Vier jaar na Lektober is Nederland nog steeds lek

06-07-2015 12:31

In 2011 maakte Lektober pijnlijk duidelijk dat onze persoonsgegevens op internet slecht beveiligd zijn. Bijna vier jaar later is er wel iets verbeterd, maar blijft het riskant te vertrouwen op systemen die onze persoonsgegevens verwerken. Aanleiding om Lektober te organiseren was de aanhoudende stroom aan lekken die bij mij werden gemeld. Ik verzoop er bijna in en er was duidelijk sprake van een structuur van verontachtzaming. Iedere keer was de publieke reactie lauw. Door de lekken te bundelen en er een publicitaire strik om te doen veranderde dat beeld. Nederland was lek.

Minder meldingen

De overheid dempte de symptomen door responsible disclosure in te voeren. Dat is een beleid, waarbij hackers die waarschuwen weliswaar civiel rechtelijk zijn gevrijwaard voor schadeclaims maar strafrechtelijk nog steeds vervolging riskeren. Er wordt gemeld, maar duidelijk minder dan eerder.

Nou ja er zijn nog wel ernstige lekken gemeld bij een grote bank, een telecombedrijf en diverse overheden, maar de klokkenluiders druipen veelal af als je ze op de mogelijke gevolgen van het huidige beleid wijst. En het lastige is dat je bronnen niet kunt laten vallen. Dus blijven de lekken in de systemen geheim en gebeurt er niets aan. Wat niet weet, wat niet deert.

Nieuwe lekken…

Maar inmiddels zwellen de geluiden aan. Beveiligingsonderzoeker Mischa van Geelen (16) heeft bijna honderd lekken bij mij neergelegd met het verzoek ze te melden en in een later stadium te beschrijven. De problemen zijn allemaal bewerkelijk om te melden dus daar ben ik daar deze zomer nog wel zoet mee.

Het schokkende is dat Mischa zo’n neus heeft dat er soms op een dag wel tien lekken bijkomen. Het draagt niet bij aan het vertrouwen dat onze gegevens online veilig zijn. Het gaat om grote en kleine organisaties: daar zitten ook de Belastingdienst en een organisatie in de luchtvaartindustrie tussen. En het lastige is dat uiteindelijk ieder van die lekken kan uitmonden in identiteitsdiefstal, misbruik van gegevens of andere ellende.

…en grotere lekken

Ondertussen zijn er andere mensen, zoals Sally Mens, die uren steken in het testen van beveiligde verbindingen met openbaar beschikbare tools. Bij diverse overheden heeft zij inmiddels fouten gevonden die dankzij haar zijn verholpen.

Maar niet alleen bij Mischa en Sally regent het lekken. Een aantal andere onderzoekers heeft een reeks lekken gemeld. Eentje zou zelfs duizenden bedrijven kunnen raken, waarbij bedrijfsgeheimen niet veilig meer zijn. Dat is nog in onderzoek en wordt hopelijk spoedig aangepakt.

Boete

Het grotere plaatje is duidelijk. Terwijl de indruk wordt gewekt dat het goed gaat met beveiliging in Nederland, lijkt het tegendeel op dit moment waar. Er moet hoognodig wat harder worden gelopen om de kwetsbaarheden op te lossen. Persoonsgegevens verwerken is niet een recht, maar meer een license to operate.

Recentelijk is de Eerste Kamer akkoord gegaan met een nieuwe Wet bescherming persoonsgegevens die bij overtreding voorziet in een maximale boete van 810.000 euro. Als de bescherming van onze persoonsgegevens geen reden is om ons beter te beschermen dan is die boete een goede reden. Want volgend jaar is een ontdekking van Sally of Mischa mogelijk een dure grap.