Draaien

Een aanvankelijk vaak opkomende reactie is het bagatelliseren van het lek. De van buiten toegankelijke informatie is toch al deels openbaar, of elders ook vast wel te verkrijgen. Of het aangebrachte lek is inderdaad niet wenselijk en de 'makkelijk hackbare' site wordt flink aangepast, over een maand of twee. Maar wees gerust: in de tussentijd staat er een back-up klaar die meteen teruggezet kan worden als de lekke site is gehackt. Dus de deur staat weer open nadat er is ingebroken.

Die laconiek lijkende reactie staat in schril contrast met de vlotte lekafhandeling van het Erasmus Medisch Centrum (zie reactie vijf in deze De 5). Daar ergens tussenin staat het draaien om de hete brij, wat andere instanties vaak doen.

“Ongelukkig, maar niet ernstig", verklaart de gemeente De Bilt over het online staan van back-upbestanden met daarin wachtwoorden van ambtenaren. Ze staan niet alleen online, maar waren openlijk toegankelijk. Een enkele criticaster vraagt zich nog fijntjes af of dé website van de gemeente dus eigenlijk wel is gehackt.

Toegegeven, dat was slechts een bijvangst van het lek bij De Bilt. Het eigenlijke lek was anders, vóór melding en na plotse overstap naar een andere provider compleet met migratie weg van Windows 2000. Een software-opstelling die volgens de eerste officiële reactie “de modernste techniek" is en dus veilig. De Bilt was hierbij zeker niet de enige gemeente, maar wel een die dit lek luidkeels downplayde.

Dichten

Een logischerwijs volgende reactie - uiteindelijk ook komend ná eventueel downplayen - is het dichten van het lek. Wat natuurlijk een eerste doel is van Lektober. Daar komt veelal de pijn en gedeeltelijke oorzaak van het beveiligingseuvel aan het licht. De keten van de 5 schuldigen. De verantwoordelijke uitbater (website-eigenaar), wendt zich tot de beheerder die ook de bouwer (webdeveloper) aankijkt, waarbij mogelijk ook nog de huisbaas (hoster) betrokken wordt.

Dat zijn in de praktijk maar al te vaak allemaal verschillende, van elkaar gescheiden partijen. Waarbij de één soms de oude inboedel van de ander over de heg toegeworpen heeft gekregen. “De oorspronkelijke site is in 2002 gebouwd door een webdesigner die al geruime tijd is verhuisd naar Zuid Frankrijk", weet een door Lektober getipte website-eigenaar nog te melden aan Webwereld.

Hij heeft de boel eind 2008 door een andere developer laten verbouwen, of is dat dan toch nieuwbouw geweest? Die partij, tevens de huidige beheerder, weet Webwereld te vertellen: “De oude website zat vol virussen. Hierdoor moest het grootste gedeelte door ons worden herbouwd. Het forum hiervoor was toen zo lek als een mandje en zat vol met spamteksten."

Nog los van de schuldvraag speelt er hoe dan ook de fix-vraag. Wie gaat het lek dichten? Natuurlijk, een webdeveloper. Maar wie betaalt dat? Als er een onderhoudscontract is, valt dit er vast wel onder. Toch? Als er slechts een hostingcontract is, wat dan? Maar wees gerust: de meeste lekken worden echt wel gedicht.

Definitief dichten

Sommige lekken worden zelfs drastisch gedicht: de hele lekke boel opdoeken. De website offline halen. Wat voor sommige sites best makkelijk kan, want Lektober is ook op enkele gevallen 'oh, staat dat nog online?' gestuit. Een oude site voor een allang verlopen marketingactie, een promotiecampagne voor een allang vernieuwd stadspark. Of een keihard afsluiten van lekke aansluitingen.

Niet iedereen heeft natuurlijk die luxe van de 'definitieve oplossing'. Bovendien is het dichten van lekken slechts een eerste doel van Lektober. Uiteindelijk gaat het om bewustwording, wakker schudden, security-besef, de roep om betere beveiliging. En dat alles voortaan vóórdat er ict-systemen gebouwd worden waar privégegevens in terecht komen.

Of waarlangs elders weer privacygevoelige informatie valt buit te maken. Zie bijvoorbeeld maar DigiNotar, waarmee frauduleuze certificaten zijn buitgemaakt om beveiligd verkeer naar onder meer Gmail af te luisteren. Dissidenten in Iran zijn daar waarschijnlijk de dupe van geworden.

Het lek van het bedrijf DigiNotar is weliswaar gedicht; de Nederlandse certificaatverstrekker is opgedoekt. Alleen blijft er het achterliggende probleem. Zoals het DigiNotar-debacle al volgde op Comodo-gate, is het volgens experts wachten op het volgende geval. Misschien waart die al rond, als 'Son of Stuxnet'. Meer beschermende maatregelen zijn nodig, en gelukkig al wel in de maak.

Dreigen

Een helaas ook voorkomende reactie op Lektober is direct dreigen. De lekkende organisatie bedreigt de tipgever, de klokkenluider. Ook als die het verantwoord aanpakt: lek constateren maar niet misbruiken, het dan netjes melden en gevoelige details stilhouden. Ethisch hacken wordt soms niet op prijs gesteld. Demonstreert de burgermeester - en net-niet voltallige gemeenteraad - van Landgraaf.

Die Limburgse gemeente is daarin niet de enige. Ook Amsterdam en de provincie Noord-Holland hebben in hun eerste reacties op lekken een dreigende toon aangeslagen. Aangifte, voor een tipgever die volgens PVV-statenlid - en tipontvanger - Hero Brinkman geen schade heeft aangericht en alles netjes heeft gemeld aan de provincie. En dreigen met aangifte, tegen RTL dat een lek bij Amsterdam heeft ontdekt, gemeld en vervolgens nog een heeft ontdekt.

Delen en doorvragen

Gelukkig kan het ook heel anders. En gebéurt het ook heel anders. Sommige reacties zijn bemoedigend positief. Kordaat reageren, in woord én daad. Door organisaties die snel bereikbaar zijn, het lek zelf onderzoeken en bevestigen, om het vervolgens fluks te fixen. Waarbij sommige instanties ook nog eens zeer open kaart spelen in de afhandeling van het lek.

Zie de snelle reactie van het Erasmus MC. Zie ook het positieve voorbeeld van Amsterdam Zuidoost. Bij die laatste hebben alle partijen betrokken bij een oude promotiesite voor het verbouwde Bijlmer-stadspark snel en open gehandeld. Het Stadsdeel Zuidoost van de gemeente Amsterdam, communicatiebureau De Wijde Blik, de parkmanager van het Bijlmerpark en tenslotte nog webdeveloper De Heren Van.

Met ook nog nazorg. Nazorg door de burgers te informeren wiens privégegevens toegankelijk waren. Zij zijn gemaild, waarna de - al offline gehaalde - database met hun gegevens is gewist. Nazorg door de lekmelding niet alleen aan te nemen, maar een bredere analyse uit te voeren en kritisch door te vragen naar de exacte zwakke plek. Een gezond security-besef, wat niet overal leeft. Nog niet. Lektober loopt!