Cybercrimebestrijding staat in Nederland nog in de kinderschoenen, zegt Ralph van Os, onafhankelijk beveiligingsdeskundige en als criminoloog verbonden aan de hbo-opleiding Security Technology van de Hogeschool Utrecht. "We missen deskundigheid op het gebied van informatiebeveiliging omdat we jarenlang geen volwaardige opleidingen over informatiebeveiliging hadden. Daarom lopen we nu achter de feiten aan."

Vorig jaar is in Nederland de eerste voltijdsopleiding in dit specialisme van start gegaan, de vierjarige bachelor Information Security Management aan de Haagse Hogeschool. De opleiding is inmiddels aan de tweede jaargang begonnen en telt nu circa 70 studenten. Beter laat dan nooit, redeneert Van Os, maar door het late introduceren heeft Nederland nog wel een kennisachterstand op het gebied van informatiebeveiliging.

Achteraf nadenken over beveiliging

Van Os zegt dat beveiliging bij het aanleggen van nieuwe overheidsdatabases te weinig prioriteit krijgt. "In Nederland worden dingen ontworpen, en dan wordt pas achteraf nagedacht over privacy en beveiliging. In die volgorde kan het nooit goed gaan."

Marcel Spruit, lector informatiebeveiliging aan de Haagse Hogeschool, ziet naast het gebrek aan deskundigheid ook een gebrek aan vraag naar informatiebeveiliging bij de overheid. "Er zijn mensen met de juiste kennis, maar die zitten vaak niet aan de ontwerptafel."

Geen prioriteit

Ondanks de grote aantallen nieuwe ict-toepassingen bij de overheid (EPD, ov-chipkaart, rekeningrijden) lijkt beveiliging geen prioriteit te hebben, zegt Spruit. "In het algemeen wordt er bij het ontwerp gekeken naar de functionaliteit en de kosten. En dan later, als gewaarschuwd wordt voor onveiligheid of privacyaantasting, wordt er gerepareerd om de beveiliging op te schroeven."

Toen de ov-chipkaart voor het eerst werd gekraakt, uitte beveiligingsonderzoeker Melanie Rieback van de Vrije Universiteit kritiek op Translink Systems, verantwoordelijk voor de ov-chipkaart. Zij vond dat er veel fouten zijn gemaakt bij het ontwerp van het systeem. "De grootste fout die Translink heeft gemaakt, is dat er niet vanaf het begin een onafhankelijke beveiligingsprofessional is ingeschakeld om in de ontwerpfase te adviseren", aldus Rieback.

Een andere fout is volgens Rieback het gebruik van gesloten encryptiesoftware in plaats van open source-encryptie. "Ook dat was niet gebeurd als ze een beveiligingsexpert hadden ingeschakeld."

Ov-chipkaart: ongelukkige keuzes

Spruit vindt ook dat er bij de ov-chipkaart ongelukkige keuzes gemaakt zijn vanuit beveiligingsoptiek. "Je kan twee keuzes maken: of je slaat heel veel, ook niet per sé nodige persoonsgegevens op, of je slaat alleen de benodigde informatie op. Bij de ov-chipkaart hebben ze gedacht: laten we alles maar opslaan. Maar dat is een hele klus om goed te beveiligen." Het College Bescherming Persoonsgegevens heeft deze kritiek eerder ook al geuit.