn

Toch lijken dit soort overwegingen niet echt een rol te spelen. Dat is niet per se uit onwil, denkt Van Geelen. ‘Veel overheidsinstanties staan door een gebrek aan geld al meteen op achterstand. De kennis hebben ze niet in huis. Doordat bedrijven meer geld betalen dan gemeenten, kan het lastig zijn om ethische hackers te werven.’

Koppel wijst op het bewustzijn. Of liever, het ontbreken daarvan. ‘Men heeft vaak geen idee welke systemen en netwerken aan elkaar gekoppeld zijn. Of er is niet nagedacht over wie toegang mogen krijgen tot bepaalde gegevens. Drie jaar nadat ik vertrokken was bij Justitie probeerde ik in te loggen en wat denk je? Ik kwam er zonder moeite in.’ Het begint dus bij een bewuste aanpak. ‘Inventariseer eens in het jaar wat je zwakke punten zijn, bepaal wie daar toegang tot mag hebben en zorg voor een duidelijke functiescheiding. Wie verantwoordelijk is voor het betalingsverkeer mag bijvoorbeeld niet ook het applicatiebeheer voor zijn rekening nemen.’

Het begint bij bewustzijn

Heel moeilijk hoeft dat niet te zijn, denk Koppel. ‘Iedere gemeente of provincie kan het ICT-systeem inrichten volgens de ISO27001 (norm voor informatiebeveiliging, red.). Verschillende gemeenten hebben het al goed opgepakt. Vraag ze eens om mee te kijken en test elkaar daarbij op zwakheden. Een frisse blik kan wonderen doen. Er gebeurt al heel wat en ook de wetgeving wordt steeds strenger. Niet meer dan terecht. Zeker ook omdat de techniek in de toekomst alleen maar ingewikkelder zal worden.’

Zenger geeft aan dat geldgebrek geen reden mag zijn voor het opofferen van privacy en beveiliging. ‘Neem het stemproces. Ik begrijp dat het gemeenten moeite kost om voldoende mensen te vinden die handmatig stemmen willen tellen, maar dat is geen goed excuus. Eén foutje in de computercode en de hele uitslag is anders. Uiteraard worden er ook bij het handmatig tellen fouten gemaakt, maar die zijn veel minder verstrekkend en hebben geen andere uitslag tot gevolg. Onze democratie is een groot goed, daar moeten we zuinig op zijn. Dat mag best wat kosten.


Afbeelding: Nationale Beeldbank

Uit publicatie Lokaal Bestuur, Jaargang 41 nr. 3
Reageer

Gerelateerde artikelen:

Ton Langenhuyzen

Begroting BZK: op de bres voor positie raadsleden

Lees artikel