De meeste getroffen bedrijven en overheidsorganisaties wijzen gelijk maar 'de hackers' aan. Die sporen immers gaten op, zien daar de verstrekkende gevolgen van en maken er soms ook misbruik van. Dus wat doe je als lekkende organisatie? Je ontkent, downplayed, loopt achter de feiten aan, plakt pleisters op de gaten en je vergadert over een verbeteringsprogramma.

Soms doe je zelfs aangifte. Maar helaas dan - in de regel - niet tegen de in gebreke gebleven aannemer die je brakke ict-bouw heeft opgeleverd. Nee, een hacker loopt het risico, net zoals de alarm slaande media. Het gaat dus niet alleen om de ethische hacker: die een lek ontdekt, dat netjes meldt en er geen misbruik van maakt.

'De hacker' is weliswaar een makkelijk doelwit, maar niet de daadwerkelijke schuldige voor Lektober. Wie dat wel is? Correctie: wie dat wel zijn? In ieder geval deze 5:

Uitbaters

In het geval van een lekke website is het natuurlijk eenvoudig, om direct de beschuldigende vinger te wijzen naar de website-eigenaar zelf. Een terechte beschuldiging, want wie is er immers verantwoordelijk voor die site, die aan bezoekers en gebruikers privégegevens vraagt en opslaat? En die vervolgens niet goed bewaakt, en dus lekt.

Het hebben van een website is allang gemeengoed. Online of flatline, is een leus die zelfs in de meest conservatieve industrieën en sectoren wel is doorgedrongen. Helaas geldt dat niet voor de notie dat zo'n 'webstek' geen eenmalige folder is: gedrukt en klaar, houdbaar tot een eventuele naamsverandering, restyling of rebranding.

Nee, een website is een complex, technisch systeem dat onderhoud behoeft. Zeker omdat het is aangesloten op een wereldwijd informatienetwerk waar de ontwikkelingen voortschrijden. En dan hebben we het niet alleen over - al dan niet nodige - functionaliteit en nieuwe mogelijkheden, maar ook en vooral over beveiliging.

Jammer, dat zo'n website-eigenaar nogal eens niet goed bereikbaar is voor security-meldingen. Of dat hij of zij geprikkeld reageert, met juridische dreigementen. Dat ontmoedigt ethische hackers ook wel, maar doet niets af aan het lek zelf. De gaten worden zo niet verholpen, of zelfs maar verborgen.

Bouwers

De meeste bedrijven en organisaties hebben zelf niet de benodigde expertise in huis om hun websites en andere ict-systemen goed te bewaken, onderhouden en repareren. Dat willen ze ook niet; ze hebben immers hele andere, eigen activiteiten. Dus daar huren ze experts voor in, waar ze dan op vertrouwen dat die het goed doen.

De zorg over toevertrouwde persoonlijke gegevens blind overlaten aan een ander. Nagenoeg iedereen doet dat: van gemeenten en zorginstellingen tot uitgeverijen en escortbureaus. Discretie verzekerd, wordt er van elkaar maar aangenomen.

Jammer dat sommige ict'ers de waarde van data niet inzien. En van de mogelijke waarde, die uitgelekte gegevens elders voor anderen kunnen hebben. Wie had gedacht dat de inlogs van een site voor amateurschrijvers geld waard zijn? Iemand ergens wel, want die heeft de door derden buitgemaakte gegevens uitgeprobeerd bij onder meer PayPal. Met succes.

Toch luidt de reactie vanuit developers en beheerders maar al te vaak dat de gelekte gegevens 'helemaal niet zo privé zijn', omdat het om deels openbare informatie gaat. Of dat het hele uitlekken 'niet zo serieus is'. Zeggen bijvoorbeeld de technici van de Nederlandse politiebond. Omdat de wachtwoorden wel versleuteld zijn. Zij het zwakjes. Als ze al versleuteld zijn, wat ook bij grote organisaties lang niet altijd het geval is.

Bijkomend probleem als het om externe ict'ers gaat: die hebben veelal meer sites en systemen opgeleverd. Waarin ze dan dezelfde fouten kunnen maken, en hébben gemaakt. Wat al is gebleken tijdens Lektober, én ook is opgemerkt door diverse lezers en tipgevers van Webwereld.

Huisbazen

Naast de uitbaters en bouwers zijn er ook nog de huisvesters van lekke systemen. Nagenoeg alle ict-omgevingen zijn tegenwoordig, direct of indirect, aangesloten op het internet. Waar een internetdienstverlener of hoster de zaak draait, voor de eigenlijke eigenaar. Niet dat een hoster nou de door een developer gebouwde zaken moet doorlopen of verbouwen.

Maar de eigen zaakjes op orde hebben, is wel wenselijk. Net zoals het hebben en uitvoeren van beveiligingsmaatregelen zodat inloggen als admin niet zomaar overal vandaan mogelijk is. Wat geldt voor de systemen van de klanten, maar ook voor de eigen hoofdomgeving. Het is overigens ook wel handig om wat aan scanning te doen, voor opvallend anders 'gedrag' op je netwerk en in je systemen.

Want waarom zou een kwaadwillende hacker site voor site gaan hacken, of bedrijf voor bedrijf gaan verkennen? Inbreken bij een hoster maakt grootschalig graaien mogelijk. Wat kan in een ver land als Bangladesh, maar ook gewoon in Nederland. Hosters erkennen ook dat er wat te verbeteren valt, met hulp van hackers.

Soms is een hacker niet eens nodig voor lekken: een hoster kan zelf flink falen, bijvoorbeeld door oude back-ups live te zetten. Wat een onveilige configuratie online kan brengen en tot lekken kan leiden. Bovendien kan van hoster wisselen minder makkelijk zijn dan als starter een huis kopen.

Boeren, burgers, buitenlui

“Wat jeukt die beveiliging nou?", reageren ook enigszins technisch onderlegde mensen op vragen over security. Waarna ze blij hun smartphone laten zien, die geen codeslot erop heeft zodat apps snel en makkelijk te gebruiken zijn. Ja, beveiliging versus gebruiksgemak. Zoals altijd eigenlijk.

Dus overal hetzelfde wachtwoord invoeren, altijd in de browser aanvinken dat die maar het wachtwoord moet onthouden, en pop-ups snel met 'OK' wegklikken. Behalve dan een pop-up voor een verlopen antivirus. Een computer wordt nog altijd gezien als een eenmalige aankoop, waar geen eigen onderhoud, APK, olieverversing of aanvullende kosten voor nodig zijn.

Zie maar de pc-besmetting bij gewone gebruikers die slechts hun vertrouwde krantje gingen lezen, online. De eerste meldingen van malware op de websites van Wegener stammen van een dag voordat die krantenuitgever maatregelen nam. Het verborgen kwaad in ads via advertentienetwerk CoolConcepts was dus bekend en herkend. Maar kennelijk niet bij iedereen.

Vadertje Staat

Boven en naast de bovengenoemde schuldigen staat natuurlijk de overheid. De digibete overheid als lekkende ict-uitbater en -bouwer zelf, maar ook als regelgevende en toezichthoudende instantie. Natuurlijk, Vadertje Staat kan - en moet - niet alle ict-problemen van heel Nederland aanpakken. Maar strengere regels, toezicht op naleving en bestraffing van overtredingen mogen best wel. Meer blauw in de ict?

Gelukkig heeft Lektober ook effect op de staat. De politiek is wakker geschrokken, tot roepen aangezet én zelfs tot handelen gedwongen. Minister Piet Hein Donner sluit lekke gemeentesites af van DigiD en verplicht een beveiligingskeuring. Bovendien moet die toets jaarlijks worden gehaald.

Alleen valt er nogal wat te verbeteren, ook door de toezichthoudende en toetsende instanties zelf. De bestaande overheidsorganen voor ict en ict-beveiliging laten herhaaldelijk flinke steken vallen. In het kader van Lektober, maar ook in de aanloop daartoe. Zie maar het Nederlandse DigiNotar-debacle en de internationale impact daarvan. Daar zijn voor, tijdens en na ook fatale fouten gemaakt. Door het bedrijf DigiNotar, door DigiD-certificaatbeheerder Logius, door security-overheidsorgaan GovCert, enzovoorts.

Privacylekken zijn dus de schuld van alles en iedereen. Maar wanhoop niet door het gebrek aan een eenduidige 'bad guy', direct herkenbaar aan zijn zwarte hoed. Niet bij de pakken neerzitten, maar aanpakken. De beste beheerders kunnen zich bewijzen. De doorwrochte developers kunnen schitteren. De echte experts kunnen opstaan. De betere beveiligers kunnen opklimmen. De bewuste burger kan geruster zijn.

Ja, dit lijkt een verkooppraatje voor meer ict-uitgaven, maar het tegendeel is waar. Lekken kosten geld, en meer. Voorkomen is goedkoper dan pleisteren!