Overleggen? Nee, aanpakken

Veel van de Lektober-lekken zijn gevonden in websites en systemen van gemeenten. De lokale overheden die veel willen - maar van Den Haag ook moeten - doen dat met ict. Registraties, verhuizingen, lokale belastingaangiftes en bestemmingsplannen, maar ook doodgewone zaken als mailinglijsten en webmail. Het blijkt allemaal in meer of mindere mate lek.

Hier is een mooie rol weggelegd voor een overlegorgaan tussen de gemeenten. Laat de grote gemeenten met eigen ict, de kleine gemeenten met slimheid en de middenmoters met ict-ambities elkaar eens goed en inhoudelijk op weg helpen. Aanpakken die onveilige ict-opstellingen.

Fijn dat er al een niet-bestuursorgaan is dat de gemeenten met elkaar in contact brengt en houdt: de VNG (Vereniging Nederlandse Gemeenten). Alleen gaat die over vele en uiteenlopende zaken, naast ict - al dan niet open. Gelukkig ziet de VNG ook in dat meer beveiliging, advies en vooral bewustwording nodig is. De vereniging is daartoe aangezet door Lektober. Hopelijk weet het op zijn beurt anderen wakker te schudden. Liefst met dwang, want dat blijkt toch echt nodig.

Het is nog de vraag of dwang er wel van komt. De VNG beraadt zich - naar aanleiding van de Lektober-superknaller - op zijn toekomstige rol als adviseur. "In eerste instantie gaat het wel vooral om bestuurlijk bewustzijn", liet de woordvoerder weten aan Webwereld. Wat natuurlijk ook nodig is. Het is een goed begin, maar toch slechts de eerste stap. Vooralsnog is er geen sprake van het afdwingen van beveiligingsrichtlijnen.

GovCERT 2.0

Misschien moet die zachte dwang voor de eigen bestwil van een hogere hand komen: vadertje staat. Ook die is al vertegenwoordigd door een organisatie die geknipt is voor deze taak. Een heus geheel op ict-beveiliging gericht overheidsorgaan: GovCERT. Maar die instantie mag wel eens worden opgepoetst voor de zware taak die ons land, met Hollandse hackers voorop, het wil toebedelen.

Dat ligt niet alleen aan het feit dat GovCERT geen dwang oplegt en formeel zelfs geen adviezen geeft, maar 'advisories'. Naar die informatievoorziening wordt in de praktijk helaas nauwelijks geluisterd. Ten onrechte, want anders was het afluisteren van ministers' voicemailboxen niet gebeurd.

Verder moet de overheidsinstelling voor ict-beveiliging eerst zelf overzicht krijgen en eerst zelf maar eensgehoorzamen aan wet- en regelgeving. Maar laat al dat benodigde werk het enthousiasme voor een GovCERT 2.0 niet ontmoedigen. Niet beveiligd is altijd lek.

Hoogste tijd voor volwassenheid

Weg met de beunhazen, de Wild West-mentaliteit en misschien ook wel weg met de keurmerkenwildgroei. Het is nu echt de hoogste tijd dat de ict-branche zichzelf serieus neemt en dus zichzelf hoge eisen oplegt. Ja, daar wordt de wereld niet makkelijker van, maar wel ietsje beter. Nu kan niet alleen elke halve developer websites in elkaar zetten, ook kan elke hobbyist zich opwerpen als webreus en blijkt zelfs het wereldje van internationale beveiligingscertificaten bevolkt te worden door kneuzen.

Allemaal partijen die het vast wel goed bedoelen, maar qua werkwijze ondermaats presteren. Natuurlijk, dat kan ook vanwege prijsdruk zijn, wat deels door de concurrentie komt en deels door de uiteindelijke klant. Die wil voor een dubbeltje een website hebben, met 'gewoon wat informatie online'. Dat is natuurlijk iets heel anders dan een webshop, redeneert de uitbater van een relatief eenvoudige website. Alleen hanteert de webshopeigenaar een soortgelijke redenatie, maar dan in vergelijking met, zeg, een grote e-commerce partij. Die zichzelf weer afzet tegen bijvoorbeeld een banksite. Enzovoorts.

Uiteindelijk is iedereen schuldig, en schuift iedereen die schuld af. Ook binnen de ict-industrie, waar een ict-dienstverlener “er vanuit ging het wel veilig was", omdat hun website bij een ander was gebouwd en draaide bij een hoster. Moet een webdeveloper en/of hostingpartij en/of isp klanten aanspreken op wat ze anno nu draaien? Ja, wel in de ratrace van technologie en beveiliging versus hackers en crackers in combinatie met waardevolle privégegevens.

Aannemer aansprakelijk

Goed, we moeten met z'n allen streven naar meer professionaliteit. Alleen stel dat niet gelijk aan meer audits; die komen soms namelijk neer op slechts wat rijtjes afvinken. De volledig gehackte en daarover liegende certificaatverstrekker DigiNotar is jarenlang goed door de keuringen gekomen. Nee, we moeten maar eens harde voorwaarden stellen en vastleggen, met harde straffen voor wanprestaties.

Aansprakelijkheid dus. Nee, niet meteen Amerikaanse 'I sue you'-toestanden. Maar wel contractuele verplichtingen, duidelijk opgeschreven en afgedekt. Gaan juristen en contractdeskundologen hier een slaatje uit slaan? Vast wel. Gaat de klant en uiteindelijk iedereen hiervan profiteren? Ja, ook.

Natuurliijk lijkt automatisering hierdoor duurder te worden. Want iedereen in de keten gaat zich (financieel) indekken voor de mogelijke schadevergoedingen. Compensatiegeld dat niet alleen bestaat uit de kosten van gatenreparatie en systeemvernieuwing, maar mogelijk ook uit imagoschade en daardoor weer inkomstenverlies. Maar vergeet niet: beveiliging op de werf al inbouwen is goedkoper dan achteraf een varend vergiet dichtplakken.

Antiek wegdoen

We sluiten af met een relatief simpele oplossing voor datalekken. Eentje die iedereen nagenoeg direct in de praktijk kan brengen. Begraaf je verleden. Zet antiek bij het schroot. Lekken zitten namelijk niet alleen in nieuwe websites en systemen, maar ook en vooral in oude meuk.

Enerzijds houdt dit in dat je geen Windows uit het jaar 2000 meer moet draaien, of een CMS dat stamt uit 2004 en dat in juli 2009 een laatste update heeft gekregen. Anderzijds houdt dit in dat je oude websites en applicaties niet meer live moet laten staan. Of die nou dienden voor ooit gehouden marketingacties, inmiddels verlopen promotiecampagnes of uiteindelijk niet doorgegane bouwprojecten.

Erger nog dan oude echt gebruikte sites en systemen zijn de rondzwervende oude back-ups en toegankelijke testomgevingen met oude data. De informatie in die back-ups en testomgevingen zijn weliswaar oud maar niet per sé verouderd. Creditcardnummers verlopen pas na enkele jaren. BSN-nummers blijven veel langer geldig. NAW-gegevens hebben ook een redelijke houdbaarheid. Gelukkig veranderen we wel allemaal elke paar maanden al onze wachtwoorden. Toch?

Vergeet niet: de oude meuk roest. Software verslijt weliswaar niet letterlijk, maar veroudering treedt wel degelijk op. Ooit veilige systemen of praktisch onkraakbare beschermingen worden vroeg of laat makkelijk pwnbaar. Dus verantwoord opruimen, die oude kerosine-opslagtanks van de ict. Voordat data uit het verleden uitlekt. Wat nu of in de toekomst problemen gaat opleveren. Voorkom Lektober 2012! Dank u.

PS: Of volg het advies van Fokke en Sukke, die middenin Lektober al dé oplossing hadden.