Heeft Lektober zijn doel bereikt?

“Iemand van Govcert wil je spreken," zegt onze receptioniste door de telefoon. Het is vrijdagmiddag 30 september. Meestal betekenen dit soort telefoontjes dat iemand boos of verdrietig is over een artikel dat Webwereld heeft geschreven. Ik zucht binnensmonds: “Verbind maar door."

Wat volgt is geen klaagzang over vermeende misstanden, maar een open gesprek waarin Govcert zijn oprechte interesse toont voor Lektober. Hoewel Lektober nog moet beginnen, wil de organisatie ervoor zorgen dat eventuele problemen bij overheidsdiensten snel kunnen worden opgepikt. Ik ben onder de indruk van de professionele instelling, en vereerd door het feit dat ze Lektober al zo serieus nemen, nog voordat de actie is begonnen.

Lekken-moe

In de maanden voor Lektober werden we bij Webwereld langzaam lekken-moe. Met grote regelmaat wezen lezers ons op problemen bij allerhande diensten. De reactie was er steevast een van bagatalisering: de getroffen organisaties leken zich meer zorgen te maken om hun imago dan om de beveiliging van de privégegevens van u en mij. Het drama rond DigiNotar was daarbij een voorlopig dieptepunt.

Die lekken-moeheid sloeg om in interesse toen freelance redacteur Brenno de Winter en chef redactie Sander van der Meijs met het idee kwamen om een maand van informatielekken te organiseren. Door juist elke dag een lek te publiceren, wilden we aantonen dat al de zogenaamd geïsoleerde incidenten in werkelijkheid onderdeel waren van een grote trend; dat er iets fundamentaal mis is met de manier waarop we in Nederland gegevens van individuen beschermen.

In onze optiek was het bovendien belangrijk om alle lekken vooraf te verzamelen. De boodschap dat we al 21 onbekende beveiligingslekken klaar hadden staan zou de urgentie verder vergroten.

Die boodschap sloeg aan. Niet alleen bij GovCert, maar ook bij de Vereniging Nederlandse Gemeenten en tientallen dagbladen, radiozenders, tv-programma's en nieuwssites.

Zondagsrust

Afgelopen zondagmiddag belt Brenno de Winter me op. Duidelijk geschrokken vertelt hij dat zijn persoonlijke server is gehackt. We concluderen allebei dat dit moet gaan om een wraakactie van een criticus. Als dat zo is, zullen ze Brenno aan de schandpaal willen nagelen. Om ze het gras voor de voeten weg te maaien, besluiten we het lek zo snel mogelijk op Webwereld zelf te melden.

Die strategie lijkt succesvol, want vlak na publicatie op Webwereld belt om 17:20 uur een Telegraaf-journalist Brenno op. De aanvallers hebben informatie van de inbraak aan de krant doorgespeeld. De Telegraaf dreigt eerst nog met publicatie in de papieren krant van maandag. Maar vlak daarna neemt het ANP het bericht over de inbraak van Webwereld over, waarna de Telegraaf hopeloos achter de feiten aanloopt. Het bericht heeft de maandagkrant nooit gehaald.

De aanvallers hebben hun daden uitgebreid toegelicht. Daaruit blijkt een hoge mate van frustratie met Lektober. Opvallend is de zin die meldt dat “wij" een grotere interesse zien in penetratietesten en security audits. De aanvallers lijken dus zelf uit de wereld van de beveiliging te komen. En half uur later IM-t Brenno triomfantelijk: “Ik heb ze!" en hij stuurt het IP-adres van ISSX uit Amersfoort door.

Binnen enkele minuten achterhalen we het 06-nummer van oprichter Ronald Kingma. Ik bel hem op en stel zo open mogelijk de vraag of hij weet waarom het IP-adres van ISSX in de logbestanden van Brenno staat. Het blijft stil aan de andere kant van de lijn, en dan komt een diplomatiek antwoord: Kingma is op hoogte van de hack en heeft zelf meegespeurd naar zwakke plekken, maar ontkent elke betrokkenheid bij de daadwerkelijke inbraak. Daarmee bekent hij in feite medeplichtigheid aan een strafbaar feit.

Kritiek

Kingma toont zich in het telefoongesprek een zeer redelijk mens. Lektober is in zijn optiek uit de hand gelopen. Brenno was het meest zichtbare symbool van Lektober, en dus was Brenno het meest logische doelwit voor een tegenactie. De boodschap die Kingma wil overbrengen luidt dat IT-beveiliging een complex proces is. Daarom zou niet iedereen die informatie lekt meteen aan de schandpaal genageld moeten worden. Hij verwijst concreet naar CheapTickets.nl. Die webwinkel bleek de gegevens van meer dan 715.000 individuen te lekken.

Juist het voorbeeld van CheapTickets vind ik vreemd. Deze organisatie had ervoor gekozen om zijn testomgeving aan te sluiten op het internet. Bovendien gebruikte die testomgeving een database met daarin klantgegevens (inclusief paspoortnummers) van de echte webwinkel. Dat zijn twee fundamentele fouten die geen enkele professionele organisatie zou mogen maken. Het is ook iets wat ik zou willen weten voordat ik als klant op cheaptickets mijn creditcardnummer invul.

Kingma bepleit dat Lektober een excuus is geworden om er maar wat op los te hacken. Wie het grootste lek vindt, krijgt als beloning een melding op Webwereld. Eerder maakte Ronald Prins, directeur van Fox-IT al eenzelfde opmerking tegenover NRC Handelsblad (artikel niet online beschikbaar), waarbij hij opriep om Lektober vroegtijdig te stoppen.

We hebben na het interview met Prins besloten om door te gaan met Lektober. We vonden het belangrijk te bewijzen dat we een hele maand konden vullen met lekken. Als we halverwege stoppen, zou dat de suggestie wekken dat het probleem toch minder groot was dan we vooraf dachten. Daarmee zou de boodschap van bewustwording worden afgezwakt.

Criminelen

Ik vind het vervelend dat vandalen Lektober aangrijpen om organisaties te hacken. Maar tegelijkertijd is hacken een realiteit van alledag. Als vandalen de database van CheapTickets konden binnendringen, konden criminelen dat ook. Mogelijk ligt er dankzij CheapTickets ergens in een Roemeens dorp een CD-Rom met daarop mijn paspoortnummer en andere persoonlijke informatie. De informatie op die CD-Rom wordt voor 1 euro per adres doorverkocht aan allerlei fraudeurs. Het wachtwoord voor mijn e-mail adres is enkele dubbeltjes waard, omdat ik het wachtwoord mogelijk ook voor andere diensten gebruik.

Online criminaliteit is een feit. Organisaties als CheapTickets of de gemeente Eindhoven laten met hun handelen zien dat zij de risico's daarvan onvoldoende serieus nemen. De vraag die ik Kingma wil voorleggen: Wat is erger? Het feit dat individuen het slachtoffer worden van slechte beveiliging, of het feit dat organisaties bang worden gemaakt voor de gevolgen van slechte beveiliging?

Ik ben het met Kingma eens dat het niet handig is om alle informatielekken via de media te communiceren. Als klant van CheapTickets zou ik dat liever direct van de webwinkel zelf hebben gehoord. Het zou geweldig zijn als CheapTickets regelmatige audits liet uitvoeren door een onafhankelijke partij als ISSX, Fox-IT, Certified Secure, Madison Gurkha, of noem ze maar op. Als klant zou ik graag een beperkt verslag daarvan kunnen inzien, zodat ik tenminste zeker weet dat ze moeite doen om mijn gegevens te beveiligen.

Maar als er dan toch lekken zijn, dan wil ik dat wel weten. Zodat ik maatregelen kan nemen. Webwereld is dan ook een groot voorstander van een brede, wettelijke meldplicht voor informatielekken. Er ligt nu wel een voorstel in de Kamer, maar dat is een tandeloos compromis dat zich beperkt tot providers. Webwinkels lekken er lustig op los, en hoeven dat niet aan hun klanten te melden.

Lektober heeft voor het eerst de problemen met beveiliging voor een breed publiek zichtbaar gemaakt, en heeft daarmee tot in politiek Den Haag een dialoog opgestart. We hopen dat Lektober resulteert in een brede wettelijke meldplicht voor informatielekken. We hopen dat bestuurders en directies dankzij lektober het belang inzien van goede beveiliging van privégegevens.

Wij zullen de discussie op Webwereld in ieder geval blijven voeren zo lang deze nodig is. Hopelijk is Lektober in 2012 niet meer nodig. Hopelijk zorgt politiek Den Haag voor een goede meldplicht. Ik moet blijven hopen, want niets doen is geen reële optie.