Een collectief van Nederlandse hackersorganisaties heeft een brandbrief gestuurd naar de Tweede Kamer. Hierin uiten zij ernstige bezorgdheid over de veiligheid van de ict-systemen bij de overheid. De hackers zijn vooral verbolgen over ‘kinderlijke vergissingen die gemaakt worden bij de implementatie van grote ict-overheidssystemen’.
Het hackerscollectief maakt zich zorgen over de privacy van burgers en claimt dat door de vergissingen mensenlevens in gevaar komen. ‘Keer op keer zien wij hoe basale beveiligingsprincipes niet worden toegepast binnen bestaande en nieuwe ict-systemen', staat in de brandbrief te lezen. Als voorbeelden worden genoemd de kwestie rond Diginotar en de SSL-certificaten, de OV-chipkaart en het elektronisch patiëntendossier (EPD).
Geen ingewikkelde hacks
‘We hebben een omvangrijke lijst van voorbeelden van overheidssystemen die persoonsgegevens bevatten of persoonsgegevens vragen aan burgers waar de beveiliging niet op orde is', aldus de hackers. ‘Dit zijn geen ingewikkelde hacks, maar fouten die mensen zonder opleiding kunnen misbruiken. Daarvoor is standaard programmatuur op internet voorhanden.'
Het gaat volgens het hackerscollectief om elementaire beveiligingsprincipes die structureel niet worden toegepast. Ook laken zij het blinde vertrouwen in techniek, gestoeld op onvoldoende begrip van de risico's. ‘Audits en certificeringen zijn papieren tijgers. Er wordt onvoldoende gekeken naar de systemen zelf en blind vertrouwd op verklaringen van bijvoorbeeld de ontwikkelaars.'
CBP en Govcert
Ook zou de overheid niet voldoende toetsen en zouden beloftes van ingehuurde ict-bedrijven onrealistisch zijn en worden ze niet nagekomen. ‘Adequate bescherming van databanken met persoonsgegevens is onvoldoende gewaarborgd', aldus de brandbrief. ‘Er wordt niet nagedacht over mogelijk misbruik van nieuwe systemen. Tegelijk worden aan de overheid gelieerde instanties zoals het College Bescherming Persoonsgegevens (CBP) en Govcert in onvoldoende mate betrokken bij ict-trajecten.'
De hackergemeenschap voelt zich geroepen deze zaken aan de kaak te stellen. ‘Er heerst echter op dit moment een klimaat waarin de boodschapper wordt gestraft en de betreffende departementen en bedrijven niet tot verantwoording worden geroepen', claimen de Nederlandse hackers. ‘Wij zijn daarom terughoudend in het delen van informatie over deze beveiligingslekken.'
Structureel probleem
De hackers maken zich zorgen over elementaire beveiligingslekken en dat het vrijwel zeker is dat mensen met kwade bedoelingen zich hiervan bewust zijn en deze fouten kunnen uitbuiten. ‘De recente kwestie met de Iraanse overheid heeft dat laten zien', zegt het collectief. ‘Wij roepen derhalve op om de kwestie Diginotar niet als incident te zien, maar als een symptoom van een gebrek aan controle op de veiligheid van ict-systemen bij de overheid. Het is tijd dat de leden van de Tweede Kamer zich realiseren dat er sprake is van een structureel probleem.'
De Nederlandse hackergemeenschap biedt de overheid aan te willen helpen bij het beter beveiligen van de ict-systemen.