Studium Generale over datalekken: die zijn al lang geen ver-van-je-bed-show meer

Terwijl buiten de vroege lente zich onmiskenbaar aandient en het humeur opklaart, duiken wij met een volle zaal in het Centrum voor Veiligheid en Digitalisering in Apeldoorn de donkere wereld van hacken in. Letterlijk, want de zaal is erg donker: de muren zijn zwart en de gordijnen zitten dicht. Het past bij het onderwerp van deze sessie.

“Wie van jullie is er in de afgelopen vijf jaar gehackt?” vraagt moderator Britt Krabbe. Ongeveer een derde van de handen gaat omhoog, zo ook bij mijn buurman. Best wel veel en het geeft een goed beeld van de impact, actualiteit en noodzaak van dit onderwerp.

Bij de vraag: wie is er niet gehackt in de afgelopen vijf jaar, steken een paar mensen heel voorzichtig hun hand half omhoog. Ik betrap mezelf er ook op dat ik mijn hand half in de lucht steek. Waarom? Ik voel me bijna dom om mijn eigen hand op te steken. Mij bekruipt het gevoel: waarschijnlijk wel, ik weet het misschien niet, en ergens heb ik ook wel de angst om mezelf te jinxen door nu alsnog mijn hand op te steken.

“Ervaringsdeskundige als gedupeerde”

De eerste tafelgast is Sandra Huiskes, Saxion-docent HBO-Rechten, gedupeerde van het datalek bij het bevolkingsonderzoek naar baarmoederhalskanker in Nederland en aanjager van de massaclaim die werd gedaan na het datalek. Bij dat datalek afgelopen zomer kwamen honderdduizenden persoonsgegevens van vrouwen op straat te liggen. Zo ook die van Huiskes. “Je denkt het goede te doen en wordt er zo voor beloond. Een gevoel van woede en machteloosheid overheerste.”

Ze is nu ervaringsdeskundige als gedupeerde, zegt ze, want ze ze werd in februari ook nog eens slachtoffer van de Odido-hack. “Toch voelt dat anders”, zegt ze.

Dat zit hem in aard van de organisatie: waar Odido een commercieel bedrijf is, werkte Clinical Diagnostics – waar het datalek van het bevolkingsonderzoek plaatsvond –voor de overheid. Van de overheid verwacht je meer als het gaat om veiligheid én het ging om echt gevoelige, medische gegevens.

Haar tip wanneer je gegevens op straat liggen: “Ze zeggen het allemaal, maar let goed op, wees scherp op gekke mailtjes en belletjes en check regelmatig je bankrekening of daar gekke dingen gebeuren.”

Stereotype

Ethisch hacker Flo van der Vlist komt als tweede gastspreker aan tafel. Op het grote scherm achter het podium verschijnt een foto van het stereotype hacker. “Nou, het klopt deels, een jonge man in een donkere kamer”, grapt Britt en je hoort de zaal gniffelen. Maar toch biedt Van der Vlist in werkelijkheid een heel ander beeld: hij is een frisse, open jonge man die heel luchtig vertelt over hackers en het darkweb. Veel van ons beeld van hackers klopt niet. “Het zijn hele bedrijven, niet alleen in verre landen, ook gewoon hier in Europa, met soms zelfs een klantenservice die gebeld kan worden. Iedereen zou het kunnen zijn”, vertelt Van der Vlist.

Van der Vlist zegt als ethisch hacker nooit gevraagd te zijn om over te stappen naar de kant van de slechteriken.“Nee, dat niet. Zij hebben echt hun eigen kringen, ik heb het ook nooit overwogen. Ik kan hier nu ook gewoon prima mijn geld mee verdienen en ik hoef niet altijd over mijn schouder te kijken.”

De Odido-hack

Op een groot scherm kunnen we zien wat Van der Vlist op zijn laptop doet. Hij gaat live laten zien hoe Odido waarschijnlijk is gehackt. Superinteressant, maar af en toe lastig te volgen door het jargon dat hij gebruikt. Regelmatig komt Britt met de vraag: “Wat bedoel je hiermee? En zou je dit kunnen uitleggen?” Dat helpt.

Er klinkt nu veel kritiek op het feit dat Odido niet heeft onderhandeld met de hackers. Britt stelt die vraag nu ook aan het publiek in de zaal: “Vinden jullie dat een getroffen partij moet onderhandelen en betalen aan de hackers?” De meeste mensen zeggen van niet, niet onderhandelen en niet betalen, tenzij daar de gelegenheid voor is. Van der Vlist zegt dat het belangrijk is om zoveel mogelijk tijd te winnen voordat er iets gelekt gaat worden. Zo hebben bedrijven langer de tijd om een eigen onderzoek op te starten en uit te zoeken wat de hackers nu echt in handen hebben, zodat ze hierop kunnen anticiperen.”

Het darkweb

Hij vertelt ook nog over het darkweb, voor mij voorheen nogal een vaag en groot begrip. Drie feitjes die ik je kan doorgeven over het darkweb:

1. Sites op het darkweb zijn eigenlijk gewoon websites op het internet, ze zijn alleen moeilijk te vinden door ingewikkelde domeinnamen.
2. Er bestaat een website, ook wel ‘darksearch’ genoemd, om deze darkwebsites met ingewikkelde domeinnamen te vinden.
3. Er bestaan websites die lijken op bol.com of Amazon, waarop je gegevens van creditcards kunt kopen.

Tijd voor pauze

“We zijn 45 minuten onderweg, normaal tijd voor studenten om pauze te gaan houden, maar we pakken hem nog even door”, zegt Rolf van Wegberg, onderzoeker cybercrime governance TU Delft, en de volgende spreker. Ik merk het ook aan mezelf: het is een lange zit met veel informatie, maar superinteressant. Hij gaat ons meer vertellen waarom wij zo kwetsbaar zijn en wat we eraan kunnen doen.

“Wat denken jullie dat ons zo kwetsbaar maakt?” Een enkele hand gaat omhoog. “We overschatten ons technisch kunnen”, zegt iemand uit het publiek. Dat klopt, dat is een van de redenen, zegt Van Wegberg. We leveren onze data uit aan bedrijven zonder dat we weten er allemaal mogelijk is met die data, en welke gevolgen het mogelijk kan hebben als die data gelekt wordt.

En als laatste hebben we te veel vertrouwen in organisaties en veronderstellen dat onze gegevens bij hen veilig zijn. “En daar gaat het vaak fout”, zegt Van Wegberg.

Coronatijd

Hij haalt als voorbeeld de coronatijd aan en zegt vrijwel iedereen toen wel een wattenstaafje in zijn neus heeft gehad. “Waar deed je dat? Bij de GGD.”

Maar de GGD voerde deze testen niet zelf uit, gaat hij door. Dat waren commerciële bedrijven die dit in opdracht van de overheid afnamen. Doordat die taak werd uitbesteed, was er volgens hem minder controle over onze gegevens.

Vervolgens geeft hij aan dat er volgens hem te weinig controle is of deze bedrijven wel veilig met onze data omgaan. Zij worden volgens hem niet getest: maar hoeven alleen maar zelf te verklaren dat ze voldoen aan de regels. Voor sommigen was dit misschien wel bekend, maar voor mij was dit toch wel een schokkend nieuwtje. Je denkt dus dat je gegevens veilig zijn bij de overheid, maar ze liggen eigenlijk in handen van commerciële bedrijven die niet streng genoeg worden gecontroleerd op de veiligheid van jouw gegevens.

Deze manier van uitbesteden werd volgens Van Wegberg na de coronatijd ‘meegenomen’ en zo ook gebruikt bij het bevolkingsonderzoek naar baarmoederhalskanker.

Om terug te komen op waarom we dus zo kwetsbaar zijn voor datalekken: er is weinig bewustzijn over het feit dat externe bedrijven datagevoelig werk uitvoeren voor de overheid, en we stellen daardoor onterecht vertrouwen in diezelfde overheid.

Goed nieuws

Om de middag toch met hoopvol nieuws af te sluiten, vertelt Van Wegberg ons dat er ruimte is om te verbeteren en dat het veiliger kan. Er is nog net tijd om te vertellen hoe, en dat vat ik heel kort samen.

Door kritieke processen goed te begrijpen en strikte controles in te bouwen, zoals we dat nu doen bij bijvoorbeeld de belasting, kan één fout van een medewerker niet het hele systeem laten instorten. Zo maken we van mensen de sterkste schakel in plaats van de zwakste, en kunnen we veilig met data werken zonder dat alles op één persoon leunt.

Dubbel gevoel

Ik loop in een stoet van mensen die aanwezig waren bij Studium Generale terug naar station Apeldoorn. Een dubbel gevoel bekruipt me. Interessant, denk ik. Ik heb echt wat geleerd. En hoewel de hoopvolle boodschap van Rolf aan het einde me een beetje probeerde gerust te stellen, merk ik dat het onderwerp me toch nog bezighoudt en me ergens ook een beetje ongerust maakt.

Ondertussen hoor ik mensen voor en achter mij in de stoet napraten over de sessie. Het heeft niet alleen bij mij wat losgemaakt. Missie geslaagd, denk ik dan toch maar.