De Autoriteit Persoonsgegevens luidde eerder dit jaar de noodklok, want er is een explosieve toename aan hacks en datadiefstal. Maar liefst 30% in een jaar. Minimaal 1.200 Nederlandse servers zijn besmet door een Exchange-lek eerder deze maand en het gerucht gaat dat Acer momenteel door misbruik daarvan wordt afgeperst voor 50 miljoen dollar. Onze netwerken zijn zo lek als de Miljoenennota van Prinsjesdag. De vraag is: komt het nog goed? En hoe dan?
Voor een mogelijk antwoord kunnen we buiten de IT kijken, naar het verkeer. Laten we starten in Italië, waar ze rijden als maniaci. Eén vakantie stond ik daar in een file op een snelweg te wachten toen het geduld van de Italianen op was en de auto's voor me achteruit de snelweg af begonnen te rijden. In Napels is het zelfs etiquette om je auto niet op de handrem te zetten, zodat hij aan de kant kan worden geduwd als een Italiaan zijn Fiat in een net te krappe parkeerplaats probeert te wringen. Toch vallen er weinig doden in vergelijking met de 39 duizend verkeersdoden en 151 duizend gewonden per jaar in India. De oorzaak is simpel: Italianen overtreden de regels, maar Indiërs kennen geen regels. Zij gaan met verkeersveiligheid om, zoals wij omgaan met onze digitale veiligheid: nogal nonchalant.
Een voorbeeld: vorige week werden er zonnepanelen geïnstalleerd op ons woonhuis. Op het einde van de dag keek ik het allemaal nog eens na en wat bleek: er was een nieuw WiFi netwerk actief met het standaard wachtwoord 12345678. Daarmee kon ik inloggen met de standaard inlognaam admin en wachtwoord admin. Daarna werd het wachtwoord van ons privé WiFi-netwerk zichtbaar. Ik wilde dit extra WiFi-signaal uitzetten maar dat bleek onmogelijk. Ik probeerde het wachtwoord te wijzigen maar ook dat bleek vast te staan. Gelukkig kon het probleem met een kruisschroevendraaier opgelost worden. Ik heb de WiFi-module er gewoon uit geschroefd.
"Wat is het risico?", kun je denken. Nou, via zo'n lek kunnen criminelen een klein programma op je netwerk installeren; denk aan een een soort TeamViewer. Die toegang wordt dan verkocht aan de Willem Holleeders van cyberspace. Zij kopiëren al je bestanden en wanneer ze genoeg hebben, word je gechanteerd. Bij gemeente Hof van Twente rolde uit de printers: "Hello, need data back? Contact us fast." Maak je geen Bitcoins over, dan worden je bestanden op internet gelekt of versleuteld. Of allebei.
Wat als dat je hele administratie is? Of al je email? Of je "wachtwoorden.xls"? Hoe groot is de imago-schade wanneer je je relaties moet inlichten dat alle orders, technische tekeningen, inkoopprijzen, salarisstroken en personeelsdossiers nu op internet staan of dat je bedrijfsvoering dagen plat ligt? Het gebeurt. Er is ook geen 100% bescherming tegen. En ttoch, als het gebeurt, betekent het mogelijk het einde van je bedrijf.
Een ander voorbeeld: van de basisschool van onze kinderen hebben we een scholen-app. Alle communicatie met de ouders gaat via die app. Wel zo veilig zeggen de makers. Toch kun je, na het installeren van die app, elk kind toevoegen. Het enige dat je moet weten is de geboortedatum en de laatste 4 cijfers van het BSN-nummer. Dat zijn nét die gegevens die je niet kunt wijzigen als ze in verkeerde handen vallen. Een BSN-nummer is geen wachtwoord.
Laatste voorbeeld: we weten allemaal dat phishing een groot probleem is. Je denk dat je inlogt bij je bank, maar ondertussen is het een namaak-site in Noord Korea. Wie heeft dan bedacht dat het slim is dat onze overheid zo'n 700 verschillende websites in de lucht houdt? Weet iemand op welke website je een afspraak kunt maken voor een Corona-test? Iedereen vult het in op Google, logt op het bovenste resultaat in met DigiD, en duimt dan dat het de goede site was. Dat is waanzin.
We nemen het niet zo nauw. Onbewust gedragen we ons een beetje alsof we in India rondrijden zonder airbags en met maar één werkende koplamp, zonder het besef dat een klapper op een tegenligger einde verhaal kan zijn.
Maar er is ook goed nieuws. Nederland behoort nu tot de meest verkeersveilige landen ter wereld. We rijden niet dronken naar huis, jagen niet meer met 80 km/u door de bebouwde kom en we stoppen keurig voor een rood verkeerslicht. Zelfs middernacht, als we de enige op een kruispunt zijn. Meestal. Dat kunnen we digitaal ook: wachtwoorden in een password manager, extra code om aan te melden bij je mail, voorzichtig omgaan met onbekende e-mails, kundigere leveranciers van scholen-apps en alle communicatie rondom één domeinnaam.
Maar waarschijnlijk is dat nog niet voldoende.
Dus ik heb eens zitten denken. Voor betere oplossingen moeten we kijken naar de technieken van MI6, agent 007 en Mission: Impossible. Wat je niet hebt, kan ook niet gestolen worden. “This message will self-destruct in 5 seconds”, zou dat niet gaaf zijn voor vertrouwelijke email? “Geachte klant, het wachtwoord is U43LaK4….5,4,3,2,1, BOOOOMMM!!”
Wordt het niet tijd dat we gedeeltes van het netwerk compleet afschermen van internet? De stekker eruit? Gewoon 2 computers op je bureau: een veilige en eentje om te mailen en internetten.
Het is een verleidelijke gedachte die wij zelf serieus overwegen, maar het nadeel daarvan is dat het niet erg praktisch is. Het is ook alsof je seks afzweert om een SOA te voorkomen. Het kan.
Bovendien behoud je de menselijke factor. In 2011 werd het Beverwijks bedrijf DigiNotar gehackt. Dit bedrijf beheerde beveiligingscertificaten voor, onder andere, de overheid. Hackers stuitte op de jackpot. Het maakte het voor ze mogelijk geldige nep-certificaten aan te maken. Dat is alsof asielzoekers naar hartenlust zelf paspoorten kunnen printen. Het mooiste van het verhaal is echter dit: de server bleek onbeschermd omdat werknemers hem met een netwerkkabeltje hadden verbonden met het kantoor. Ze deden dat omdat ze de afgeschermde ruimte waarin die server stond te koud vonden om in te werken.
Maar wacht nog even met het lostrekken van internet-kabels. Het grootste probleem is immers niet dat het niet veilig kán. Het probleem zijn voornamelijk incapabele beheerders, nonchalante gebruikers en onveilige zonnepanelen. Ironisch genoeg is de veiligste plek op internet waarschijnlijk... het internet zelf. De Cloud (vermijd Facebook).
Het helpt dat datadiefstal voor Microsoft, Amazon en Google mogelijk nóg catastrofaler uitvalt dan voor ons. Hun beurswaarde verdampt bij een serieuze hack en ze kunnen miljarden investeren in security. Het is wrang, maar het is alsof we elke dag horen dat er vliegtuigen neerstorten, terwijl toch blijkt dat vliegen duizend keer veiliger is dan autorijden. Zelfs in Nederland.