Wie spreekt over computerbeveiliging en de overheid denkt meestal aan de bekende verhalen: USB-sticks met gevoelige gegevens die rondslingeren, ministers die niet vertrouwen op de door hun departement gekozen anti-virussoftware of de Officier van Justitie die zijn computer langs de weg zet omdat hij vermoedt dat er een virus op zit. Met kinderporno er nog op natuurlijk. Dat dan weer wel. Natuurlijk werd de beste man niet vervolgd.

Kinderporno als obsessie

Kinderporno is een woord dat een als een obsessie blijft rondhangen rond alles wat bij Veiligheid en Justitie gebeurt. Niet als hobby (tenminste dat hoop ik niet), maar wel omdat je met de bestrijding ervan in je banier zo weinig weerstand krijgt. Dus kun je eens een ongrondwettig filter proberen, ook al stopt het nagenoeg niets, kost het veel arbeidstijd van opsporingsambtenaren en blijkt het sites zonder kinderporno ook te blokkeren.

Kinderporno verkoopt goed in politiek Den Haag en dus werd in het kerstreces stilletjes een rapport (pdf) gelanceerd dat we inmiddels kennen als het Faber-rapport, met de briljante werktitel “Phishing, Kinderporno en Advanced-Fee internet fraud”. Nu weten we dat we bang moeten zijn, want het woord kinderporno is gevallen en dus moet het rapport wel goed zijn. Zeker als de 410 pagina’s door Wynsen Faber zijn gemaakt, die ook lector is op de Politie Academie. Het is blauw, dus is het goed.

Epic fail

Laat ik het maar heel duidelijk stellen: het rapport is niet goed en valt met verve in de categorie “broddelwerk”. Dat is een harde kwalificatie, maar wel terecht. Een webserver is geen “grote computer die andere computers toegang tot internet verleent”. Toegang tot internet wordt verleend door kabelmodems, adsl-modems en aan de andere kant authenticatieservers en routers. Een DNS-server is niet hetzelfde als een host-server.

En zo klopt wel meer niet aan de definitielijst. Hoe kan een IP-adres een 9-cijferige code zijn als je ongeveer 4,3 miljard adressen kunt uitgeven (4.300.000.000 – zijn al tien cijfers). Bovendien zou ik dan opeens het adres 528.746.982 kunnen krijgen? Dacht het toch niet. Moeten we iemand die IP, servers en DNS niet snapt verder nog serieus nemen?

Wel serieus nemen

Helaas wel. Het Ministerie van Economische Zaken, Landbouw en Integratie neemt geen afstand van het rapport en gaat niet verder dan te stellen dat het “geen beleidsdocument is”. Het Ministerie van Veiligheid en Justitie heeft het doorgestuurd naar het Landelijk Parket. Niet als geestig tijdsverdrijf voor de lunch, maar om serieus te bestuderen. Gelet op de inhoud is dat zonde van de tijd en opsporingscapaciteit.

En de aanjager? Dat is het NICC, National Infrastructure against Cybercrime en die kunnen niet anders dan doorverwijzen naar de Ministeries. Omdat de organisatie sinds 1 januari 2011 niet meer bestaat, zie ik het maar als afscheidsvisitekaartje en daar hoor ik “dat we het debat moeten aangaan en het goede eruit moeten halen”. Dat heb ik geprobeerd, maar van de 410 pagina’s blijft een pdf van slechts 3 pagina’s over en dat is wat mager voor zo’n gewichtig onderwerp.

Trap na voor bedrijven

Voor de ooit aan het NICC verbonden bedrijven is het rapport wel een geestige trap na, want allemaal krijgen ze van Faber een “red flag” als partijen met verdacht gedrag. Zo wordt het verbergen van een IP-adres als probleem gezien, niet als het versleutelen van te beschermen verkeer. Het is zo mooi verwoord: “Het omzetten van een primary account in een verborgen account levert een red flag op.”

En daarmee is het punt gemaakt. Het wezenskenmerk van een VPN is juist dat adressen verborgen zijn en verbindingen versleuteld worden. Daarnaast is versleuteling toch echt de norm bij zaken als e-Commerce en de uitwisseling van gegevens. Dus is het een trap na richting Govcert, dat juist wel adviseert VPN’s te gebruiken en cryptografie toe te passen. In de ogen van Faber zijn de ooit bij het NICC aangesloten bedrijven allemaal mogelijk doelwit van onderzoek wegens ‘verdacht gedrag’. Het zijn allemaal potentiële pedo’s.

Geen bredere zienswijze

Het laat zich eenvoudig raden dat Faber natuurlijk niet dieper heeft gekeken naar de in zijn ogen gevaarlijke technologieën en ook de problematiek van kinderporno niet verder analyseert. Dat zou namelijk een ander beeld schetsen en wel eens tot andere red flags kunnen leiden. Maar dan moet je technologie snappen en dat is echt te veel gevraagd. En dus is het gevolg dat het debat nu wordt gedreven in de richting van een nog verdere erosie van persvrijheid, recht op privacy en recht op bescherming tegen criminaliteit.

Het zou grappig zijn als de top van Shell eens van het bed wordt gelicht, omdat ze de adviezen van de overheid opvolgen en verdacht gedrag vertonen onder het motto: “Tja dat hebben wij op de Politie Academie geleerd van Faber.” Maar dat zou zonde zijn van de toch al ineffectief besteedde opsporingscapaciteit. Het belastinggeld – hoeveel is nog niet duidelijk – dat hierin is gaan zitten heeft nog wel iets opgeleverd: we weten nog steeds dat de overheid compleet incompetent is op het gebied van computerbeveiliging en daardoor in staat is de belangrijkste vormen van informatiebeveiliging telkens weer ter discussie te stellen. Wat dat betreft is kennelijk iedere investering voor de NICC-feestjes compleet weggegooid geld geweest.