Een, twee, drie – en gekraakt is de website!

Persoonsgegevens van burgers zijn niet veilig op overheidssites. Een beetje hacker legt er met het intikken van enkele codes moeiteloos de hand op. De weg naar identiteitsfraude ligt open.

In de huiskamer van Henk flikkeren vier grote computerschermen. Henk is softwareontwikkelaar en onderzoekt de veiligheid van websites. Elke week vindt hij naar eigen zeggen tussen de veertig en honderd lekken bij overheden, bedrijven en andere organisaties. Bluf? Waar Trouw bij is, zit hij binnen een paar minuten in de database van de overheidssite dedigitalekaart.nl.

Hacker Henk tikt een paar codes in de adresbalk. Er verschijnt een foutmelding met allerlei computercodes op het beeldscherm. In een handomdraai decodeert hij deze gegevens en dan gebeurt het: alle e-mailadressen, gebruikersnamen en wachtwoorden van de mensen achter de site verschijnen op zijn beeldscherm. Hiermee kan hij op de persoonlijke profielen van al deze gebruikers inloggen. Zelfs in het gedeelte van de websitebeheerder kan Henk terecht.

Gevoelige persoonlijke informatie komt via een dergelijke, vrij eenvoudig uit te voeren, aanval op straat te liggen. Tot nu toe is de overheid er niet in geslaagd om gegevens van burgers zo veilig te bewaren dat hackers er niet bij kunnen. Omdat de beveiliging van websites nog geen topprioriteit is bij de overheid, kunnen de privégegevens van de burger zonder al te veel moeite gestolen worden.

Volgens Ton Horrevorts, directeur van het adviesbureau HMS-management en adviseur good public governance, is de situatie op het gebied van internetveiligheid zelfs ’slechter dan een jaar geleden’. „Nederland loopt achter. Er is wel aandacht voor internetveiligheid, maar zeer versnipperd en daardoor onvoldoende effectief.”

Ook Govcert, het adviesorgaan van de overheid op ICT-gebied, meldt in haar jaarlijkse rapportage dat ’de risico’s op misbruik van overheids- en burgergegevens toenemen’.

Twee maanden na het verschijnen van het Govcert-rapport werd de veiligheid van overheidwebsites ernstig in twijfel getrokken door Networking4all. Dit Amsterdamse ICT-bedrijf signaleerde bij het merendeel van de overheidssites de afwezigheid van een digitaal slot, het zogenaamde SSL-cerificaat. Dit certificaat, herkenbaar aan de code ’https’ in de adresbalk, zorgt ervoor dat de verbinding tussen de computer van de gebruiker en de server van de overheid beschermd is.

Het persbericht over de SSL-certificaten deed alle alarmbellen rinkelen bij de overheid. Diverse overheidsorganisaties reageerden geschrokken, plaatsten direct waarschuwingen op hun websites en beloofden beterschap. De website van Postbus 51 was binnen een paar dagen voorzien van een slotje.

Maar het breed in de media uitgemeten gevaar van het ontbreken van slotjes is volgens Ronald Prins van het ICT-bedrijf Fox-IT niet de echte oorzaak van de onveiligheid van overheidssites. „Een SSL-certificaat is zeker belangrijk, maar het is slechts een klein deel van een veel groter verhaal.” Prins meent dat identiteitsfraude zoals Networking4all dat beschrijft wel meevalt, en dat er ook weinig fraudezaken bekend zijn die op die manier tot stand zijn gekomen.

Ook Joost Pol, directeur van het ICT-bedrijf Certified Secure, vindt dat een beveiligde verbinding niet genoeg is om hackers te weren. Volgens Pol moet er verder worden gekeken dan naar SSL alleen. „Het is voor hackers niet voor de hand liggend om de verbinding tussen de computer van een gebruiker en de overheidsserver af te luisteren. Zij hacken de website zelf in plaats van de verbinding. Daar vinden ze de gegevens van alle bezoekers, in plaats van die van één persoon.”

De echte risico’s liggen volgens Pol bij programmeerfouten in webapplicaties. Zijn collega Prins is het daarmee eens. „Wanneer de applicatiebouw niet op orde is, kunnen criminelen via de webformulieren zelf bij de database komen. Daar valt meer te halen dan wanneer het verkeer tussen één persoon en de overheid onderschept wordt. Het belangrijkste is dat er veilig wordt geprogrammeerd. Als de webformulieren van een website niet op orde zijn, kunnen ze de hele database leeghalen.”

Het kraken van een slecht geschreven programma door middel van een zogenaamde SQL-injection (zie kader) kan goed beveiligd worden, maar als dat niet gebeurt, zijn de gevolgen volgens Horrevorts niet te overzien. „Het eerste gevaar is dat criminelen de sites platleggen; en in het ergste geval wordt de overheid stilgelegd.”

Want, zo redeneert Horrevorts, overheden worden steeds afhankelijker van het internet. Een tweede, nog ernstiger gevaar, is dat „criminelen toegang krijgen tot algemene bestanden van burgers en van medewerkers bij het Rijk. Kwaadwilligen kunnen hiermee identiteitsfraude plegen, de boel oplichten.”

Hoe ernstig het met de digitale veiligheidssituatie van de overheid is gesteld, is volgens Pol moeilijk in te schatten. „Om te weten hoe veilig een overheidssite is, zal je als externe moeten hacken, en dat kunnen wij als bedrijf natuurlijk niet doen. De overheid zal daarom zelf open moeten zijn over hun mate van veiligheid en deze moeten aangeven, door bijvoorbeeld het instellen van een keurmerk.”

Hoewel exacte cijfers van incidenten door onveilige overheidssites ontbreken, is de overheid wel degelijk op de hoogte van de toenemende problemen rondom cybercriminaliteit.

Volgens Ank Bijleveld, staatssecretaris van binnenlandse zaken en koninkrijksrelaties, is het verlies van persoonsgegevens door cybercriminaliteit „een structureel probleem”. Als verantwoordelijke voor de elektronische overheid gaf zij begin deze maand een toespraak tijdens het ICT-symposium van Govcert, een jaarlijks terugkerend evenement waar ICT-mensen uit de hele wereld naar toe komen. Haar kernboodschap was dat er meer informatie moet komen over de mate van beveiliging bij de overheid. „Er bestaat een grote toename van cybercrime. Wij moeten weten waar de barsten zitten.”

De burger is met de overheidscampagne ’Veilig internetten’ al gewaarschuwd voor identiteitsfraude door hackers. Nu is volgens Bijleveld de beurt aan de overheidsorganisaties zelf om actie te ondernemen. „Het wordt tijd dat de aandacht uit gaat naar de overheid; want niet alleen de burgers moeten alert zijn op de gevaren, ook bij de overheid moet er voldoende aandacht zijn voor dit probleem.”

Een betere organisatie bij de overheid is cruciaal om de beveiliging van digitale burgergegevens te garanderen. Daar wijst ook Horrevorts op: „Overheden denken dat de veiligheid van internet alleen met techniek te maken heeft. Maar hoe je het organiseert, is het allerbelangrijkst.” De managementexpert pleit ervoor om te beginnen met het verzamelen van gegevens over de omvang van het probleem, „want dat doen we slecht”. „In de Verenigde Staten zijn ze daar al mee begonnen, en sindsdien blijkt de omvang van het probleem veel groter dan gedacht. Alles komt nu aan het licht.

„In de VS zijn organisaties verplicht om, als zij slachtoffer zijn van cybercrime, dit te melden en in de openbaarheid te brengen. In Nederland is dat niet het geval, waardoor niet bekend is hoe vaak er ingebroken wordt op websites van overheidsorganisaties en hoe vaak er misbruik gemaakt wordt van de daarbij gehackte privégegevens.”

De overheid heeft al aangegeven daar iets aan te zullen doen. Zo heeft staatssecretaris Bijleveld aangekondigd dat ze ook in Nederland overheden verplicht wil stellen om incidenten openbaar te maken. „Er moet een meldplicht komen, in het bijzonder voor incidenten die te maken hebben met het verlies van persoonsgegevens.” Met de nieuwe beleidsplannen hoopt Bijleveld dat er meer informatie naar boven komt over identiteitsfraude bij overheidsorganisaties en dat er verbanden gelegd kunnen worden tussen de verschillende veiligheidsproblemen.

Toch mag de techniek niet achterwege blijven. Volgens Prins moeten veel overheidssites ’gehardened’ worden: de software moet up-to-date zijn en de applicatiebouw van de website zelf moet in orde zijn. En precies daar schort het aan bij de overheid, meent ICT-beveiligingsexpert Prins. „Het probleem ligt bij de opdrachtgevers die de websites laten maken. Het veiligheidsaspect wordt niet automatisch meegenomen bij de bouw van een website, of er wordt niet voldoende aandacht aan besteed. Bij zowel de overheid als bij de gebruiker moet een mentaliteitsverandering plaatsvinden.”

Ministeries, provincies, waterschappen en gemeenten zullen de veiligheidsadviezen die Govcert geeft, moeten opvolgen. Iets dat volgens Bijleveld nu niet gebeurt. „De leden van Govcert bepalen nu zelf wat ze met de adviezen doen. De adviezen zijn niet verplicht.” Daarom wil Bijleveld dit gaan controleren. „Eén van de middelen is auditing. Bij de Rijksauditdienst willen we dit ook op het punt van digitale veiligheid gaan doen.”

Naast betere monitoring, een meldplicht en het opvolgen van adviezen, blijft deskundigheid de grote afwezige bij veel overheidsorganisaties die ICT-projecten in het leven roepen. De hacker bezit de kennis en de macht. Daarom pleit Pol voor betere opleidingen aan universiteiten, omdat veel ICT’ers ook niet genoeg ervaring met hackers zouden hebben. „Wij krijgen mensen die een technische opleiding hebben gedaan en die met grote ogen staan te kijken. Het hacken moet meer aandacht krijgen en mensen die websites opzetten en ontwikkelen, moeten weten hoe belangrijk veiligheid is.”

Veiligheidsexpert Henk, die een voorbeeld is van een hacker waar de overheid niet naar luistert, heeft meerdere vergeefse pogingen gedaan om overheidsorganisaties te wijzen op aanwezige lekken in hun websites. Hij gebruikt de website van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) om te illustreren hoe serieus de zaak is. Hij kraakt de site, haalt de bestaande tekst weg en schrijft: ’Slecht regeringsbeleid omtrent beveiliging van webapplicaties. Is het niet eens tijd dat iemand de handen uit de mouwen steekt en gewoon alles eens gaat controleren en repareren?’

De informatie die Henk tijdens zijn controles vindt, interesseert hem niet: hij wil waarschuwen voor het gebrek aan veiligheid. Volgens de softwareontwikkelaar gaan veel websites al in de lucht voor ze goed en wel klaar zijn, dus zonder dat ze goed op lekken zijn gecontroleerd. „Dat klinkt hopeloos, en dat is het ook.”