Dat is op te maken uit de beantwoording van vragen, die het SP-kamerlid Arda Gerkens had gesteld. Zowel bij het UWV als bij Defensie-staatssecretaris de Vries waren er in ieder geval firewalls voor de beveiliging.

Mailbox kraak

In het geval van de Vries was het Nieuwe Revu gelukt om in te breken op zijn e-mailaccount. Dat lukte nadat een kraker met behulp van een botnet van 14000 computers uiteindelijk het juiste wachtwoord raadde. Om dit te kunnen schreef hij een spelletje dat via Hyves werd verspreidt. Die aanpak leidde tot felle kritiek vanuit de beveiligingsindustrie.

In antwoord op kamervragen schrijft premier Balkenende dat er wel degelijk veiligheidsmaatregelen zijn genomen: "De staatssecretaris van Defensie is zich bewust van de risico’s van het gebruik van internet en email. Op zijn privécomputer zijn onder andere een firewall en een virusscanner geïnstalleerd om ongeautoriseerde toegang tot zijn computer te voorkomen."

Toch was het vooral de provider Het Net die steken zou hebben laten vallen. "Dit kwam waarschijnlijk door een onvolkomenheid in de beveiliging van de internetprovider waardoor het proces van inloggen kon worden gekraakt", staat er dan ook in de antwoorden. "De internetprovider heeft de staatssecretaris inmiddels per brief laten weten de situatie zeer te betreuren en maatregelen te nemen om de onvolkomenheid in de beveiliging op te heffen."

UWV-systemen

Ook bij het UWV stelt Minister Donner van Sociale Zaken en Werkgelegenheid dat er beveiligingsmaatregelen zijn genomen. "Toegang tot de betreffende systemen en data is beperkt tot geautoriseerde gebruikers. De gegevens zijn logisch beveiligd met inlogcodes en firewalls", schrijft hij dan ook.

Die reactie kwam nadat bleek dat derden vrije toegang tot systemen van het UWV en Achmea Vitale konden hebben. Dat was mogelijk omdat de serverkasten zowel zeer herkenbaar waren gelabeld, ze gedurende langere tijd niet op slot bleken te staan en er geen toezicht op het handelen van bezoekers in de ruimte is.

Bij het UWV werd direct in gegrepen door dienstverlener Getronics op zijn verantwoordelijkheid aan te spreken. Echter bij Achmea Vitale bezwoer een voorlichtster dat de kast was afgesloten. Maar uit video-opname bleek dat dagen later de kasten nog steeds voor iedere bezoeker toegankelijk waren.

Falende provider

Voor Donner is het duidelijk dat er dan ook aan deze vorm van hosting een einde moet komen en dat de situatie onaanvaardbaar is. "Dit laat onverlet dat toegang van binnenuit tot het netwerk de kwetsbaarheid voor inbraken vergroot. Voorts is duidelijk dat de processen op de servers verstoord kunnen worden door eenvoudig kabels voor stroom of netwerkverkeer los te koppelen", schrijft hij dan ook. "Er is daarom geen enkele twijfel over het feit dat onbevoegde toegang tot de servers volstrekt onaanvaardbaar is."

Dat het niet goed is gegaan met de beveiliging is volgens Donner vooral de schuld van de leverancier aan wie Getronics het beheer heeft uitbesteed. Die heeft op zijn beurt de machines gehost in het datacenter van Tele2. Volgens de bewindvoerder wordt niet voldaan aan de eisen in de contracten.

"In de betreffende contracten worden eisen gesteld aan de beveiliging. Er is dus sprake geweest van een ernstige inbreuk op deze eisen, waar in de eerste plaats een niet-bevoegde toegang heeft gekregen tot de ruimte waarin de servers zijn geplaatst, en in de tweede plaats een aantal serverskasten niet waren afgesloten" Een dergelijke ernstige inbreuk is onacceptabel."

Matig tevreden, nieuwe vragen

Kamerlid Gerkens is tevreden met de antwoorden van Donner die ze bestempelt als "zorgvuldig", maar zegt wel bij de minister over de schouder te blijven meekijken om te weten wat er nu precies wordt besproken.

Minder tevreden is ze met de beantwoording van de vragen rond de e-mailhack van Jack de Vries. " Als de manier is waarop wij met beveiliging omgaan dan schrik ik daarvan", stelt de politica tegenover Webwereld. "Als je een virusscanner koopt en je zet de firewall aanzet dan zit het wel goed lijkt het devies te zijn."

Ze benadrukt dat juist een bewindvoerder ook met zijn privéemail in verlegenheid kan worden gebracht. Voor haar is het een reden een nieuwe ronde vragen te stellen.

Die komt ook voort uit onvrede over het verschil in beleid. "Als je de discrepantie in beantwoording ziet tussen Balkenende hier en Ter Horst bij de DECT-telefoons is zo groot dat je daaruit ook kunt aflezen hoe het besef van de consequentie van moderne technologieën is doorgedrongen in de Trèvezaal."

De woordvoerder van KPN, verantwoordelijk voor Het Net en Getronics alsmede de woordvoerder van Getronics reageerden niet om een verzoek om commentaar. Provider Tele2 liet desgewenst weten niet te willen reageren op de beantwoording.