Digitaal31 dec '11 15:11

2011/2012 | Digitale zaken: de blunders (en meer)

Auteur: Maurice Driessens

Op IT-gebied zijn we onveilig 2011 ingegaan, en we gaan even onveilig het jaar weer uit. Maar we zijn ons in ieder geval bewust van de onveiligheid. "En dat is een deel van de oplossing", zegt IT-journalist Brenno de Winter.

BNR keek met De Winter in retroperspectief terug op de belangrijkste nieuwsfeiten op IT-gebied van het afgelopen jaar.

"In 2011 is duidelijk geworden dat wij als Nederlanders een gebrekkige beveiliging hebben", zegt De Winter.

Diginator brengt de bal aan het rollen
De belangrijkste gebeurtenis, die tegelijkertijd de digitale bal aan het rollen bracht, was het kraken van Diginotar. Het bedrijf verslikte zich in de beveiliging van Nederlandse overheidswebsites.

Een Twitter-bericht van een Iraniër luidde het begin van het einde voor Diginotar in. De Winter: "Hij vond het gek dat hij naar een andere locatie ging dat bedoeling was Mensen kwamen op websites in de veronderstelling dat het de echte variant was, terwijl dat in feite niet zo was. Dat is misbruikt door de Iraniërs om het domein van Google na te doen".

Certificaten
Waar Diginotar met de uitgifte van beveiligingscertificaten de veiligheid op websites van veel overheidsdiensten moest garanderen, werd het bedrijf zelf slachtoffer van een digitale kraak. Daardoor verviel de geldigheid van de uitgegeven certificaten.

Hoewel dit technisch onmogelijk leek, ging het toch mis omdat de beveiliging van Diginotar een aanfluiting was, zegt De Winter. "Zij lapten zo’n beetje alle regels aan hun laars". Het systeem van het bedrijf beschikte zelfs niet over antivirusprogramma’s, bleek later uit onderzoek.

Het gevolg van dit lek is bekend. Want duidelijk werd dat niet alleen de veiligheid van overheidswebsites in het geding was, maar ook andere websites die gecertificeerd werden door Diginotar.

Incident of niet?
Tijdens de hoorzitting in de Tweede Kamer over Diginotar werd De Winter gevraagd of dit nou een incident was of dat er meer speelde. Daar zette hij met WebWereld zijn tanden in. Het project Lektober van Webwereld werd kort daarna gelanceerd.

De Winter: "Bij WebWereld kwamen bijna dagelijks tip binnen over websites die lek zijn of waar problemen speelden. Daar hebben we een mooie strik omheen gedaan, dat gebundeld en iedere dag een lek gebracht om daarmee duidelijk te maken dat er een fundamentele problematiek speelt."

Geen ingewikkelde lekken
Lezers kwamen al snel met de kritiek dat het geen ingewikkelde lekken waren. En daarmee legden zij direct een vinger op de zere plek, zegt de Winter. "Dat is het vervelende. Eigenlijk zijn het hele basale dingen die worden vergeten of niet worden gedaan. Dat is op zich niet erg, als je de minimale beveiliging maar op orde hebt."

De Winter: "Het heeft mij geleerd dat er heel veel organisaties zijn die informatie aan burgers vragen en dat vervolgens niet van de website halen maar ze in een database op diezelfde website opslaan. Als het dan mis gaat, gaat het ook flink mis".

Identiteitsdiefstal
De Winter benoemt twee absolute dieptepunten van het project. "Bij Cheaptickets werd een oude database online gezet om vervolgens een filiaal in Zwitserland te kunnen oprichten. Maar er was ook een vliegschool waar naam, adres, paspoortnummer, foto’s en geboortedatums opgeslagen waren. Eigenlijk alles wat je nodig hebt om identiteitsdiefstal te plegen, zo kant en klaar voor het oprapen."

Te groot en ingewikkeld
De oorzaak van veel van de IT-problemen van de overheid, zoals Diginotar, het EPD en de OV-chipkaart is te wijten aan het formaat van de projecten.

"Iedere keer zie je weer dat er projecten worden gestart die veel te groot en ingewikkeld zijn. Daarnaast worden ze slecht in de hand gehouden. Dan weet niemand meer waarom ze nou bezig zijn met de projecten en wordt er over het budget heen gegaan. Het is een herkenbaar patroon van ontkenning van het probleem en wordt gezegd dat een project wel degelijk succesvol is. Terwijl de feiten duidelijk de andere kant op wijzen."

OV-chipkaart
De problematiek rondom de invoering van de OV-chipkaart steekt daar wat De Winter betreft met kop en schouders bovenuit. “Dat heeft minimaal drie miljard euro gekocht. Maar niemand weet meer precies wat heeft gekost.

Het ging al in een vroeg stadium mis met de OV-chipkaart, zegt De Winter. "Eerst waren er vragen rondom de privacy. Men vond het toch wel raar dat er een bedrijf is dat bijhoudt in welke bussen wij wanneer stappen. Daarna werd duidelijk dat er beveiligingsproblemen waren. Daarvan is alleen maar gezegd dat er geen criminele businesscase was."

Criminele businesscase
Toch liet De Winter begin dit jaar duidelijk zien dat de kaart makkelijk te kraken was, waardoor kwaadwillende personen gratis konden reizen. Plots werd duidelijk dat er wél een criminele businesscase te bedenken was. De Winter: "Criminelen konden honderden kaarten uitgeven en die via websites verkopen. Op die manier reisden goedgelovige mensen zwart terwijl zij ervan uitgingen met een legitieme kaart te reizen".

Ontkenning
Zo is er iedere keer iets met het project. "Het vervelende met de ov-chipkaart blijft dat er iedere keer weer een nieuw duveltje uit een doosje komt. Dan vindt er eerst ontkenning plaats en wordt later pas gekeken of het probleem op te lossen is. Ook bij de OV-chipkaart kun je je afvragen wat echt de meerwaarde is van het project."

Maar falen hoeft niet erg te zijn, zegt de Winter. “Als het dan mis gaat, moet je ook durven de stekker eruit durven te trekken. Het wordt wel vervelend als je weet dat het mis gaat en het project vervolgens gewoon door blijft gaan.”

EPD
En dat is zoiets lijkt zich nu ook af te spelen met het elektronisch patiëntendossier. "De overheid heeft aan de handrem getrokken en het dossier stilgezet. Maar het zijn zorgverzekeraars, een aantal huisartsorganisaties en patiëntenverenigingen die ermee door willen gaan", legt De Winter uit.

"Ook in dit project is onduidelijk wat nou de daadwerkelijke winst is boven de huidige situatie. Het is onvoldoende helder hoe het zit met de kosten en de privacy. Er begint zich een patroon af te tekenen die je ook bij de OV-chipkaart zag. Het lijkt erop dat het falen wordt overgenomen door de private markt."

Bewustwording
Zo gaat 2011 de boeken in als een jaar waarin veel mis ging op IT-gebied. Het belang van de incidenten met de OV-chipkaart, Diginotar, het EPD en Cheaptickets is het aantonen van de onveiligheid op internet.

"We zijn niet veiliger uit 2011 gekomen. Daarvoor zijn nog te weinig stappen gezet. Ik denk wel dat dit het duidelijk heeft gemaakt dat het probleem er is. En de bewustwording is natuurlijk een deel van de oplossing en gaat er vanzelf toe leiden dat mensen eindelijk vragen gaan stellen. Maar er moet nog veel gebeuren", concludeert De Winter.

Lees ook van 2011/2012:


Deel dit artikel

Gerelateerde artikelen